Six conseils pour identifier les menaces chiffrées
novembre 2023 par Gigamon
Chaque jour, les acteurs malveillants deviennent plus affûtés dans leurs méthodes et à l’ère de l’IA générative et des logiciels malveillants intelligents, les attaques sont encore plus déroutantes ; pourtant les cybercriminels n’ont pas besoin d’une créativité exceptionnelle pour s’introduire dans l’environnement informatique et rôder, sans être vus.
Parfois, ce sont les propres méthodes de sécurité d’une organisation qui fournissent la couverture parfaite.
Les environnements informatiques des entreprises deviennent complexes, englobant des infrastructures hybrides multi-cloud et des modèles de travail à distance, de fait, la stratégie de chiffrement du trafic pour protéger les données des regards indiscrets s’est imposée. Cette tactique protège le contenu de chaque paquet réseau contre les attaquants potentiels, mais c’est aussi une méthode que les acteurs malveillants exploitent depuis longtemps : entre 85 et 95 % des logiciels malveillants se cachent derrière le chiffrement.
Malgré cette statistique, notre enquête menée auprès de plus de 1 000 responsables informatiques dans le monde a révélé que seulement 30 % des organisations disposent d’une visibilité sur le trafic chiffré.
Comment les entreprises peuvent-elles comprendre la menace invisible que représente leur trafic chiffré et relever le défi ?
Il y a 6 axes sur lesquels les professionnels de la sécurité doivent se concentrer
La déduplication
Depuis la pandémie, les réseaux des datacenters modernes sont structurés en fonction de la résilience et de la disponibilité, cela signifie que les réseaux sont constitués de paquets dupliqués qui augmentent considérablement le volume du trafic.
Cette technique de déduplication permet aux opérateurs d’identifier et de supprimer les doublons avant l’inspection, ce qui garantit que chaque paquet du réseau n’est déchiffré et analysé qu’une seule fois.
Le filtrage des applications
L’évaluation des risques a lieu à tous les niveaux d’une organisation, et le filtrage des applications est une méthode efficace pour donner la priorité au trafic à haut risque, même lorsque les données sont chiffrées. Cette technique analyse la signature du trafic pour distinguer les applications à haut risque de celles à faible risque, en filtrant les applications fiables à fort volume comme YouTube, afin de mieux cibler les outils du centre de données.
Le tronquage
Le tronquage de flux fonctionne au niveau des paquets du réseau afin d’améliorer la visibilité du réseau. De nombreux outils n’ont besoin de voir que la configuration initiale, l’en-tête et les informations d’introduction pour analyser chaque paquet, de sorte que le découpage en tranches de flux réduit les informations partagées dans chaque session d’utilisateur. Cette technique est très efficace et peut réduire le trafic envoyé aux outils de 80 à 95 %, sans affecter la fidélité des informations envoyées.
La cartographie des flux
Fonctionnant sur une base similaire au filtrage des applications, la cartographie des flux est une tactique conçue pour diriger uniquement les données du réseau pertinentes vers chaque outil. Cela permet de rationaliser le trafic, d’éviter que tous les outils de surveillance et d’analyse ne soient inondés de trafic non essentiel et de rendre les efforts de déchiffrement beaucoup plus efficaces.
Déployer l’intelligence des métadonnées
L’intelligence des métadonnées applicative développe la tactique de la cartographie des flux avec de nouvelles technologies, offrant aux équipes de sécurité du réseau l’une des capacités les plus puissantes pour la réduction du trafic et l’amélioration de la surveillance. Elle définit et sélectionne intelligemment des éléments de métadonnées spécifiques dans le flux de trafic pour les envoyer à des applications spécifiques, en donnant simplement à l’outil les attributs de données du trafic dont il a besoin.
Cela permet de réduire les données de 95 % dans le monde réel, de réaliser d’importantes économies et de permettre aux organisations d’obtenir des informations convaincantes sur les profils du trafic transporté par leurs réseaux.
L’adoption de nouvelles technologies
Si les cinq premières approches constituent une base solide pour offrir une meilleure visibilité et un déploiement plus efficace des outils de déchiffrement, elles ne sont pas infaillibles. En réalité, le seul moyen d’arrêter les menaces chiffrées est d’inspecter l’ensemble du trafic.
Auparavant, cela aurait exiger une grande quantité de ressources mais les progrès technologiques ont rendu possible une solution simple, peu coûteuse et peu gourmande en ressources processeur. En accédant au noyau Linux présent dans chaque paquet réseau, les entreprises peuvent obtenir une visibilité totale du trafic chiffré.
En fait, ce processus permet aux outils de sécurité d’analyser les données du trafic en clair avant même qu’elles ne soient chiffrées, ce qui rend le déchiffrement totalement inutile et supprime la nécessité de modifier ou d’investir à grande échelle dans le réseau. En éliminant les étapes de déchiffrement et de re chiffrement de l’équation, les outils de sécurité peuvent détecter rapidement les menaces, même si le trafic continue d’augmenter.
En résumé, les entreprises d’aujourd’hui doivent adopter et déployer des solutions qui permettent d’observer en détail le trafic et la télémétrie du réseau, surtout si elles veulent continuer à délivrer rapidement en toute sécurité.