Qu’il s’agisse de l’augmentation des attaques chiffrées, des menaces « hands-on-keyboard », des ransomwares d’origine humaine ou des violations réussies, nous n’avons pas besoin d’autres statistiques pessimistes pour vous dire ce que vous savez probablement déjà : l’approche cloisonnée qui prévaut en matière de sécurité des réseaux est une démarche vouée à l’échec.
De nombreuses analogies me viennent à l’esprit : « se battre avec une main attachée dans le dos », « écoper de l’eau tout en bouchant des trous dans le bateau » ; cependant, la façon la plus simple de comprendre cet échec est de considérer que, dans un monde où la transformation digitale et l’adoption du cloud s’accélèrent et où le personnel est disséminé à l’échelle mondiale, le réseau en étoile a atteint un point de rupture.
Des leaders mondiaux tels que Siemens, Genpact et Ciena ont adopté une architecture Zero Trust pour mener une transformation digitale sécurisée, améliorer leur productivité, diminuer leurs coûts, réduire les cyber-risques et compenser les inconvénients d’un réseau en étoile traditionnel.
Zero Trust est une approche fondamentalement différente de la protection contre les cybermenaces qui aide les entreprises à répondre aux principaux défis de sécurité actuels.
Principaux défis actuels de la sécurité
Examinons quelques-uns des défis qui transforment les approches de sécurité traditionnelles en un jeu de taupe et accélèrent le passage au Zero Trust.
Extension de la surface d’attaque
L’époque où l’on traçait un périmètre et où l’on supposait que tout ce qui se trouvait à l’intérieur était fiable et que tout ce qui se trouvait à l’extérieur était dangereux est révolue. Le réseau s’étend désormais aux filiales, aux bureaux distants, aux usines, aux domiciles des employés et au cloud. Les pare-feu cloud étendent davantage votre réseau aux emplacements où ils sont déployés. Tout ce qui est exposé sur Internet devient une surface d’attaque. Une surface d’attaque étendue facilite la tâche des hackers qui peuvent plus aisément vous trouver et vous compromettre.
Compromission de l’identité
L’identité est la pièce maîtresse de la sécurité. Le phishing et le Dark Web permettant de détourner des informations d’identification, la compromission de l’identité constitue un enjeu majeur. Une fois que les hackers s’approprient une identité fiable, ils obtiennent le même accès aux actifs informatiques que celui dont dispose l’identité qu’ils ont compromise. Les réseaux modernes étant extrêmement complexes et offrant une visibilité limitée, les hackers peuvent se déplacer latéralement et trouver des cibles de grande valeur qu’ils pourront exploiter.
Prolifération du Big Data
Les opérations de sécurité traditionnelles s’exécutent sur le Big Data. Le principe est simple : placer des capteurs dans tout l’environnement (NTA, NDR, EDR, antivirus et UEBA), collecter toutes les données et utiliser l’IA/ML pour trouver les éléments malveillants, transmettre ces éléments malveillants à des analystes humains pour éliminer les faux positifs et enquêter sur les menaces sérieuses, et enfin, tirer parti de l’orchestration et de l’automatisation pour endiguer les menaces. Cela semble bien en théorie, mais en pratique, 56 % des alertes de sécurité sont des faux positifs, les analystes qualifiés sont rares et l’automatisation n’a pas tenu ses promesses en raison d’un manque d’alertes fiables sur lesquelles orchestrer la réponse.
Introduire la tromperie sur le champ de bataille du Zero Trust
Zero Trust est une stratégie essentielle pour relever ces défis de sécurité. L’un des fondements clés du Zero Trust consiste à partir du principe qu’une violation s’est produite, et donc d’instaurer un accès sur la base du moindre privilège, assorti d’une surveillance et d’une authentification permanentes, afin d’arrêter les hackers et de limiter les préjudices.
Pour une architecture de sécurité construite sur la philosophie de la « violation présumée », la tromperie constitue l’approche la plus pragmatique et la plus efficace de détection des menaces.
Elle consiste à placer des leurres ressemblant à des actifs informatiques légitimes dans vos environnements afin d’intercepter les hackers avancés lorsqu’ils tentent d’utiliser des informations d’identification volées, de compromettre des utilisateurs ou de se déplacer latéralement une fois dans le réseau.
