Insuffisance de la surveillance interne des réseaux dans le domaine de la cybersécurité
Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.
Une surveillance efficace du réseau interne est essentielle pour détecter et atténuer les cybermenaces. Une surveillance insuffisante peut rendre les organisations vulnérables à des compromissions adverses non détectées. Ce chapitre examine les conséquences d'une surveillance inadéquate des réseaux et propose des stratégies pour améliorer les capacités de surveillance.
Le problème d'une surveillance insuffisante
Limites des configurations de l'hôte et des capteurs de réseau
De nombreuses organisations ne parviennent pas à configurer de manière optimale les capteurs d'hôte et de réseau pour la collecte du trafic et la journalisation de l'hôte final. Cette inadéquation peut conduire à une compromission non détectée et limite la capacité à collecter les données de trafic nécessaires à l'établissement d'une base de sécurité et à la détection des anomalies.
Défis posés par la surveillance basée sur l'hôte uniquement
S'appuyer uniquement sur la surveillance basée sur l'hôte peut s'avérer insuffisant, car cette approche renseigne sur les activités nuisibles sur les hôtes individuels, mais pas sur les activités transitant entre les hôtes. Par exemple, une organisation disposant d'une surveillance basée sur l'hôte pourrait identifier les hôtes infectés mais pas la source de l'infection, ce qui entraverait les efforts visant à prévenir les mouvements latéraux et les infections à l'avenir.
En outre, l'absence d'une corrélation de surveillance adéquate entre les hôtes rend difficile la compréhension des schémas - que ce soit avant ou après l'exploitation - ce qui entraîne des inefficacités et des oublis potentiels lorsqu'il s'agit de rectifier la situation.
Défaut de détection des mouvements latéraux et des activités de commandement et de contrôle
Les organisations dont la surveillance du réseau est insuffisante risquent de ne pas détecter les mouvements latéraux et les activités de commandement et de contrôle au sein de leurs réseaux. Même des mesures de cybersécurité matures peuvent être compromises si la surveillance du réseau n'est pas complète, comme le montrent les équipes d'évaluation qui obtiennent un accès approfondi sans déclencher de réponse de la part des services de sécurité.
Stratégies d'atténuation
Établir une base de référence pour les applications et les services
Auditer régulièrement l'accès et l'utilisation des applications et des services, en particulier pour les activités administratives. Cette pratique permet de comprendre le comportement normal du réseau, ce qui facilite la détection des anomalies.
Mise en œuvre d'une surveillance complète du réseau
Combinez la surveillance des hôtes avec la surveillance du réseau pour obtenir une vue d'ensemble du paysage de la cybersécurité. Cette combinaison permet de détecter les activités malveillantes à la fois sur les hôtes individuels et lorsqu'ils se déplacent sur le réseau.
Audits réguliers du trafic sur le réseau
Effectuer des audits de routine du trafic et des schémas du réseau afin d'identifier les activités inhabituelles ou les tentatives d'accès non autorisé. Cette approche proactive permet de détecter rapidement les menaces potentielles et d'y répondre.
Utilisation d'outils analytiques avancés
Utiliser des outils analytiques et des algorithmes avancés pour analyser le trafic réseau et y déceler des schémas révélateurs de cybermenaces. Les techniques d'apprentissage automatique peuvent être particulièrement efficaces pour détecter des attaques sophistiquées qui pourraient échapper aux méthodes de surveillance traditionnelles.
Former le personnel aux pratiques de surveillance du réseau
Veillez à ce que le personnel informatique soit bien formé aux pratiques de surveillance du réseau et soit au courant des dernières cybermenaces. Des sessions de formation régulières peuvent aider l'équipe à se tenir au courant des nouvelles technologies et des nouveaux vecteurs d'attaque.
Créer des plans de réponse aux incidents
Élaborer et mettre à jour régulièrement des plans d'intervention en cas d'incident comprenant des procédures de réaction aux anomalies détectées par la surveillance du réseau. Ces plans doivent comporter à la fois des réponses techniques et des stratégies de communication.
Appliquer une séparation adéquate des hôtes
S'il n'y a aucune raison pour que deux hôtes communiquent, il faut envisager de les déplacer sur des segments de réseau distincts. Bien qu'il ne s'agisse pas d'une politique de surveillance à proprement parleril s'agit au moins de réduire la visibilité et l'exposition des acteurs de la menace.
Modifier les règles de blocage pour les transformer en règles de blocage et d'abattage
Identifier et enquêter sur les tentatives bloquées de communication entre des systèmes distincts. Le simple fait de bloquer la connexion peut permettre aux tentatives d'exploration de rester indétectées pendant de longues périodes.
Conclusion
En comprenant les lacunes des pratiques de surveillance actuelles et en mettant en œuvre ces stratégies d'atténuation, les organisations peuvent améliorer considérablement leur capacité à détecter les cybermenaces et à y répondre.