Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Utilisation de la visibilité du réseau est-ouest pour détecter les menaces lors des étapes ultérieures de MITRE ATT&CK

Republié par Platon
Republié par Platon

Date :

Vues: 82

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) qualifie la « surveillance insuffisante du réseau interne » d’un des problèmes les plus graves. 10 erreurs de configuration réseau les plus courantes cette année. En effet, analyse et visibilité du réseau (NAV) reste un défi permanent. À mesure que les frontières autour du réseau traditionnel disparaissent et que le paysage des menaces actives devient plus complexe, les entreprises ont besoin de nouvelles méthodes et solutions pour défendre leurs performances, leur sécurité et leur continuité.

C'est là que le MITRE ATT & CK Les tactiques et techniques adverses qu'il collecte nous aident à comprendre et à combattre les cybermenaces telles que les ransomwares, ainsi que les menaces persistantes avancées (APT) dont l'objectif est d'infliger des dommages potentiellement dévastateurs à une entreprise. En recherchant les tactiques et techniques connues des groupes APT connus, les équipes de cybersécurité peuvent contrecarrer les menaces avant qu’ils ne se transforment en attaques réussies.

Une fois le ransomware détecté, il est généralement trop tard pour éviter tout dommage. Cela souligne la nécessité d'une surveillance complète et continue du réseau, d'une compréhension des stratégies préventives et de capacités de visibilité sans entrave pour détecter les anomalies qui englobent non seulement le trafic « nord-sud » entre le centre de données et les clients, mais aussi le trafic « est-ouest ». entre les serveurs également.

Comprendre le paysage des menaces et votre réseau

Bien que l’objectif final soit une visibilité complète du réseau, c’est plus facile à dire qu’à faire. Les organisations ont besoin visibilité globale dans l’ensemble de l’écosystème de prestation de services. La surveillance de l'activité du réseau pour suivre et suivre les tendances du trafic et de l'utilisation des applications est essentielle. En outre, vous devez aller au-delà de la visibilité à l'échelle de l'entreprise pour mettre en œuvre une stratégie globale de performances et de disponibilité qui englobe non seulement le siège social, les bureaux distants et les centres de données privés, mais également les centres de colocation, les centres de contact, les cloud publics et les environnements SaaS.

En outre, le maintien de services numériques performants dans des environnements de cloud hybride de plus en plus distribués est crucial pour les services informatiques des entreprises. Un environnement plus distribué entraîne de nouveaux défis pour fournir aux clients et à la main-d'œuvre hybride un accès sûr et sécurisé aux applications et services d'entreprise et leur disponibilité. Dans certains cas, la gestion de la qualité des performances face à la croissance du trafic sur les liaisons SD-WAN, les circuits Internet cruciaux, les passerelles VPN et le cloud hybride est passée d'un défi opérationnel à une priorité critique pour l'entreprise.

Par exemple, de nombreuses entreprises ont aujourd’hui déplacé de manière permanente des milliers d’employés vers des environnements de travail à domicile et de cloud hybride pendant et après la pandémie. À mesure que les entreprises effectuaient la transition à la main-d'œuvre hybride et aux modèles de confiance zéro, les équipes NetOps ont réalisé qu'elles avaient besoin de meilleurs outils pour déterminer si la bande passante SD-WAN pouvait gérer de manière adéquate les pics de trafic réseau distant liés à des milliers d'utilisateurs distants. Dans le même temps, les équipes SecOps avaient besoin du même niveau de visibilité pour détecter les menaces et confirmer que leurs politiques réseau Zero Trust fonctionnaient comme prévu.

En fin de compte, en comprenant le paysage des menaces du réseau dans ce cas, la direction informatique peut mieux comprendre et identifier où résident les « joyaux de la couronne » tels que les serveurs clés, les applications et les bases de données. De cette façon, lorsque des menaces surviennent, les comportements anormaux sont plus évidents pour les équipes NetOps et SecOps.

Dans les environnements de pointe de service étendus d'aujourd'hui, la visualisation de l'expérience de l'utilisateur final à distance dans le contexte d'environnements de réseau et de fournisseurs multiniveaux est essentielle pour isoler rapidement les problèmes et fournir une visibilité sur toutes les étapes de MITRE ATT&CK.

Assurez-vous que la visibilité du réseau est à la fois interne et externe

Les équipes informatiques ont besoin visibilité de bout en bout sur l'ensemble de leur réseau d'entreprise, du SD-WAN et des bureaux distants, aux environnements hybrides/multicloud, en passant par les co-los et les centres de données. En cas de manque de visibilité, les équipes SecOps n'ont pas une vision adéquate de toutes les étapes de MITRE ATT&CK.

Un environnement Zero Trust moderne suppose que le réseau a déjà été piraté. Autrement dit, les phases initiales de MITRE ATT&CK – reconnaissance, développement des ressources et accès initial – ont déjà eu lieu. La visibilité nord-sud du réseau à elle seule est désormais insuffisante pour suivre les mouvements internes de l'attaquant, qui progresse désormais à travers les phases ultérieures de MITRE ATT&CK d'exécution, de persistance, d'élévation de privilèges, d'évasion de la défense, d'accès aux informations d'identification, de découverte, de mouvement latéral et de collecte.

Pour détecter les intrusions à ces stades, les équipes SecOps ont besoin d’une visibilité sur le trafic est-ouest. Avec ce niveau de visibilité sur la communication serveur-serveur, les équipes SecOps peuvent détecter des comportements de trafic anormaux concernant leurs serveurs phares. En cas d'attaque de ransomware, de nombreuses tactiques et techniques de MITRE ATT&CK précèdent l'exfiltration et le cryptage réels des données.

Les attaques de cette nature soulignent la nécessité d'une surveillance complète et continue du réseau, d'une compréhension des stratégies préventives et de capacités de visibilité sans entrave afin de détecter les anomalies qui englobent le trafic venant de toutes les directions. En utilisant à la fois des solutions internes et externes, les équipes informatiques, NetOps et SecOps peuvent mettre en œuvre le meilleur des deux mondes en matière de surveillance des performances.

L’exploitation des données dérivées des deux formes de trafic de paquets réseau permet de résoudre les problèmes difficiles à isoler dans les environnements hybrides et distants. La combinaison de la visibilité du réseau nord-sud et est-ouest est requise pour les dernières phases de MITRE ATT&CK – commandement et contrôle, exfiltration et impact.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.