Les types de sécurité du réseau que vous implémenter doivent dépendre du contexte actuel des menaces. Il inclut les acteurs malveillants, vecteurs et vulnérabilités actuels. Sur la base de ces informations, vous devez ensuite ajouter des contrôles à votre environnement de réseau pour réduire la probabilité d’une attaque et diminuer son impact si elle réussit.
La sécurité ajoutée à un environnement de réseau doit se fonder sur le contexte actuel des menaces et sur celui prévu pour l'avenir. Cela s'applique aux réseaux à domicile, en entreprise ou de fournisseur de services.
Une sécurité efficace du réseau prend en compte les vulnérabilités, hackers ou autres acteurs malveillants connus, et les tendances actuelles en matière d'attaque. Pour ajouter correctement de la sécurité à un réseau, vous devez comprendre quels sont tous les actifs exposés de votre entreprise et comment ils peuvent être compromis.
Le contexte ou l’environnement actuel des menaces inclut de nombreux éléments, qu'il est important d’identifier et de comprendre. Vous pouvez ainsi acquérir les connaissances nécessaires pour agir de la manière appropriée.
Commençons par les acteurs malveillants. Il s'agit des personnes qui lancent des attaques et pénètrent dans les systèmes. Les acteurs malveillants sont des personnes ou des entités qui ont différents objectifs, selon leur type.
Le vecteur de menaces est le chemin emprunté par l'attaque. L'attaquant peut simplement demander à quelqu’un d’ouvrir une porte physiquement dans le bâtiment ; c’est de l’ingénierie sociale basique. L’attaque peut aussi être bien plus compliquée et nécessiter d'importantes compétences.
Par exemple, une attaque commence fréquemment par une attaque d’ingénierie sociale, nommée phishing. Un utilisateur se fait piéger par un email de phishing. Il installe le logiciel sur le système, qui ouvre une porte dérobée sur le système. Le hacker exploite la porte débordée pour accéder au système et naviguer dans le réseau, ou s’y déplacer latéralement.
Les vulnérabilités sont des points faibles ou des failles présents dans la technologie. Cela inclut des produits de sécurité comme des pare-feu, des antivirus et des antimalware. Cela inclut également des appareils d’endpoint classiques comme des serveurs, des stations de travail, des ordinateurs portables, des caméras, des thermostats et des réfrigérateurs. De plus, cela inclut les appareils de réseau comme les routeurs et les commutateurs. Les vulnérabilités se divisent en trois catégories :
Des sites tels que Mitre consignent les deux premiers types. Il s'agit de la liste CVE (Common Vulnerabilities and Exposures). Le National Institute of Standards and Technology (NIST) possède un autre site qui répertorie les vulnérabilités connues, nommé NVD (National Vulnerability Database).
Vous pouvez trouver des vulnérabilités en exécutant des analyses correspondantes sur votre réseau. De bons outils, comme Nessus de Tenable, associent automatiquement le logiciel détecté à des bases de données de vulnérabilités connues. Les scans de vulnérabilités créent des rapports sur les vulnérabilités suspectées, mais ne confirment pas qu’elles sont exploitables. L'étape suivante consiste à confirmer qu’elles sont exploitables sur un réseau et à agir pour protéger les systèmes.
Par exemple, si votre réseau comporte un serveur Microsoft Windows Server 2019, le scanner de vulnérabilités devrait découvrir Zerologon, un problème qui peut l’affecter. Le scanner découvre tout d'abord qu’il existe un serveur Windows Server 2019. Il recherche ensuite les vulnérabilités connues dans la base de données.
Ce scan devrait détecter un CVE du NIST nommé Zerologon, qui accorde des privilèges non appropriés. Ce CVE présente un CVSS (Common Vulnerability Severity Score) de 10 sur 10, ce qui signifie qu’il est très grave et doit être traité immédiatement. La page CVE contient des liens vers des conseils, des solutions et des outils. Elle dirige également vers la page CWE (Common Weakness Enumeration), qui fournit encore plus d’informations sur une attaque.
Une entreprise peut utiliser de nombreux outils et méthodologies différents pour tester les vulnérabilités de sécurité sur un réseau. L’une des méthodes consiste à simuler une attaque sur l’entreprise. C’est ce que l’on appelle un test de pénétration. Les entreprises emploient des hackers éthiques pour cela.
Lorsque des hackers éthiques attaquent un réseau, ils trouvent des vulnérabilités spécifiques à ce réseau. Ces hackers sont éthiques car ils ont l’autorisation d'attaquer un système. Ils peuvent prouver que les vulnérabilités répertoriées dans les CVE existent sur le réseau, ou ils peuvent découvrir des erreurs de configuration ou des vulnérabilités inconnues.
L’une des autres façons d’exécuter un test de pénétration consiste à utiliser des équipes rouges et des équipes bleues. L’équipe rouge utilise des outils de piratage réel et essaie de violer les défenses du réseau existantes. L'équipe bleue est une équipe de réponse aux incidents qui utilise des plans de réponse aux incidents existants, ou manuels, pour remédier à l’attaque active.
Lorsque ces deux équipes travaillent ensemble dans un test de pénétration, les avantages sont supérieurs à ceux d'un test de pénétration standard. L'équipe rouge découvre les vulnérabilités, tandis que l'équipe bleue s’entraîne à la remédiation. Les réseaux seront attaqués par des hackers bien réels. Il est donc important que l'équipe de remédiation aux incidents soit prête. L’entraînement est donc essentiel.
L’objet de la sécurité du réseau est tout d'abord d'éviter les attaques. Lorsqu’une attaque se produit, la première étape consiste à la détecter. Une fois l’attaque connue, il est important d’y remédier. Triez et évaluez les dégâts, comprenez la portée et appliquez un correctifs sur les vulnérabilités ou sur le chemin utilisé pour exécuter l’attaque. Ce processus est généralement nommé « prévenir, détecter, remédier » (PDR, Prevent, Detect and Respond).
La prévention consiste à renforcer les systèmes et à les défendre avec des contrôles de sécurité. Pour renforcer un système, les méthodes suivantes sont utilisées :
La détection s’effectue principalement via des journaux. Des systèmes tels que des systèmes de détection des intrusions (IDS) observent le trafic et consignent les activités suspectes. Le système consigne les activités et les envoie à un serveur syslog. Un SIEM (security information event manager) met en corrélation les journaux alertant le personnel d’indications de compromission (IoC) et les analyse. Le département de sécurité ou l’équipe de réponse aux incidents agit ensuite, pour prouver qu’il s'agit d’une compromission réelle, et corrige l’environnement pour éviter que cela ne se reproduise.
La remédiation peut simplement consister à télécharger un correctif sur un système, mais peut aussi demander une charge de travail phénoménale. Il peut s'avérer nécessaire d’analyser les configurations existantes dans les pare-feu, les systèmes de prévention des intrusions (IPS), les routeurs et tous les autres logiciels et appareils de réseau et de sécurité, pour déterminer où se trouvent les erreurs de configuration.
Une remédiation peut également consister à ajouter des outils de sécurité nouveaux ou différents au réseau. Ce processus peut être long et peut inclure la création d’un business plan.
Articles associés
Recherches associées