Les leurres peuvent être de faux documents, de fausses informations d’identification et des applications leurres sur les terminaux. Il peut également s’agir de postes de travail leurres. Dans la zone serveur, vous pouvez ajouter des serveurs et applications leurres. Vous pouvez même ajouter des utilisateurs et des ordinateurs leurres à votre répertoire actif. Et dans la DMZ, vous pouvez créer des leurres d’applications Internet telles que des VPN et des applications Internet qui doivent être accessibles à distance.
Lorsque des hackers accèdent à l’une de ces ressources leurres, une alarme silencieuse alerte l’équipe de sécurité de la présence d’un adversaire. Le SOC peut alors faire appel à la télémétrie pour étudier le comportement des adversaires, rechercher des menaces sur le réseau ou supprimer l’accès.
Pourquoi la tromperie ?
La tromperie en tant qu’approche de détection des menaces répond à tous les principaux défis de sécurité auxquels les entreprises sont confrontées. Voyons comment elle procède.
Défis en matière de sécurité |
Rôle de la tromperie |
Extension de la surface d’attaque |
Les leurres peuvent être placés dans tout l’environnement : sur le périmètre, sur les terminaux, à l’intérieur du réseau, sur le cloud et dans l’Active Directory. Ils n’ont aucun impact opérationnel et offrent une plus grande visibilité et de meilleures capacités de détection des menaces. |
Compromission de l’identité |
Lorsqu’un hacker s’introduit dans votre environnement, il n’a aucune idée de ce qui est réel et de ce qui est faux. Vos leurres se transforment en fils-pièges qui vous alertent sur la présence de l’adversaire et vous permettent de le bloquer avant qu’il ne puisse causer des dégâts. L’utilisation d’identifiants leurres ou d’identifiants volés pour accéder à des applications leurres vous avertit de la compromission d’une identité et détourne les hackers de leurs cibles. |
Prolifération du Big Data |
Aucun utilisateur légitime n’est conscient de la présence de leurres dans l’environnement, ceux-ci étant placés stratégiquement dans des endroits où seuls les adversaires vont fouiner. Puisque personne n’est censé interagir avec ces leurres, toute interaction est un indicateur extrêmement fiable d’une violation. Les alertes de tromperie se caractérisent donc par un faible taux de faux positifs Les équipes de sécurité peuvent exploiter ces alertes très fiables pour corréler l’activités des menaces dans d’autres parties du réseau et automatiser le confinement. |
Sécuriser votre parcours Zero Trust avec Zscaler Deception
Le parcours Zero Trust comprend plusieurs étapes : rendre les applications invisibles sur Internet, s’appuyer sur la segmentation pour connecter en toute sécurité les utilisateurs directement aux applications publiques ou privées sans exposer de données inutiles et améliorer les protections avec des outils de sécurité tels que la tromperie, l’isolation du navigateur et l’inspection du trafic.
Zscaler a intégré la tromperie dans son Zero Trust Exchange pour sécuriser ce parcours.
Vous pouvez en être aux phases initiales d’un projet visant à remplacer votre VPN, à mettre en œuvre une segmentation, ou au terme d’une transformation totale : quelle que soit l’étape, Zscaler Deception peut sécuriser et accélérer ce parcours en vous apportant des solutions dans trois domaines clés de la protection contre les cyber-menaces :
Détecter les appareils compromis
Zscaler Deception installe des leurres sur les terminaux sous la forme de mots de passe, de cookies, de sessions de navigation et de fichiers factices. Ces appâts pointent vers des applications leurres. Cela permet à la fois d’alerter l’équipe de sécurité de la présence d’appareils compromis (à la fois sur le réseau et hors réseau) et de détourner les hackers de leurs cibles en les orientant vers des leurres. Il s’agit d’une couche de défense supplémentaire pour un réseau qui s’étend au-delà du bureau.
Détecter les informations d’identification volées
L’utilisation d’informations d’identification volées afin de compromettre les utilisateurs constitue un défi majeur pour les équipes de sécurité. Zscaler Deception crée des leurres d’infrastructure exposée à Internet. Il peut s’agir de portails VPN ou d’autres services accessibles à distance ciblés par les hackers. Les hackers qui recherchent des cibles sur ces actifs publics et tentent d’utiliser des informations d’identification volées pour y accéder sont instantanément détectés, sans faux positifs.
