Aller au contenu
ARTICLE
3 stratégies pour protéger son système d’information des scans sauvages (et des attaques qui en découlent)

Retour

3 stratégies pour protéger son système d’information des scans sauvages (et des attaques qui en découlent)

Dans les deux articles précédents (Sécurité des SI : comprendre le problème de l’exposition et 10 cyberattaques qui ont exploité le principe d’exposition), nous présentions la problématique de l’exposition des services sur internet ainsi que 10 cyberattaques qui ont exploité le principe de l’exposition. Aujourd’hui, nous souhaitons revenir sur trois stratégies habituelles que les entreprises emploient pour traiter ce problème. Alors que les besoins d’accès à distance et le développement du télétravail ont particulièrement augmenté ces dernières années, quelles sont les stratégies courantes que les entreprises choisissent pour éviter que leurs services exposés ne deviennent une porte d’entrée pour les pirates ?

Méthode 1 : Protéger les points d’exposition

L’une des façons les plus courantes pour éviter que ses services ne puissent être contactés ou attaqués par n’importe qui est d’employer une stratégie de protection des points exposés. Sa philosophie suggère que l’exposition des services est un mal nécessaire, et tend à ne pas modifier l’architecture existante, du moins pour les services en eux-mêmes. Derrière cette stratégie se regroupe l’ensemble des solutions d’analyse du trafic, parmi lesquelles :

  • Les pares-feux, couplés avec des listes blanches d’adresses IP sources.

L’avantage de cette technique est d’empêcher quiconque dont l’adresse n’est pas dans la liste d'établir une connexion avec le service, et donc d'éviter toute exploitation de vulnérabilités ou l’usage d’identifiants volés à l’encontre du service. La véritable difficulté consiste à maintenir une liste à jour des adresses IP autorisées, ce qui devient rapidement fastidieux lorsque le SI compte des centaines d’utilisateurs ou que la mobilité est monnaie-courante.

Firewall

© Flickr - mmatins
  • Les sondes d’analyses IDS, IPS, et WAF

Ces solutions vont étudier le trafic et essayer de déterminer s’il est malveillant. Qu’elles lèvent des alertes, coupent les connexions, ou bannissent les adresses IP à l’origine des tentatives d’accès, elles n’empêchent pas la connexion initiale vers l’application protégée, ce qui peut parfois permettre aux attaquants d'étudier les mécanismes et les règles de blocage employés pour les contourner. Le réel avantage de ces systèmes “intelligents” est d'éviter aux administrateurs de sécurité de maintenir des liste blanches d’adresses autorisées, à la différence de la première méthode.

En plus de l’analyse du trafic, on retrouve également :

  • Le renforcement des mécanismes d’authentification

L’ajout du MFA (Multi-Factor Authentication), une politique de mots de passe plus robuste, ou bien une authentification par certificats clients sont d’autant de méthodes qu’utilisent les administrateurs pour éviter que des attaquants ne s’authentifient facilement auprès des applications exposées. Bien que certaines de ces recommandations permettent de lutter plutôt efficacement contre l’usage d’identifiants volés ou les attaques par dictionnaire / force brute, les attaquants sont parfois capables de les contourner, en utilisant des méthodes de type MITM Devious phishing method bypasses MFA using remote access software ou bien en exploitant des vulnérabilités qui affectent directement l’application et qui rendent caducs tout mécanisme d’authentification.

Méthode 2 : Réduire la surface d’exposition

Cette seconde méthode consiste à modifier l’architecture du système d’information et reconsidérer le nombre de services accessibles depuis une interface réseau publique. L’idée est de déplacer les services initialement exposés sur internet, ou qui devraient être rendus accessibles à distance, vers l’intérieur du système d’information, au sein d’un ou plusieurs sous-réseaux privés, et de permettre leur accès à travers un seul point d’exposition : le plus souvent une passerelle VPN, ou un bastion.

Ainsi, la surface d’attaque peut être considérablement réduite si le système d’information comporte une multitude de services devant être accédés à distance. Cette stratégie est largement employée et a comme avantage de s’assurer que seuls les utilisateurs ayant accès au réseau interne, ou à une partie de celui-ci, soient en mesure d'établir une connexion avec les services.

