Découverte complète des actifs: le chaînon manquant pour une sécurité Edge efficace
Présentation du défi
Comme indiqué dans le blog Élimination des vulnérabilités du réseau Edge: mission impossible?, le périmètre du réseau peut poser des défis particuliers à de nombreuses solutions de cybersécurité centralisées ou basées sur des agents en lien avec:
- Découverte incomplète d’un appareil, d’un point de terminaison ou d’une infrastructure
- Déploiement restreint à des points de terminaison ou des appareils sans tête
La visibilité dégradée de la sécurité qui en résulte peut entraîner la non-détection d’actifs présentant des vulnérabilités et la possibilité d’exploiter les faiblesses correspondantes par les acteurs malveillants. Les professionnels de la cybersécurité ont besoin de bien plus que de « l’estime » pour garder une longueur d’avance sur les nombreux acteurs malveillants dans le monde.
Les quatre étapes pour surmonter les obstacles
Étape 1 – Découverte complète des actifs (inventaire)
Un processus de découverte (inventaire) efficace, continu et complet peut surmonter ces angles morts dans vos défenses de cybersécurité. Cette tâche incombe souvent à l’équipe réseau. De nombreuses techniques, individuelles ou combinées, peuvent être utilisées ici. En voici quelque examples:
| Action | Description |
|---|---|
| Balayage ARP | Utilisé dans les réseaux locaux pour mapper les adresses IP aux adresses MAC. Envoie des requêtes ARP à toutes les adresses IP possibles du sous-réseau pour détecter les périphériques. |
| Balayage de ping | Envoie des requêtes d’écho ICMP à une plage d’adresses IP et collecte les réponses. Utilisé pour identifier les périphériques actifs sur le réseau. |
| SNMP | Interroge les périphériques réseau pour obtenir des informations à l’aide d’agents SNMP. Utile pour récupérer les détails des périphériques tels que les noms d’hôtes, les adresses IP et les informations sur le matériel. |
| Requête DNS | Interrogez les serveurs DNS pour résoudre les noms d’hôtes en adresses IP. Utilisez les recherches DNS inversées pour découvrir les noms d’hôtes. |
| Requête mDNS | Utilisé dans les réseaux locaux pour la résolution de noms sans serveur DNS central. Requêtes multidiffusion pour découvrir des services et des périphériques (par exemple, des imprimantes, des appareils intelligents). |
Il convient de mentionner les avantages inhérents à la connexion directe sur le réseau local plutôt que depuis un emplacement centralisé (souvent distant). C’est ce point de vue qui est le mieux adapté pour une connaissance optimale de la situation à la périphérie du réseau. En règle générale, ces outils sont portables et peuvent se connecter rapidement n’importe où sur le réseau, à la fois physiquement et sans fil. Les étapes 2, 3 et 4, décrites ci-dessous, doivent vraiment être menées en parallèle.
Étape 2 – Effectuer une évaluation des vulnérabilités en matière de cybersécurité
Maintenant que les actifs ont été entièrement inventoriés, l’étape suivante consiste à appliquer divers tests à ces appareils, points de terminaison et infrastructures. Cela comprend l’examen des ports de commutation pour un provisionnement approprié, la confirmation de la segmentation VLAN appropriée, la vérification de l’authentification de sécurité sans fil acceptable et la recherche de vulnérabilités connues, entre autres. Il est préférable de travailler en étroite collaboration avec l’équipe des opérations de sécurité pour développer un processus ou un flux de travail afin de garantir que toutes les expositions possibles sont traitées. Voici un excellent blog qui peut vous aider: Comment effectuer une évaluation de la cybersécurité.
Étape 3 – Intégration avec d’autres activités de vulnérabilité
Quels que soient les outils utilisés aux étapes 1 et 2 ci-dessus, il est idéal que ces activités et les résultats qui en découlent soient intégrés à d’autres efforts de sécurité. Parmi les exemples, citons la gestion et les tests de vulnérabilité, la gestion du réseau et les plateformes de surveillance des points d’extrémité. Dans ce cas, veillez à rechercher des offres qui simplifient cette intégration.
En outre, il est essentiel, le cas échéant, de veiller à ce que les résultats soient intégrés à toutes les initiatives à l’échelle de l’organisation, telles que celles liées à la mise en œuvre de NIS2 ou des contrôles critiques CIS.
Étape 4 – Collaboration entre les équipes chargées du réseau et de la sécurité
Il devrait être évident à ce stade que pour obtenir la posture de sécurité de pointe la plus robuste, les responsables de la gestion et de la sécurité du réseau de pointe doivent travailler en étroite collaboration. Si les tâches sont déléguées à des groupes distincts, l’équipe réseau est souvent la mieux placée au sein de l’organisation pour connaître les détails de l’architecture du périmètre ainsi que l’état tactique actuel des ressources. Dans ce scénario, elle peut fournir une perspective critique et unique « voir la périphérie, depuis la périphérie ».
En revanche, le personnel de sécurité est généralement plus au fait des sujets liés aux vulnérabilités et aux contre-mesures.
Voici un résumé du rôle de chaque groupe dans cet effort important et des avantages du partenariat:
| Défi | Rôle NetOps | Rôle SecOps | Résultat de la collaboration |
|---|---|---|---|
| Visibilité et surveillance | Assurer la santé et la disponibilité du réseau | Identifier et atténuer les menaces de sécurité | Surveillance et contrôle complets à la périphérie |
| Atténuation des menaces | Configurer les périphériques de manière sécurisée | Mettre en œuvre des outils d’atténuation des menaces | Réduction du risque d’attaques en périphérie |
| Réponse aux incidents | Fournir des informations à l’échelle du réseau | Enquêter sur les incidents de sécurité et y remédier | Réduction du risque d’attaques en périphérie |
| Mise en œuvre du Zero Trust | Déployer et valider la segmentation et les politiques du réseau | Définir et appliquer l’accès au moindre privilège | Intégration transparente du Zero Trust à la périphérie |
| Conformité | Mettre en œuvre des contrôles techniques | Assurer le respect de la réglementation | Moins de risques d’amendes et de problèmes juridiques |
Résumé
Même si la plupart des organisations utilisent un certain nombre de solutions de sécurité avancées, il existe certaines situations où des lacunes peuvent exister en raison d’appareils, de points de terminaison et d’infrastructures non découverts.
Il est donc essentiel que tous les actifs du réseau, en particulier à la périphérie, soient pris en compte à 100 % pour garantir que les ressources informatiques sont entièrement protégées contre les menaces de cybersécurité.
Si vous effectuez ces recherches pour vous conformer à la norme NIS2, notre guide pratique CyberScope Addresses Three Critical NIS2 Measures at the Challenging Edge vous fournira des informations précieuses (même si votre organisation n’est pas située dans l’Union européenne).
En fin de compte, quels que soient les outils déployés, ils doivent répondre efficacement aux défis uniques de la périphérie dynamique du réseau, y compris les lacunes moins évidentes.