Détecter le mouvement latéral
Que vous exploitiez encore votre ancien réseau en étoile, que vous opériez une transition ou que vous ayez pleinement adopté l’architecture Zero Trust, il subsistera toujours une exposition résiduelle, provenant des anciens systèmes et des zones à faible visibilité, que les hackers pourraient exploiter pour vous compromettre. Une fois dans votre réseau, ils se déplacent latéralement et escaladent les privilèges. Zscaler Deception installe des leurres d’application qui imitent les serveurs, les bases de données et d’autres applications internes fréquemment ciblées lors des déplacements latéraux. Disposer de leurres internes réduit les risques de votre surface d’attaque et détecte les menaces sérieuses qui ont contourné les mesures de sécurité en place.
Déjouer les ransomwares
Si vous examinez n’importe quelle attaque de ransomware, elle est exécutée sous la forme d’une série d’étapes appelées « kill chain » (chaîne de frappe ou d’exécution). Le hacker commence par exploiter le périmètre pour trouver des applications exposées. Puis, il pénètre le périmètre et scrute le répertoire actif pour trouver des cibles privilégiées. Il utilise ensuite des informations d’identification volées pour se déplacer latéralement. Et enfin, lorsqu’il est en bonne position, il déclenche le ransomware et chiffre les données. Avec la tromperie, nous plaçons des leurres à chaque étape de la chaîne de frappe. En d’autres termes, les défenses de la tromperie sont coordonnées aux étapes de l’attaque. Cela permet de détecter et de perturber l’attaque du ransomware à chaque étape. Zscaler Deception a pu, dans de nombreux scénarios, détecter les attaques de ransomware avant qu’elles ne puissent chiffrer les données.
Fonctionnement
Regarder maintenant
▶Réflexions finales
La tromperie s’inscrit dans le cadre d’une stratégie Zero Trust globale, adoptée par des équipes de sécurité tournées vers l’avenir, qui comprennent que les mesures traditionnelles de protection contre les cybermenaces ne suffisent pas à assurer une protection contre les menaces sérieuses, telles que les ransomwares d’origine humaine, les adversaires « hands-on-keyboard », les attaques de la chaîne d’approvisionnement et les hackers d’État-nation avancés.
MITRE a lancé un nouveau cadre baptisé Engage pour aider les défenseurs à opérationnaliser leurs programmes de tromperie défensive. Tout comme ATT&CK aide les équipes de sécurité à étudier les techniques d’attaque, Engage est une base de connaissances d’approches et de techniques que les équipes de sécurité peuvent utiliser contre les attaques avancées. Le cadre MITRE Engage permettra d’accélérer l’adoption de la tromperie pour la détection des menaces et la défense active. Zscaler Deception propose déjà 99 % des fonctionnalités couvertes par MITRE Engage et est parfaitement intégré à Zscaler Zero Trust Exchange.
« L’attrait de la tromperie réside dans la façon dont elle inverse la situation pour les hackers en puissance. Les équipes de sécurité ne doivent plus traquer les menaces pesant sur le réseau ; au contraire, les hackers sont attirés par des leurres, ce qui ralentit considérablement leur progression et permet aux équipes de sécurité de placer les menaces en quarantaine. Alors que la solution ultime consiste à migrer vers une architecture Zero Trust, éliminant ainsi le risque d’accès au réseau, la tromperie est fondée sur le concept similaire de ne faire confiance à rien ni personne et part du principe que le réseau a déjà été compromis. Cela ouvre aux entreprises une voie pragmatique vers le Zero Trust et leur fournit un moyen simple, mais efficace, d’identifier et d’éliminer les hackers qui pourraient déjà être en train de se déployer latéralement sur le réseau de l’entreprise tout en compromettant les ressources. »
– Jay Chaudhry : PDG, Président et Fondateur de Zscaler
Que vous commenciez tout juste votre parcours Zero Trust ou que vous soyez déjà client de Zscaler, découvrez Zscaler Deception et contactez-nous pour comprendre comment tirer parti de cette nouvelle fonctionnalité afin d’accélérer et de sécuriser votre transition vers le Zero Trust.