Dans le paysage de la cybersécurité en constante évolution, il est primordial de garder une longueur d’avance sur les menaces potentielles. La plupart des professionnels de la cybersécurité et des réseaux reconnaissent la nécessité d’une surveillance ou d’une inspection Nord-Sud du trafic réseau qui entre et sort du réseau. Cependant, aucune solution ne peut détecter et bloquer avec précision tout trafic suspect sans impacter les opérations commerciales. Les organisations ne peuvent donc pas se permettre de négliger les relations Est-Ouest. surveillance du trafic, qui fait référence aux communications au sein du réseau. Le trafic Est-Ouest comprend les communications professionnelles essentielles entre les clients, les employés, les applications et les serveurs, mais peut inclure des acteurs malveillants déguisant leurs actions en communications professionnelles normales.
Le trafic Est-Ouest comprend les réseaux locaux d’entreprise (LAN) vers les bureaux régionaux, le LAN vers les centres de données internes, la communication au sein des centres de données internes (par exemple, du serveur Web frontal au serveur de base de données principal) et la communication au sein d’un réseau cloud. centre de données. Nous explorerons l’importance d’utiliser Réseau Est-Ouest visibilité pour protéger les données et les actifs critiques, également appelés les « joyaux de la couronne » d’une organisation, et comment atténuer efficacement l’impact commercial de ces services s’ils sont compromis par une attaque.
Pourquoi la surveillance du trafic est-ouest est importante
Une attaque typique contre une entreprise commence par l’accès initial ou la compromission d’au moins un ordinateur ou un utilisateur. Cet accès initial permet à l’attaquant de parcourir le réseau, de découvrir les données précieuses qu’il souhaite voler ou corrompre et d’exécuter sa mission. La surveillance Nord-Sud est conçue pour détecter et bloquer cet accès initial, mais les attaquants trouvent souvent un moyen de violer cette couche de sécurité et de compromettre un système. À moins que vous ne puissiez surveiller le trafic est-ouest, l’attaquant peut mener ses opérations à partir d’un ordinateur ou d’un utilisateur compromis sans être détecté. L’attaquant peut utiliser de nombreuses techniques pour découvrir votre réseau, se déplacer latéralement pour compromettre d’autres ordinateurs, acquérir des comptes d’utilisateurs et des informations d’identification, découvrir, collecter et voler des données critiques et corrompre des données. La détection précoce de cette activité est nécessaire pour détecter la présence d’une attaque au sein du réseau et contrecarrer l’activité avant que des dommages ne soient causés à l’entreprise.
La surveillance du trafic est-ouest nécessite l’identification du fonctionnement normal du réseau et la détection des écarts dans le comportement du réseau. Les exemples incluent la compréhension de qui (utilisateurs et autres serveurs) communique habituellement avec vos serveurs critiques, les protocoles réseau utilisés pour ces communications et le comportement typique de ces canaux de communication. Des écarts par rapport au comportement habituel pourraient indiquer une attaque.
Le temps est critique lors d’un incident de sécurité. La surveillance du trafic est-ouest basée sur la sécurité fournit visibilité en temps réel dans les activités du réseau interne, permettant des réponses rapides aux menaces potentielles et minimisant l’impact des incidents de sécurité.
La protection des joyaux de la couronne nécessite une meilleure visibilité du réseau
Dans le monde d’aujourd’hui, les équipes de sécurité ont besoin d’une visibilité de bout en bout sur l’ensemble de leur réseau d’entreprise, depuis SD-WAN et des bureaux distants aux environnements hybrides/multi-cloud en passant par les co-los et les centres de données. En cas de manque de visibilité, les équipes SecOps n’ont pas une vision adéquate de toutes les étapes du processus. ATTAQUE À ONGLET&CK cadre. Les équipes de sécurité supposent que le réseau a déjà été piraté. En d’autres termes, les phases initiales de MITRE ATT&CK – reconnaissance et accès initial – ont déjà eu lieu. S’appuyer uniquement sur la visibilité du réseau Nord-Sud devient désormais insuffisant pour suivre les mouvements internes de l’attaquant et progresser dans le cadre MITRE ATT&CK, qui comprend l’exécution, la persistance, l’élévation des privilèges, l’évasion de la défense, l’accès aux informations d’identification, la découverte, le mouvement latéral et les tactiques de collecte. .
Une entreprise qui s’appuie uniquement sur la visibilité du réseau Nord-Sud ne peut voir que la compromission initiale et l’exfiltration des données. Ils sont aveugles à la plupart des tactiques et techniques des attaquants exécutées au sein du réseau à l’aide d’un ordinateur compromis. Si la compromission initiale n’est pas détectée, seule l’exfiltration est visible, ce qui peut être difficile à détecter car les attaquants savent comment se fondre dans le trafic normal. Même si l’exfiltration est détectée, il est trop tard pour éviter des dommages à l’entreprise. Votre seul recours est de déterminer quelles données ont été volées et d’informer vos clients et employés de la violation survenue. Souvent, les ransomwares sont exécutés en plus ou à la place de l’exfiltration de données, ce qui signifie que la détection n’a lieu que lorsque l’entreprise a été gravement endommagée. Cependant, avec la visibilité Est-Ouest, il existe de nombreuses possibilités supplémentaires de détecter les activités suspectes et malveillantes, même si la première compromission est manquée.
Les attaques de cette nature soulignent la nécessité d’une surveillance complète et continue du réseau, d’une compréhension des stratégies de réponse et d’une visibilité sans entrave pour détecter les anomalies qui englobent le trafic circulant dans toutes les directions. Grâce à des solutions internes et externes, les équipes informatiques, NetOps et SecOps peuvent mettre en œuvre une surveillance complète de la visibilité, en exploitant les données dérivées du trafic de paquets réseau, aidant ainsi à résoudre les problèmes difficiles à isoler dans les environnements hybrides et distants.
Certaines solutions de sécurité permettent aux organisations informatiques de surveiller en permanence chaque périphérie de leur environnement et de recueillir des informations en temps réel grâce à une inspection approfondie des paquets dans les communications Nord-Sud. À mesure que les entreprises grandissent et mûrissent, elles ont besoin de solutions évolutives pour garantir une visibilité complète du réseau sur tous les canaux de communication Nord-Sud et Est-Ouest. Des solutions de cette nature permettront aux organisations informatiques de sécuriser les joyaux de la couronne de l’ensemble de leur réseau avant qu’une attaque réussie ne se produise et avant qu’une attaque ne nuise à l’entreprise.
Un dernier mot
En fin de compte, en comprenant le paysage des menaces du réseau, les équipes de gestion informatique peuvent mieux comprendre et identifier où résident les joyaux de la couronne afin de rendre plus visibles les comportements anormaux aux équipes NetOps et SecOps lorsque des menaces surviennent. La meilleure façon de détecter et de remédier à ce comportement atypique du réseau consiste à assurer une visibilité réseau est-ouest. Lorsque les joyaux de la couronne sont attaqués, les équipes de sécurité peuvent rapidement vérifier et authentifier le trafic, réduisant ainsi le risque d’accès non autorisé au réseau, de découverte, de mouvement latéral et de collecte de données.
Articles Liés: