jeudi, 28 mars 2024

Se défendre contre les attaques par porte dérobée sans confiance

Les attaquants multiplient les attaques par porte dérobée qui fournissent des rançongiciels et des logiciels malveillants, ce qui montre que les services nécessitent une confiance zéro pour protéger leurs points de terminaison et leurs identités.

L’indice de sécurité X-force danger intelligence 2023 d’IBM avertit que les assaillants donnent la priorité à ces attaques par porte dérobée alors qu’ils tentent d’obtenir des victimes en aval dont les informations ont en fait été compromises. Vingt et un pour cent de toutes les attaques d’invasion ont commencé par une tentative de violation de porte dérobée. Les deux tiers des efforts de porte dérobée incluaient un composant ransomware.

Le groupe X-Force Intelligence d’IBM a également découvert que les attaques par porte dérobée avaient augmenté en février et mars de l’année dernière, mesurée par une augmentation significative des occurrences de logiciels malveillants Emotet . Le pic était si considérable qu’il représentait 47 % de toutes les tentatives d’intrusion par porte dérobée identifiées dans le monde en 2022.

« Alors que l’extorsion a en fait été principalement liée aux ransomwares, les projets d’extorsion ont également inclus une variété d’autres approches pour faire pression sur leurs cibles », a déclaré Chris Caridi, analyste des cyber-dangers pour IBM Security hazard Intelligence. « Et ceux-ci consistent en des choses comme les attaques DDoS, le cryptage des données et, plus récemment, certains dangers d’extorsion double et triple combinant plusieurs des éléments précédemment observés. »

sont les moyens éprouvés par les entreprises de lutter contre la porte dérobée attaques, en commençant par traiter chaque nouveau point de terminaison et identité comme une nouvelle frontière de sécurité.

Vérifiez les avantages d’accès, supprimez les comptes inutiles ou obsolètes et réévaluez les droits d’administrateur

Rapport sur l’état de la cybersécurité 2023 d’Ivanti ont constaté que 45 % des entreprises pensent que les anciens employés et sous-traitants ont toujours un accès actif aux systèmes et aux fichiers de l’entreprise en raison de traitements incohérents ou inexistants pour annuler l’accès. Le déprovisionnement n’est généralement pas suivi et les applications tierces ont toujours un accès enraciné en leur sein.

« Les grandes entreprises arrêtent souvent de travailler pour représenter le vaste environnement d’applications, de plates-formes et de services tiers qui donnent accès bien après le licenciement d’un membre du personnel », a déclaré Srinivas Mukkamala, directeur des produits chez Ivanti. « Nous appelons ces informations d’identification des zombies, et un nombre étonnamment élevé de professionnels de la sécurité – et même de cadres supérieurs – ont toujours accès aux systèmes et aux données des employeurs précédents. »

L’authentification multifacteur peut être un victoire rapide

Andrew Hewitt, analyste senior chez Forrester, a déclaré à VentureBeat que le meilleur endroit pour commencer à protéger les identités est « d’imposer constamment une authentification multifacteur. Cela peut contribuer grandement à garantir la sécurité des informations commerciales. À partir de là , il enregistre les gadgets et préserve une norme de conformité solide avec l’outil de gestion des terminaux fusionnés (UEM).

Forrester conseille également aux entreprises que, pour exceller dans les applications MFA, elles devraient penser à inclure ce que vous êtes ( biométrique), ce que vous faites (biométrie comportementale) ou ce que vous avez (jeton) pour les exécutions d’authentification à facteur unique héritées de ce que vous savez (mot de passe ou code PIN). -la confiance gagne aujourd’hui et permet d’économiser les budgets de demain.

Surveillez tout le trafic réseau, en supposant qu’un utilisateur, une identité, un terminal ou un gadget pourrait être compromis

Comme l’un des éléments essentiels de tout aucune méthode de confiance, les RSSI et leurs équipes doivent surveiller, scanner et analyser le trafic réseau pour reconnaître tout risque de porte dérobée avant qu’ils ne réussissent. Presque tous les fournisseurs de gestion des événements de sécurité et d’information (SIEM) et de gestion de la posture de sécurité dans le cloud (CSPM) incluent la surveillance comme fonctionnalité de base.

Il continue d’y avoir une augmentation de la portée et de l’ampleur du développement sur les marchés SIEM et CPSM. Les principaux fournisseurs SIEM incluent CrowdStrike Falcon, Fortinet, LogPoint, LogRhythm, ManageEngine, QRadar, Splunk et Trellix.

Limitez les mouvements latéraux et réduisez les surfaces d’attaque grâce à la microsegmentation

Parmi les idées fondamentales du zéro la confiance est la microsegmentation. Le cadre absolument no trust du NIST aborde la microsegmentation au même niveau d’importance que la gouvernance basée sur l’identité, l’authentification et la gestion de la sécurité du réseau et des terminaux.

Airgap, AlgoSec, ColorTokens, Illumio, Prisma Cloud et la plate-forme cloud Zscaler se sont avérés efficaces pour reconnaître et parer les invasions et les tentatives de violation précoces en utilisant leurs techniques spéciales pour microsegmenter les identités et les réseaux.

