Les APT font aujourd’hui partie des cyberattaques les plus sophistiquées et destructrices mises en œuvre par des personnes dotées de compétences avancées et d’intentions malveillantes. Dans ce contexte, le préjudice potentiel des APT peut être largement contenu en automatisant la gestion des politiques de sécurité.
Comment fonctionne l’APT
Les APT sont conçues pour éviter leur détection et compromettre des cibles spécifiques pour la perturbation et/ou l’extraction de données. Les APT sont souvent réalisées par des groupes qui peuvent se coordonner et se soutenir mutuellement, tels que des collectifs de hackers ou des États. Après avoir compromis le réseau, les attaquants cherchent à élever les privilèges de l’hôte compromis et utilisent cette autorisation plus élevée pour traverser le réseau. Éviter la détection donne le temps de cartographier efficacement le réseau, d’identifier les cibles souhaitées et de construire un plan de désincarcération des données ou d’orchestrer des modifications sur le réseau pour avoir un impact sur les processus (par exemple : perturbation coordonnée du réseau, intégration de code malveillant dans les environnements de développement).
Une réponse définie limite les dommages de la violation inévitable
La réalité est que chaque organisation est susceptible d’être compromise, et lorsque les attaquants ciblent une entreprise spécifique, leur capacité à compromettre un utilisateur final est inévitable. La prévention de la violation initiale est difficile, mais des programmes d’identification définis peuvent empêcher à la fois l’escalade des privilèges et le mouvement latéral. La réponse définie est courante aujourd’hui, comme le montrent l’adoption de solutions de sécurité des terminaux et les dispositifs SOAR, mais leur précision et leur efficacité peuvent être améliorées grâce à l’intégration et à l’automatisation.
Diminuer « le temps de séjour » avec la segmentation
Alors que les mécanismes d’alerte peuvent identifier des indicateurs de compromission, la mesure la plus importante à prendre en compte est le « temps de séjour ». Les pirates doivent trouver comment naviguer dans le réseau. Les réseaux segmentés entravent les attaquants car ils doivent respecter les contrôles de sécurité du réseau. Les entreprises doivent ainsi chercher à déployer des pratiques de segmentation de réseau efficaces. Au-delà du temps de séjour, la segmentation offre de nombreux autres avantages. Comprendre les accès existants peut également aider à identifier les actifs les plus vulnérables à des fins de correction afin de réduire les vecteurs d’attaque d’un ATP.
Les avantages de l’automatisation
Les solutions de gestion des politiques de sécurité rationalisent le déploiement des modèles de segmentation du réseau et empêchent les accès inutiles, dans un environnement multifournisseurs et multiplateformes. Elles automatisent les modifications de conception et les évaluations des risques, mesurent la conformité et orchestrent les modifications du réseau de bout en bout sur le réseau et le cloud. Elles prennent en charge l’audit et le diagnostic des erreurs de configuration avec une documentation complète. La gestion des politiques de sécurité peut aussi s’intégrer aux fournisseurs de gestion des vulnérabilités pour identifier les politiques qui exposent les actifs vulnérables.
Ces dispositifs fournissent une réponse efficace pour réduire les capacités de pivotement via les vulnérabilités d’accès à distance. Varier le paysage du réseau pour les attaquants tout en hiérarchisant les vulnérabilités exploitables connues par segment de réseau crée une tâche beaucoup plus ardue pour les attaquants. Au-delà de l’automatisation, dans le cadre d’une stratégie de segmentation réussie, et peut-être plus important encore, il est nécessaire de refuser par défaut et d’autoriser par exception.
Par Stéphane HAURAY chez TUFIN