Il est temps de passer à la sécurité intrinsèque, la meilleure approche pour une prévention efficace
Cette conférence des Assises de la Sécurité 2019 évoque le concept de sécurité intrinsèque. Pour introduire cette notion, un parallèle peut être établi avec l’adage suivant : « Mieux vaut prévenir que guérir ». Cette expression signifie que les problèmes sont résolus plus efficacement et de manière moins onéreuse lorsque l’on agit avant que le mal ne soit fait.
On peut envisager la cybersécurité de la même façon, au travers de la sécurité intrinsèque. Il s’agit de prévoir les risques, de prévenir les attaques en renforçant les systèmes, de détecter les attaques au plus tôt et d’y répondre de manière aussi automatisée que possible.
Une architecture permettant des actions proactives
Les spécialistes de Gartner, en particulier Neil McDonald et Peter Firstbrook sont à l’origine d’un framework nommé « Adaptive Attack Protection Architecture ». Cette méthode explique qu’il est important de connaître parfaitement une structure lorsque l’on envisage sa sécurité. Il s’agit, pour cela, d’établir un lien cyclique entre les attitudes suivantes :
- Évitement
- Détection
- Réponse
- Prévention
Les problèmes de cybersécurité sont souvent liés à une mauvaise configuration de l’un des très nombreux produits auxquels les entreprises font appel pour protéger leur réseau. De plus, les équipes responsables des différentes mesures (firewalls, points de terminaison, cloud, etc.) ne communiquent pas entre elles et forment un ensemble très réactif et instable dans lequel il est plus facile de s’infiltrer pour se l’approprier.
Les attaques sont organisées par des personnes qui ne pensent pas de la même manière que les entreprises en matière de protection. C’est pourquoi il est nécessaire de s’éloigner de ce modèle fixe pour aller vers un modèle intégré de sécurité intrinsèque.
La sécurité intrinsèque consiste à se détacher de la réaction et de la rétro-ingénierie basée sur de précédentes attaques pour adopter une attitude de prévention. Cette attitude doit être basée sur la compréhension fondamentale du comportement de ce que l’on souhaite protéger.
La sécurité intrinsèque : mieux comprendre pour mieux protéger
Il existe trois composantes principales de la sécurité intrinsèque : les workloads, l’intégrité du réseau et les points de terminaison.
Les workloads
Pour mettre en place un système de sécurité intrinsèque, le premier point de terminaison qu’il est crucial de sécuriser concerne les workloads, ou charges de travail. Le plus important est la prévention, les patchs et la segmentation, ce qui vise à réduire les risques. Ensuite viennent les protections anti-malware, qui interviennent en dehors des workloads.
« Un système doit être capable de faire ce pour quoi il a été conçu, et rien de plus », rapporte Rajiv Ramaswami. C’est le principe de moindre privilège.
Une application est composée de workloads et de services fonctionnant de manière bien particulière. Le machine learning permet d’utiliser ce que l’on sait de leur fonctionnement normal pour déterminer s’il existe une brèche de cybersécurité. Plutôt que de tenter de répondre aux attaques, il s’agit d’apprendre à mieux connaître le comportement des workloads pour déterminer ce qui est normal et ce qui ne l’est pas.
Une fois qu’une attaque est détectée, il est possible d’influencer le contexte de l’application pour protéger les workloads. L’existence d’un point d’exécution flexible dans l’infrastructure permet de les protéger grâce à tous les outils mis à disposition par la virtualisation (mettre une machine en quarantaine, la mettre hors tension, cessation des procédés, blocage des réseaux).
Les équipes chargées des infrastructures peuvent apporter une contribution très importante et permettre un renforcement continu du cloud. On commence par la visibilité des workloads, puis on procède à la validation continuelle de ces workloads en fonction de leur évolution dans l’infrastructure.
La vulnérabilité d’un workload est immédiatement déterminée et permet une réaction appropriée. La virtualisation de l’infrastructure peut être un moyen très puissant de maintenir la cybersécurité grâce aux trois composantes suivantes : visibilité, validation, protection.
Les réseaux
La composante suivante de la sécurité intrinsèque est celle du réseau. Il existe une grande différence entre un firewall conçu pour les applications nord-sud et un pare-feu effectuant un travail est-ouest. Il s’agit de protéger le périmètre des centres de données :
- Un pare-feu nord-sud empêche des menaces d’entrer, mais les problèmes de sécurité interne sont différents. Si un utilisateur télécharge un malware, la menace est introduite. Tout est déverrouillé, accessible.
- Un pare-feu est-ouest protège les données par l’intérieur en connaissant le fonctionnement normal du système et en se servant de ces informations pour identifier les brèches grâce à des comportements inhabituels.
De nombreuses applications tournent dans un centre de données. Toutes partagent la même infrastructure et sont organisées par niveau, avec des firewalls entre ces derniers. Cette organisation permet à une attaque de se déplacer horizontalement entre les applications du même niveau.
L’accès à certaines applications permettant éventuellement de changer de niveau, il devient possible de globaliser l’attaque, jusqu’à ce que l’infrastructure entière soit compromise. Sans cesse, des règles sont ajoutées à ces pare-feu pour répondre aux attaques, mais elles ne sont jamais retirées ou modifiées et l’efficacité est médiocre.
Plutôt que de séparer par niveau, une barrière peut être érigée autour de chacune des applications, individuellement. C’est ce qu’un firewall organisé par service peut réaliser. Si l’application est complètement fermée, il est plus difficile d’y entrer, mais aussi d’en sortir si le mal est fait. L’attaque informatique est alors confinée à une seule et unique application. Ceci permet une protection hautement améliorée des applications par l’intérieur : c’est le concept de sécurité intrinsèque.
Les points de terminaison
La dernière composante de la sécurité intrinsèque, mais peut-être la plus importante, est celle des points de terminaison et des identités utilisateurs. Lorsque la sécurité est renforcée au niveau du réseau et des workloads, les attaques se concentrent plutôt sur ces points de terminaison, qui sont sans doute le maillon faible de la chaîne de sécurité dans son ensemble.
Si l’utilisateur peut être incité à cliquer sur quelque chose et à compromettre son appareil, il devient possible d’utiliser sa connexion pour attaquer le réseau entier.
Pour protéger les données et les applications, la sécurité intrinsèque propose d’employer le même principe de moindre privilège envers l’utilisateur. Si celui-ci utilise un appareil connu et admis comme fiable et confirme son identité, il peut se connecter. Mais si l’appareil est inconnu ou présente un risque ou si l’une des conditions de sécurité n’est pas remplie, des mesures peuvent être prises.
En évaluant par prévention le niveau de risque de manière continue aux points de terminaison en analysant le comportement des appareils, celui des utilisateurs, et en contrôlant leur accès, la sécurité des points de terminaison peut être grandement améliorée pour protéger l’accès aux applications importantes et aux données.
Un ensemble optimisé pour une cyber sécurité renforcée
Il est nécessaire de s’assurer que les équipes dédiées aux réseaux, au système workload et aux appareils communiquent et se comprennent entre elles. Toutes les données doivent être analysées efficacement.
Lorsque tous les éléments du dispositif fonctionnent en harmonie et agissent en fonction les uns des autres, une connaissance approfondie du système permet de mieux anticiper les attaques. Il s’agit ensuite de combiner ces informations avec un écosystème ou des partenaires de sécurité spécifiques pour que la prévention donne lieu à une cybersécurité mieux maîtrisée et à des réponses efficaces. Telles sont les promesses de la sécurité intrinsèque.
Intervenant : Rajiv Ramaswami, VMWARE