Par Rodman Ramezanian - Responsable mondial des menaces liées à l'informatique en nuage, Skyhigh Security
22 octobre 2024 3 Lecture minute
En tant que professionnel de la cybersécurité à l'adresse Skyhigh Security, et en tant que technologue qui se consacre à la défense des actifs critiques de notre pays, j'ai passé des années à observer les acteurs de la menace sonder et exploiter les dispositifs de périphérie orientés vers l'internet - ces passerelles critiques qui relient nos réseaux d'entreprise au monde numérique dans son ensemble. C'est pourquoi j'accueille chaleureusement les dernières orientations du Centre australien de cybersécurité (ACSC ) sur la sécurisation de ces composants d'infrastructure vitaux.
Le moment ne pourrait être mieux choisi. Nous assistons à une recrudescence sans précédent des attaques sophistiquées ciblant les équipements de périphérie, des pare-feu de nouvelle génération aux équilibreurs de charge et aux concentrateurs VPN. Il ne s'agit plus de simples composants de réseau, mais de la première ligne de défense dans un paysage cybernétique de plus en plus hostile. Lorsqu'ils sont compromis, ils peuvent fournir aux attaquants un point d'ancrage privilégié dans nos réseaux, exposant potentiellement des données sensibles et des systèmes critiques.
Le problème fondamental des technologies VPN, par exemple, réside dans le fait qu'elles créent un point d'accès public, une cible constante pour les attaquants à la recherche de faiblesses. Une authentification (ou une exploitation) réussie à l'aide d'un VPN permet à la fois aux utilisateurs et aux attaquants d'accéder à votre réseau. Avec des récompenses potentielles élevées, les VPN restent une cible de choix. Les attaques passées, présentes et futures le prouvent : les données lucratives en font un objectif implacable pour les cybercriminels.
Et comme le dit le vieil adage, "si vous êtes joignable, vous pouvez être violé". Qu'avons-nous appris des menaces récentes ?
- Menaces d'initiés et ingénierie sociale: Lapsus$ nous a montré l'impact considérable de l'exploitation des technologies d'accès à distance basées sur la périphérie en exploitant les initiés de confiance et l'ingénierie sociale.
- Ransomware: Des campagnes comme *Qilin*, *Akira* et *Fog* continuent de cibler les organisations du monde entier qui s'appuient sur des VPN et des identifiants statiques dans des technologies de pointe.
- Vulnérabilités: Des failles critiques et des vulnérabilités de type "zero-day" dans les dispositifs de périphérie de Fortinet, Check Point, Ivanti et d'autres continuent d'exposer les entreprises.
- Campagnes ciblées: Les attaquants ciblent continuellement les technologies VPN basées sur la périphérie de Cisco, Check Point et autres pour pénétrer dans les réseaux à l'aide d'informations d'identification volées.
Ce qui rend les dernières orientations de l'ACSC particulièrement précieuses, c'est son approche holistique de la sécurité des dispositifs de périphérie. Plutôt que de se concentrer uniquement sur les configurations techniques, il souligne l'importance d'une architecture de sécurité complète, de contrôles d'accès appropriés et d'une surveillance continue. Cela correspond parfaitement à ce que nous avons observé sur le terrain : une protection efficace des appareils périphériques nécessite une stratégie à plusieurs niveaux qui associe des contrôles techniques robustes à des pratiques opérationnelles saines.
Ces conseils abordent l'authentification multifactorielle (AMF) comme une stratégie d'atténuation importante, mais j'ajouterais qu'il faut beaucoup plus pour compléter l'AMF de nos jours. Dans de nombreuses cyberattaques et campagnes de menaces susmentionnées, les attaquants ont très facilement contourné l'AFM avec ce que l'on appelle la fatigue de l'AFM ou les techniques de bombardement.
Alors, vous vous demandez peut-être : à quoi d'autre devrions-nous penser ?
L'expression "Zero Trust" vient immédiatement à l'esprit. Malheureusement, Zero Trust a fait l'objet d'un battage médiatique démesuré. Toute cette agitation semble éluder un point fondamental : La confiance zéro n'est pas un produit, et je félicite l'ACSC de ne pas l'avoir suggéré. Si un produit ou un service peut en effet faire partie d'une stratégie de sécurité zéro confiance, aucun produit ne peut à lui seul satisfaire toutes les exigences de la confiance zéro et transformer votre organisation. L'architecture "Zero Trust" nécessite la coordination de multiples systèmes - des services d'identité et d'authentification aux moteurs de classification des données.
Contrairement aux systèmes VPN traditionnels qui ont tendance à faire confiance aux utilisateurs une fois qu'ils se sont connectés au réseau, l'architecture Zero Trust vérifie en permanence chaque utilisateur et chaque appareil qui tente d'accéder aux ressources, indépendamment de leur emplacement ou de leur accès antérieur. Cette vérification constante devient cruciale dans le monde d'aujourd'hui où le travail se fait partout - des réseaux de bureau au Wi-Fi domestique en passant par les cafés - ce qui rend plus difficile le maintien de la sécurité en faisant simplement confiance à tous ceux qui se trouvent à l'intérieur du périmètre d'un réseau d'entreprise.
En ce qui concerne les conseils de l'ACSC, j'insisterais sur la nécessité d'une transition basée sur le risque pour abandonner la sécurité traditionnelle. Bien que les services de sécurité fournis dans le nuage offrent des avantages convaincants, une approche hybride est souvent plus judicieuse d'un point de vue stratégique. Certains systèmes critiques et données sensibles peuvent devoir rester sur site en raison d'exigences réglementaires et/ou de souveraineté, de la sensibilité et de la classification des données, de problèmes de latence ou de considérations relatives à la continuité de l'activité.
La clé est de moderniser la sécurité en périphérie tout en reconnaissant que les différentes parties de votre infrastructure peuvent nécessiter des approches différentes. Cela peut signifier qu'il faut conserver certains composants et infrastructures sur site qui respectent encore les principes Zero Trust pour des cas d'utilisation spécifiques, tout en adoptant des services de sécurité en nuage pour d'autres, en veillant à ce que chaque choix soit guidé par l'évaluation des risques plutôt que par un mandat universel de type "cloud-first".
Ces lignes directrices nous rappellent que la sécurité en périphérie va au-delà des correctifs et des règles de pare-feu. Il s'agit de construire des systèmes résilients qui concilient la sécurité et les besoins de l'entreprise. Alors que le travail hybride et les chaînes d'approvisionnement numériques complexes deviennent la norme, les nouvelles lignes directrices de l'ACSC en matière de sécurité périphérique offrent une base solide pour protéger les points d'entrée cruciaux de nos réseaux.
Bien que certains puissent affirmer que les nouvelles orientations de l'ACSC en matière de sécurité périphérique ne sont pas suffisamment exhaustives ou normatives pour "couvrir toutes les bases", elles constituent un rappel important et un appel à l'action pour réévaluer la forte dépendance à l'égard des technologies traditionnelles basées sur la périphérie et le périmètre, qui sont toujours prédominantes dans notre gouvernement et dans les secteurs des infrastructures critiques, malgré l'évolution de nombreuses menaces.
Retour à Blogs