Sécurité réseaux : transformez les modèles traditionnels dès maintenant !
Les entreprises doivent partir du principe que les malwares sont déjà présents sur les divers périphériques non gérés des collaborateurs qui se connectent au réseau, voire même dans les serveurs ou les machines virtuelles.
Dans un contexte de cybersécurité en pleine mutation, l’échelle et la magnitude des failles de sécurité obligent l’ensemble des organisations à repenser la mise en place et la gestion de la sécurité. Les entreprises doivent en effet partir du principe que les malwares sont déjà présents sur les divers périphériques non gérés des collaborateurs qui se connectent au réseau, voire même dans les serveurs du réseau ou les machines virtuelles (VM).Cette nouvelle réalité pousse les responsables réseaux à considérer l’intérieur des réseaux, des environnements virtualisés et des terminaux des utilisateurs comme une source de menace. Cela fait émerger un besoin de restructuration de l’architecture de sécurité, de regarder l’ensemble du trafic du réseau, et d’identifier les zones ayant été compromises.
Disparition de la « présomption de confiance »
Le modèle
traditionnel des réseaux de sécurité est apparu au milieu des années 90, peu
après l’arrivée d’internet. Il partait du principe que les contrôles d’accès
permettant d’autoriser ou de bloquer le trafic étaient placés aux points de
rencontre entre la connectivité internet et le réseau. Ces méthodes sont
devenues caduques aujourd’hui, en raison de la sophistication des attaques
informatiques et de la disparition des contours du périmètre de sécurité. Les
pare-feu, ainsi que les systèmes de prévention et de détection des intrusions
(IDS/IPS), sont préréglés selon des critères de bon et de mauvais trafic. C’est
la raison pour laquelle les menaces les plus insidieuses de type «Zero
day» sont difficilement identifiables : les pare-feu et IPS en place ne les
reconnaissent pas et ignorent comment s’en défendre, ce qui rend ces systèmes
de sécurité facilement contournables. En
outre, les employés utilisent une variété de périphériques en situation
de mobilité, qu’ils introduisent souvent eux-mêmes dans l’entreprise pour se
connecter aux ressources importantes et vulnérabilisent ainsi chaque point de
connectivité aux attaques. Que ce soit involontaire ou occasionnellement
délibéré, les terminaux “autorisés ” par les pare feu et IPS deviennent le
tremplin d’attaques et d’exfiltrations de données de grande envergure.
Le cloud et la
virtualisation suppriment les contours des périmètres de sécurité
Les architectures de sécurité et les niveaux de défense
actuels ont largement évolué autour des réseaux terrestres dont les modèles de
trafic sont fixes et prévisibles ; la plupart des systèmes de protection
DDoS, IPSs, FWs et leurs équivalents sont placés aux points d’entrée des
datacenters où le trafic circule du nord (internet) vers des points spécifiques
au sud (groupes de serveurs facilitant l’accès et le contrôle du trafic). Avec
l’arrivée des infrastructures cloud et des machines virtuelles, de nouvelles
zones d’ombre et des points d’interconnexion imprévisibles sont apparus. Les
VM, qui remplacent efficacement les serveurs physiques, peuvent bouger en un
clic, selon un planning ou de manière automatique et il en est de même
pour les flux de trafic qu’ils gèrent. Un malware ayant infecté une VM peut ainsi
rester longtemps indétectable dans le système. Une vue de l’ensemble du trafic des
environnements virtualisés permettrait aux organisations de détecter les zones
de compromission du réseau et d’apporter une réponse appropriée pour réduire
les risques.
La visibilité est
essentielle
Aujourd’hui, la question n’est plus “si” mais “quand” et “où” le réseau est victime d’une attaque. La mise en place d’une stratégie de détection et de réponse repose sur un pilier essentiel : la visibilité dans l’ensemble des endroits où circule le trafic. De cette manière, les outils, les processus et les analyses sont mis en place pour identifier et colmater les brèches.
Jusqu’à présent, afin d’avoir une visibilité aussi large que complète des réseaux, les organisations passaient par l’activation des outils de diagnostic disponibles sur les routeurs, la mise en place d’appliances de sécurité dans le réseau interne, et le fait de glaner des copies du trafic à partir de ports mirroring installés sur les switches. Ces méthodes, non conçues spécifiquement pour donner une vue d’ensemble du réseau, se révèlent coûteuses, réduisent la performance réseau et n’apportent finalement pas de valeur ajoutée. De plus, le matériel spécialisé de monitoring et de sécurité s’accumule et ces périphériques qui s’avèrent incompatibles avec la vitesse du trafic réseau interne deviennent des goulots d’étranglement. De même, les routeurs et les switches peuvent s’enliser à cause de fonctions annexes, en particulier aux heures de pointe, et transférer alors du trafic moins fiable (échantillonnage ou drops de paquets).
En revanche une approche avec un matériel spécialisé dans la collecte de flux tels que les « visibility fabrics » agrège, corrèle et répartit le trafic réseau sur l'ensemble des outils de sécurité et des outils d'analyse qui en ont besoin, et ce en haut débit et de manière indépendante du réseau de production.
Ces nouveaux outils de visibilité proposés sur le marché ont gagné en popularité au cours des dernières années et sont perçus comme la meilleure option pour regagner la visibilité dans le réseau. Ils permettent ainsi un déploiement évolutif d'outils de sécurité et d'optimisation / de suivi de la performance. De plus, la mise en place d’une matrice de visibilité signifie que les appliances de sécurité n’ont plus besoin d’atteindre directement des points de collecte du trafic spécifiques à l’intérieur du réseau, ou de lutter en concurrence avec d’autres outils pour accéder au trafic réseau. Elle permet également d’éliminer la complexité associée à la collecte et l’agrégation d’un grand nombre d’interfaces réseau et de rétablir aussi la visibilité des flux de trafic dit « virtuels ». Une plateforme de visibilité peut se connecter au réseau via des segments physiques et virtuels. Elle envoie ensuite le trafic réseau ou une copie du trafic réseau aux solutions de sécurité qui se connectent simplement à la plateforme de visibilité, quelle que soit la vitesse de l’interface.
Centraliser l’agrégation et la distribution du trafic permet aux administrateurs réseau et sécurité de limiter les coûts liés aux reconfigurations, à la latence du réseau et à l’approvisionnement d’outils de sécurité supplémentaires. Les solutions de sécurité sont donc optimisées et reçoivent le bon trafic au bon moment sans augmenter les puissances de calculs pour le faire. Toutefois, la sécurité globale du réseau est surtout accrue par la réduction des faux positifs – le contrôle statistique des résultats de trafic pour une meilleure détection – et l’élimination des zones d’ombre du réseau.
Le modèle traditionnel des réseaux de sécurité incite les entreprises à investir massivement dans des solutions de blocage et de prévention. Selon la majorité des spécialistes, les malware et les menaces persistantes avancées (ou APT – Advanced Persistent Threats) sont présents dans la majorité des réseaux d’aujourd’hui confirmant la nécessité pour les organisations de mettre en place en priorité des politiques de détection et de réponse. Pour ce faire, la mise en place de plateformes de visibilité permet de surveiller largement les réseaux de sécurité afin de détecter les intrusions dans les réseaux.