ClickCease Insuffisance de la surveillance interne des réseaux dans le domaine de la cybersécurité

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Insuffisance de la surveillance interne des réseaux dans le domaine de la cybersécurité

par Joao Correia

January 15, 2024 - Technical Evangelist

Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.

Une surveillance efficace du réseau interne est essentielle pour détecter et atténuer les cybermenaces. Une surveillance insuffisante peut rendre les organisations vulnérables à des compromissions adverses non détectées. Ce chapitre examine les conséquences d'une surveillance inadéquate des réseaux et propose des stratégies pour améliorer les capacités de surveillance.

 

Le problème d'une surveillance insuffisante

 

Limites des configurations de l'hôte et des capteurs de réseau

 

De nombreuses organisations ne parviennent pas à configurer de manière optimale les capteurs d'hôte et de réseau pour la collecte du trafic et la journalisation de l'hôte final. Cette inadéquation peut conduire à une compromission non détectée et limite la capacité à collecter les données de trafic nécessaires à l'établissement d'une base de sécurité et à la détection des anomalies.

 

Défis posés par la surveillance basée sur l'hôte uniquement

 

S'appuyer uniquement sur la surveillance basée sur l'hôte peut s'avérer insuffisant, car cette approche renseigne sur les activités nuisibles sur les hôtes individuels, mais pas sur les activités transitant entre les hôtes. Par exemple, une organisation disposant d'une surveillance basée sur l'hôte pourrait identifier les hôtes infectés mais pas la source de l'infection, ce qui entraverait les efforts visant à prévenir les mouvements latéraux et les infections à l'avenir.

En outre, l'absence d'une corrélation de surveillance adéquate entre les hôtes rend difficile la compréhension des schémas - que ce soit avant ou après l'exploitation - ce qui entraîne des inefficacités et des oublis potentiels lorsqu'il s'agit de rectifier la situation.

 

Défaut de détection des mouvements latéraux et des activités de commandement et de contrôle

 

Les organisations dont la surveillance du réseau est insuffisante risquent de ne pas détecter les mouvements latéraux et les activités de commandement et de contrôle au sein de leurs réseaux. Même des mesures de cybersécurité matures peuvent être compromises si la surveillance du réseau n'est pas complète, comme le montrent les équipes d'évaluation qui obtiennent un accès approfondi sans déclencher de réponse de la part des services de sécurité.

Stratégies d'atténuation

Établir une base de référence pour les applications et les services

 

Auditer régulièrement l'accès et l'utilisation des applications et des services, en particulier pour les activités administratives. Cette pratique permet de comprendre le comportement normal du réseau, ce qui facilite la détection des anomalies.

 

Mise en œuvre d'une surveillance complète du réseau

 

Combinez la surveillance des hôtes avec la surveillance du réseau pour obtenir une vue d'ensemble du paysage de la cybersécurité. Cette combinaison permet de détecter les activités malveillantes à la fois sur les hôtes individuels et lorsqu'ils se déplacent sur le réseau.

 

Audits réguliers du trafic sur le réseau

 

Effectuer des audits de routine du trafic et des schémas du réseau afin d'identifier les activités inhabituelles ou les tentatives d'accès non autorisé. Cette approche proactive permet de détecter rapidement les menaces potentielles et d'y répondre.

 

Utilisation d'outils analytiques avancés

 

Utiliser des outils analytiques et des algorithmes avancés pour analyser le trafic réseau et y déceler des schémas révélateurs de cybermenaces. Les techniques d'apprentissage automatique peuvent être particulièrement efficaces pour détecter des attaques sophistiquées qui pourraient échapper aux méthodes de surveillance traditionnelles.

 

Former le personnel aux pratiques de surveillance du réseau

 

Veillez à ce que le personnel informatique soit bien formé aux pratiques de surveillance du réseau et soit au courant des dernières cybermenaces. Des sessions de formation régulières peuvent aider l'équipe à se tenir au courant des nouvelles technologies et des nouveaux vecteurs d'attaque.

 

Créer des plans de réponse aux incidents

 

Élaborer et mettre à jour régulièrement des plans d'intervention en cas d'incident comprenant des procédures de réaction aux anomalies détectées par la surveillance du réseau. Ces plans doivent comporter à la fois des réponses techniques et des stratégies de communication.

 

Appliquer une séparation adéquate des hôtes

 

S'il n'y a aucune raison pour que deux hôtes communiquent, il faut envisager de les déplacer sur des segments de réseau distincts. Bien qu'il ne s'agisse pas d'une politique de surveillance à proprement parleril s'agit au moins de réduire la visibilité et l'exposition des acteurs de la menace.

 

Modifier les règles de blocage pour les transformer en règles de blocage et d'abattage

 

Identifier et enquêter sur les tentatives bloquées de communication entre des systèmes distincts. Le simple fait de bloquer la connexion peut permettre aux tentatives d'exploration de rester indétectées pendant de longues périodes.

 

Conclusion

 

En comprenant les lacunes des pratiques de surveillance actuelles et en mettant en œuvre ces stratégies d'atténuation, les organisations peuvent améliorer considérablement leur capacité à détecter les cybermenaces et à y répondre.

Résumé
Insuffisance de la surveillance interne des réseaux dans le domaine de la cybersécurité
Nom de l'article
Insuffisance de la surveillance interne des réseaux dans le domaine de la cybersécurité
Description
Il explore les implications d'une surveillance inadéquate des réseaux et propose des stratégies pour améliorer les capacités de surveillance.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !