.png)
Pourquoi la détection des menaces nécessite une segmentation Zero Trust
Cet article a été initialement publié sur channelfutures.com.
Au cours de la dernière décennie, la cybersécurité est devenue infiniment plus complexe. Par conséquent, de nombreuses organisations se sont tournées vers des fournisseurs de services de sécurité gérés (MSSP) pour les protéger. Jusqu'à présent, ils se sont concentrés presque entièrement sur la détection des menaces et la réponse à celles-ci, mais cette décision a eu des conséquences négatives et imprévues.
Pour la plupart des organisations, qu'elles soient commerciales, à but non lucratif ou du secteur public, la cybersécurité n'est pas une compétence essentielle. C'est pourquoi beaucoup en ont sous-traité une partie ou la totalité à un MSSP. Et cette externalisation ne concerne pas uniquement les opérations de sécurité ; elle concerne souvent l'ensemble de la fonction de cybersécurité, y compris les achats et la planification stratégique.
Lorsque le client d'un MSSP est victime d'une faille de sécurité très médiatisée, telle qu'une attaque de rançongiciel généralisée, les conversations qui s'ensuivent ne sont pas agréables. La seule raison pour laquelle une entreprise sous-traite sa fonction de sécurité à un MSSP est d'éviter ces conséquences, ainsi que la publicité, les coûts et les dommages à la marque qui en découlent.
AI : Une panacée ou un outil qui a besoin d'assistance ?
De nombreux fournisseurs ont convaincu les entreprises que la réponse à leurs prières est la détection des menaces basée sur l'IA. On leur a fait croire que s'ils dépensaient juste assez d'argent pour l'IA, ils arrêteraient ces attaquants ultra-sournois. Ils sont tombés dans un terrier de détection basé sur l'IA, mais les résultats auxquels ils s'attendaient ne se sont pas concrétisés. Ils ne se sont pas produits.
Bien que je convienne que la détection des menaces basée sur l'IA constitue une avancée majeure pour notre secteur, celui-ci a besoin d'aide pour faire son travail. Entrez Segmentation Zero Trust.
Si vous segmentez le réseau avant de partir à la recherche des menaces, la tâche de détection, qu'elle soit assistée par l'IA ou non, devient beaucoup plus simple et plus rapide. Vous réduisez la taille de la surface d'attaque sur laquelle vous devez rechercher les menaces. La segmentation préventive élimine de nombreuses voies qui permettraient autrement aux attaquants de se déplacer latéralement sur le réseau interne.
La métaphore que j'utilise est la suivante : plutôt que de chercher une aiguille dans une grosse botte de foin complexe, vous créez de nombreuses micro-botte de foin. Vos outils peuvent alors examiner l'intérieur de ces micro-meules de foin en parallèle, de sorte que vous trouverez probablement cette aiguille bien plus tôt.
Ce qu'un navire peut nous apprendre sur la segmentation
Il y a des années, lors de ma première affectation en service actif en tant qu'aspirant de marine américaine, je suis monté à bord de l'USS McCloy, dont la mission principale était de chasser, de détecter et de dissuader les sous-marins ennemis au large des côtes américaines. Je venais de terminer ma première année d'université en génie électrique et je suivais une formation pour devenir officier dans la marine américaine. J'étais impatiente de découvrir la technologie sophistiquée de détection des sous-marins ennemis de la Navy et de rencontrer les membres de l'équipe d'élite de détection des menaces de McCloy.
Imaginez donc ma surprise le premier jour quand on m'a remis des clés et des tournevis, en compagnie d'un autre membre de l'équipage, et qu'on m'a confié la tâche de m'assurer que les quelque 30 « trappes » en acier (ou portes) du McCloy étaient en forme de navire. Et s'ils ne l'étaient pas, pour effectuer des réparations. Merci d'avoir aidé mes camarades de bord à traquer des adversaires malveillants !
En accomplissant ma mission, j'ai pensé à l'expression « fermer les écoutilles ». Il est né dans le 19th siècle où, au début d'une tempête majeure ou d'un autre risque de rupture d'eau, les capitaines de navires ordonnaient à leur équipage de fermer toutes les portes du navire et de les barricader à l'aide de barres de bois ou de « lattes ». Aujourd'hui, cette phrase est une métaphore de la sagesse qui consiste à prendre des mesures immédiates et décisives dès l'apparition de tout risque majeur.
J'ai fini par comprendre que tous les experts d'élite des McCloy en matière de technologie et de chasse aux menaces risqueraient d'échouer dans leur mission si les trappes du McCloy n'étaient pas là pour les protéger. Grâce à l'architecture de segmentation intégrée du McCloy et à ses écoutilles qui fonctionnent bien, une brèche dans la coque ne provoquerait pas une propagation latérale de l'eau d'un couloir à l'autre et d'une pièce à l'autre, ce qui empêcherait le navire de couler.
L'équivalent cybernétique de Battening Down the Hatches
Dans le film de 1990 « The Hunt for Red October », le Red October était un sous-marin russe doté de la technologie de détection et d'évitement la plus avancée. Dans l'équivalent cybernétique actuel, nous ne sommes pas à la recherche de sous-marins insaisissables, mais de des cyberadversaires de plus en plus furtifs et sophistiqués sur les réseaux électroniques.
Les chasseurs de cybermenaces doivent segmenter leurs réseaux à l'aide de « trappes » électroniques pour empêcher le mouvement latéral des intrusions. En cas de faille dans votre réseau, vous ne voulez pas que des logiciels malveillants ou des rançongiciels se propagent. C'est pourquoi vous devez diviser le réseau en compartiments individuels qui font office de barrières.
La segmentation est un outil de sécurité, en plus de la détection et de la réponse gérées (MDR), qui Les MSSP peuvent proposer en tant que service, Zero Trust Segmentation en tant que service.
Dans mon prochain blog, j'expliquerai plus en détail pourquoi la segmentation (et, plus précisément, la segmentation basée sur l'hôte) est un complément parfait à une détection et à une réponse gérées robustes. Ce n'est pas seulement bon pour les clients du MSSP, mais aussi pour le MSSP.
.webp)
