Absence de segmentation du réseau en matière de cybersécurité
Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.
-
La segmentation du réseau est une pratique essentielle de cybersécurité qui consiste à créer des frontières de sécurité au sein d'un réseau. L'absence d'une segmentation adéquate du réseau peut rendre une organisation vulnérable à des failles de sécurité généralisées. Cet article aborde les risques associés à une segmentation inadéquate du réseau et présente des stratégies pour une mise en œuvre efficace.
Risques d'une segmentation inadéquate du réseau
Pas de frontières de sécurité
Sans segmentation du réseau, il n'y a pas de frontières de sécurité définies entre les différentes zones du réseau, telles que les réseaux d'utilisateurs, de production et de systèmes critiques. Cette absence de séparation permet aux attaquants qui compromettent une partie du réseau de se déplacer latéralement à travers différents systèmes sans être inquiétés.
Vulnérabilité accrue aux ransomwares et aux techniques de post-exploitation
Les réseaux non segmentés sont beaucoup plus sensibles aux attaques de ransomware et aux techniques de post-exploitation. L'absence de cloisonnement signifie qu'une fois qu'un attaquant a obtenu l'accès, il peut potentiellement exploiter l'ensemble du réseau.
Risque pour les environnements technologiques opérationnels (OT)
Le manque de segmentation entre les environnements IT et OT met l'OT en danger. Malgré l'assurance que les réseaux sont protégés, les équipes d'évaluation ont souvent eu accès à des réseaux OT par le biais de connexions négligées ou accidentelles.
Difficulté d'établir des points de contrôle
Si tous les systèmes peuvent communiquer avec tous les autres systèmes, il est pratiquement impossible d'enregistrer et de surveiller correctement les activités entre eux. L'adoption d'une architecture comportant des points de contrôle clairement définis où des sondes de surveillance peuvent être déployées accroît la sécurité et permet de détecter plus rapidement les activités anormales.
Stratégies d'atténuation
Mettre en œuvre des pare-feu de nouvelle génération
Utiliser des pare-feu de nouvelle génération pour le filtrage en profondeur des paquets, l'inspection avec état et l'inspection des paquets au niveau de l'application. Cette pratique permet de refuser ou d'abandonner le trafic qui ne correspond pas aux protocoles d'application autorisés, limitant ainsi la capacité d'un attaquant à exploiter les vulnérabilités du réseau.
Ingénieur Segments de réseau
Isoler les systèmes, les fonctions et les ressources critiques en créant des segments de réseau. Mettre en œuvre des contrôles de segmentation physique et logique pour créer des zones de sécurité distinctes au sein du réseau. Cet isolement permet de contenir les failles dans un segment spécifique et d'éviter qu'elles n'affectent l'ensemble du réseau.
Lorsque l'on commence à mettre en œuvre des segments de réseau, un point de départ acceptable consiste à segmenter les préoccupations en fonction des responsabilités de l'entreprise - par exemple, en séparant les systèmes des différents départements les uns des autres. Toutefois, les systèmes traitant des questions transversales, comme la gestion des identités, doivent fonctionner au-delà de ces frontières ou être mis en œuvre de manière à ce que la délégation effective des responsabilités soit gérée par différents serveurs, dans différents segments. Imaginez, par exemple, des contrôleurs de domaine distincts sur chaque segment, qui ne communiquent qu'entre eux et avec les systèmes de leurs segments respectifs, plutôt qu'un contrôleur de domaine unique accessible à tous les systèmes de tous les segments. Il est indispensable de bien peser le pour et le contre d'une séparation supplémentaire mais d'une surcharge administrative plus importante.
Mettre en place des mesures de contrôle d'accès strictes
Mettre en œuvre des mesures strictes de contrôle d'accès pour chaque segment du réseau. Veiller à ce que seuls les utilisateurs et les systèmes autorisés puissent accéder aux zones sensibles du réseau.
Audits et contrôles réguliers
Effectuer des audits réguliers et une surveillance continue des segments du réseau afin de détecter tout accès non autorisé ou toute anomalie. Cette pratique est essentielle pour maintenir l'intégrité du réseau segmenté.
Formation et sensibilisation
Former le personnel à l'importance de la segmentation du réseau et à son rôle dans la cybersécurité. Veiller à ce qu'il comprenne les procédures de maintenance et de surveillance des réseaux segmentés.
Intégration dans les plans de réponse aux incidents
Veillez à ce que vos plans de réponse aux incidents tiennent compte de l'architecture des réseaux segmentés. Cette intégration permet de contenir et de répondre plus rapidement aux incidents de sécurité dans les zones segmentées.
Une segmentation efficace du réseau est essentielle pour réduire la surface d'attaque d'une organisation et limiter la propagation des failles de sécurité. En mettant en œuvre les stratégies recommandées, les organisations peuvent améliorer la sécurité de leur réseau et leur résistance aux diverses cybermenaces.