VPN

© Flickr - Daniel Aleksandersen

En revanche, elle reste parfois faillible. Outre les vulnérabilités critiques qui peuvent affecter les passerelles VPN exposées, l’utilisation des VPN est quelquefois piégeuse car elle consiste à partager l’accès à une partie du réseau du SI à des utilisateurs de “confiance”. Ainsi, des utilisateurs mal intentionnés (ou de façon générale, une menace interne) peuvent obtenir l’accès à des services du réseau auxquels ils ne devraient pas accéder. L’utilisation du VPN devrait donc être combinée avec une architecture et une segmentation robuste du système d’information, tout en gardant à l’esprit qu’un accès VPN ouvre un éventail d’attaques supplémentaires qui ne sont habituellement pas réalisables depuis l’extérieur du réseau. (attaques MITM, empoisonnement ARP, usurpation d’adresses IP, détournement de sessions TCP, espionnage des flux, déni de service facilité etc.)

Dans notre article précédent 10 cyberattaques qui ont exploité le principe d’exposition, quatre d’entre elles ont utilisé un VPN exposé pour aboutir, soit via l’exploitation de vulnérabilités critiques, soit par l’utilisation d’identifiants volés.

Méthode 3 : Transférer l’exposition

Cette troisième et dernière méthode consiste à se débarrasser de la responsabilité de l’exposition de ses services, en passant par un tiers d’exposition. Cela inclut entre autres :

  • L’utilisation des services CDN (Content Delivery Network) couplé à une liste blanche d’adresses IP pour éviter les contournements du service de protection.

Le plus connu est sans doutes CloudFlare qui filtre les entrées jusqu’au service final, analyse le trafic et réduit le risque d’attaques. Ainsi, le service est exposé à travers les systèmes CloudFlare et hérite des mécanismes de protection opéré par le tiers d’exposition.

  • L’utilisation de certains services managés par les Cloud Providers.

Par exemple, l’emploi de bastions déportés comme les bastions Azure, accessibles via le portail Azure transfère la responsabilité d’exposition du service à Microsoft et permet d'établir des connexions SSH et RDP jusqu'à des serveurs cibles sans avoir à les exposer directement.

SWI SolarWinds Corporation

© Flickr - Wonderlane
  • Les solutions ZTNA (Zero-Trust Network Access)

Ces nouvelles façons de faire de l’accès distant consiste, la plupart du temps, à établir des connexions entre les services à rendre accessibles et l’infrastructure d’un tiers qui se charge ensuite de réaliser l’authentification des utilisateurs qui détiennent les droits adéquats.

Les possibilités, à travers ces méthodes de transfert d’exposition, ont généralement deux défauts :

  • Soit les services perpétuent leur exposition (avec une couche supplémentaire de protection, comme c’est le cas du CDN). Par conséquent, ils restent détectables et attaquables.

  • Soit les services ne sont plus exposés. Cependant l’infrastructure de l’acteur tiers l’est et cela pose deux problèmes : d’une part la compromission éventuelle de l’infrastructure du tiers, à travers ses services exposés, permet d’accéder aux services qui y sont publiés. D’autre part, il est nécessaire de faire confiance au tiers, qui peut naturellement établir des connexions avec les services publiés. (Voire espionner les échanges car le tiers est positionné comme un intermédiaire).

Qu’il s’agisse de protéger soi-même ses points d’expositions, de réduire la surface d’attaque, ou de transférer la responsabilité à un acteur tiers, chaque stratégie à ses avantages et ses inconvénients.

Cependant, les nouvelles façons de concevoir l’accès distant à travers internet comme le ZTNA sont séduisantes sur de nombreux aspects. Ne pourrait-on pas se délester des inconvénients de ce type de solutions (comme la confiance à accorder envers le tiers d’exposition !), et d’en conserver les avantages ?

Pour rester informé des derniers articles et de l’avancement de la startup, n’oubliez-pas de vous inscrire à la newsletter :