AVIS D’EXPERT – Hector Avalos, responsable EMEA chez Versa Networks, qui fournit des solutions de bout en bout pour la sécurité du réseau, explique aux lecteurs de Solutions-Numériques comment la mise en place d’une approche SASE permet de renforcer la cyberprotection de l’entreprise, notamment pour mieux résister aux tentatives d’infiltration des ransomwares.
Avec une augmentation considérable des cas d’infiltration, les ransomwares sont dans tous les esprits. Pourtant, avec une première vague en 1989, le phénomène n’est pas nouveau. Le cheval de Troie AIDS (ou PC Cyborg) s’était propagé à l’époque par le biais de disquettes infectées. Depuis la liste s’est allongée et, parmi les exemples, rappelons celui de Quanta Incorporation. Le fabricant de pièces de matériel pour ordinateurs Apple était infiltré par le groupe de ransomware REvil qui cryptait ses fichiers et demandait une rançon de 50 millions de dollars. L’entreprise avait refusé de payer, amenant REvil à adresser la demande de rançon à Apple, qui a également refusé. Les schémas exfiltrés d’une future version des ordinateurs portables Apple ont été diffusés sur Internet puis retirés par les forces de l’ordre. Il est très difficile de se défendre contre les rançongiciels, car chaque souche de rançongiciel a sa propre façon d’infiltrer un réseau, de s’y déplacer, d’accéder aux ressources et d’exfiltrer des données.
Ransomware : une infiltration en cinq étapes
La première est la phase d’infiltration, au cours de laquelle le ransomware tente de s’implanter quelque part sur le réseau, ou dans une ou quelques machines. Une fois qu’il a réussi, le ransomware peut passer à l’étape suivante et tenter d’escalader les privilèges et de récolter des informations d’identification qu’il pourra utiliser pour se déplacer latéralement au sein d’un réseau. Il peut également tenter de reconnaître le réseau pour trouver les actifs les plus précieux, ce qui constitue la troisième étape du cycle de vie du ransomware. La quatrième étape consiste à communiquer avec un serveur de commande et de contrôle afin de recevoir d’autres commandes et de télécharger d’autres outils qui aideront les attaquants à pénétrer plus profondément dans le réseau et à l’exploiter davantage, par exemple en compromettant le contrôleur de domaine ou en installant une porte dérobée sur les routeurs pour surveiller le trafic ou le rediriger. L’étape finale est l’exfiltration et le chiffrement des fichiers, qui permet aux attaquants d’exiger leurs rançons.
Tout cela permet également de comprendre clairement son réseau et sa segmentation, afin d’appliquer des politiques de sécurité et des autorisations spécifiques en fonction de la dynamique du réseau.
Le SASE pour comprendre son réseau…
Les solutions SASE disposent, par exemple, d’outils d’analyse statique et dynamique permettant aux organisations de découvrir si un fichier présente des éléments suspects ou s’il contient un code malveillant. Grâce à son moteur IPS ou sa fonctionnalité Firewall as a Service (FaaS), lorsqu’un fichier quitte la machine d’un utilisateur et pénètre dans une passerelle SASE et dans le réseau interne, il est analysé de manière statique pour déterminer s’il contient un code malveillant. La surveillance du trafic réseau ainsi que l’analyse et la détection des anomalies aident les organisations à déterminer si un mouvement latéral, par exemple, se produit à l’intérieur du réseau. Cela permet de déterminer s’il y a une activité inhabituelle sur le réseau qui peut être signalée, par exemple, comme un possible ransomware. Tout cela permet également de comprendre clairement son réseau et sa segmentation, afin d’appliquer des politiques de sécurité et des autorisations spécifiques en fonction de la dynamique du réseau.
…et mettre en place une politique Zéro Trust
SASE permet également la mise en place d’un réseau “Zero Trust” et du principe du moindre privilège, qui n’accorde aux utilisateurs que ceux nécessaires pour accomplir leurs tâches. Le profil d’information sur l’hôte (HIP) du SASE analyse la santé d’un client qui se connecte à la passerelle. De nombreux paramètres sont contrôlés pour vérifier l’état de santé du client, notamment le niveau des correctifs, la version du système d’exploitation, la présence d’un moteur AV à jour avec des signatures, les paramètres du registre, la surveillance des processus et services en cours d’exécution, etc. Sur la base des résultats de l’analyse, la passerelle SASE peut appliquer des politiques telles que l’interdiction d’accès à l’hôte ou le déplacement de celui-ci dans un réseau de quarantaine. Sans oublier que les solutions SASE avancées offrent une fonction de réputation des URL qui surveille et signale si un processus sur un client SASE contacte un domaine malveillant.