La plate-forme d’isolation zéro confiance d’Airgap est basée sur une microsegmentation qui spécifie le point de terminaison de chaque identité comme une entité différente et après cela, applique des politiques adaptées au contexte, empêchant les mouvements latéraux. L’architecture Trust Anywhere d’AirGap comprend un réseau de politiques autonome qui adapte immédiatement les politiques de microsegmentation à l’échelle du réseau.

L’architecture d’AirGap offre une exposition de tout le trafic réseau, une microsegmentation de chaque point de terminaison, un accès sûr et sécurisé à la propriété (MFA/SSO ) pour toutes les applications et tous les appareils et une réponse immédiate aux ransomwares grâce à son innovation anti-ransomware kill switch, qui détecte et verrouille le trafic présumé sur n’importe quel point de terminaison. Source : site Airgap.io

Surveiller les points de terminaison et les rendre auto-réparables et durables

L’outil de choix de l’agresseur étant le malware Emotet, chaque point de terminaison doit être durable, auto-réparateur et capable de surveiller trafic en temps réel. L’objectif doit être d’implémenter l’accès avec le moins de privilèges par identité pour toute ressource demandée sur chaque point de terminaison.

Plus un terminal est résistant, plus il est susceptible de repousser une attaque contre les identités. Un point de terminaison autoréparateur se fermera et vérifiera ses composants principaux, en commençant par son système d’exploitation. Après la version des correctifs, le point de terminaison se réinitialisera instantanément à une configuration améliorée. Outright Software, Akamai, CrowdStrike Falcon, Ivanti Neurons, Malwarebytes, Microsoft Defender, SentinelOne, Tanium, Pattern Micro et d’autres fournisseurs proposent des endpoints autoréparables.

Les plateformes de terminaux innovent rapidement en réaction aux menaces. La méthode spéciale de la plate-forme de résilience d’Absolute offre aux groupes informatiques et de sécurité des données d’exposition et de contrôle et de gestion des actifs en temps réel pour tout appareil, en réseau ou non. L’entreprise a affiché des niveaux de développement constamment élevés.

Absolute a également développé et lancé la première plate-forme d’autoréparation zéro confiance pour la gestion des actifs, le contrôle des gadgets et des applications, l’intelligence des terminaux, le signalement des événements, la solidité et la conformité. L’attache numérique ineffaçable de la société s’est avérée efficace pour surveiller et vérifier les demandes et les offres d’informations en temps réel de chaque point de terminaison sur PC.

Une approche axée sur les données pour la gestion des taches peut donner au service informatique une pause bien méritée

Les DSI disent à VentureBeat que leurs groupes sont suffisamment stressés sans gérer les inventaires d’appareils qui nécessitent des correctifs. En conséquence, les correctifs sont relégués au bas de la liste des priorités, car les groupes informatiques et de sécurité luttent trop souvent contre les incendies.

« Les capacités de gestion des terminaux et d’auto-réparation permettent aux équipes informatiques de découvrir chaque gadget sur leur réseau, puis de gérer et de protéger chaque appareil en utilisant les meilleures pratiques modernes qui garantissent que les utilisateurs finaux sont efficaces et les ressources de l’entreprise sont en sécurité », a déclaré Srinivas Mukkamala, responsable principal des articles chez Ivanti, lors d’une récente interview avec VentureBeat.

La gestion des spots à grande échelle nécessite une technique basée sur les données. Les principaux fournisseurs de cette région capitalisent sur les atouts de l’IA et de l’intelligence artificielle (ML) pour résoudre les obstacles liés à la mise à jour de milliers de gadgets. Les principaux fournisseurs incluent Broadcom, CrowdStrike, SentinelOne, McAfee, Sophos, Pattern Micro, VMWare Carbon Black et Cybereason.

L’une des approches les plus ingénieuses de la gestion des taches se trouve dans la plate-forme de cellules nerveuses d’Ivanti, qui s’appuie sur l’IA basés sur des bots pour rechercher, déterminer et mettre à jour tous les points sur les terminaux qui doivent être mis à niveau. La gestion des points cloud basée sur les risques d’Ivanti se distingue par la manière dont elle intègre le classement des risques de vulnérabilité (VRR) de l’entreprise pour aider les experts du centre des opérations de sécurité (SOC) à prendre des mesures en fonction des risques. Ivanti a découvert comment proposer un suivi des accords de niveau de service (SHANTY TOWN) qui offre également une exposition aux gadgets proches du SLA, permettant aux équipes de prendre des mesures préventives.

L’option de gestion des correctifs cloud native d’Ivanti se concentre sur les vulnérabilités en fonction de l’exposition directe au risque, de la fiabilité des correctifs et de la conformité des appareils. Source : Gestion des correctifs basée sur les risques Ivanti

La confiance zéro n’a pas besoin d’être coûteuse pour être efficace

Les attaques par porte dérobée se multiplient lorsqu’une organisation réduit son plan de dépenses de sécurité et s’appuie sur sécurité – ou pas du tout, en espérant juste qu’il n’y aura pas de violation.

Définir un cadre de confiance zéro qui correspond à la stratégie et aux objectifs d’une entreprise est un enjeu de table. Et les technologies et méthodes impliquées n’ont pas besoin d’être coûteuses pour être fiables.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de comprendre sur la technologie commerciale transformatrice et les transactions. Découvrez nos Rundowns.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici