Quand on souhaite sécuriser son réseau d’entreprise, on en vient à penser segmentation, et à organiser ses zones réseau par fonction, niveau de sensibilité des applications ou du niveau d’accessibilité requis.
La plupart du temps, on envisage d’isoler ses zones par la mise en place de pare-feu, de fermer les flux, et de ne les ouvrir qu'au fur et à mesure que les demandes d’accès se manifestent.
Les menaces évoluent et on a rapidement l’impression que la défense ne s’adapte pas toujours à la bonne vitesse pour lutter efficacement contre de multiples catégories d’attaques : menaces internes, zero-day sur les passerelles VPN, vol d’identifiants, attaques sur les mots de passe ou sur les couches basses du réseau, ou de façon plus répandue : erreurs des utilisateurs et ingénierie sociale.
Les usages changent également, avec la notion de périmètre. Alors que les entreprises ont de plus en plus tendance à orienter leurs infrastructures vers le Cloud, comment adapter sa stratégie de sécurisation pour qu’elle devienne compatible avec cette nouvelle façon de considérer les réseaux, et la détention de la donnée ?
Le scan avait débuté depuis plusieurs minutes et l'écran de l’attaquant affichait un ensemble d’applications en écoute détectées sur le réseau. Il en était à la phase de post-exploitation, ce qui signifie qu’il était parvenu à s’introduire au sein du système et qu’il cherchait désormais à étendre son emprise sur d’autres appareils.
Ils sont partout et utilisés depuis les années 60. Leur invention est fréquemment attribuée à Fernando Corbató, l’un des pionniers des systèmes d’exploitation à temps partagé.
A l’origine, ils permettaient à plusieurs utilisateurs de partager une même machine en cloisonnant les espaces et en protégeant leurs données.
Comme sur les systèmes d’exploitation récents, chaque utilisateur se voyait attribuer un compte avec un mot de passe.
La FIR (Force d’Intervention Rapide) était sur les lieux depuis un peu plus d’une heure lorsque la première action de remédiation fut mise en œuvre.
L’idée était d’isoler le sous-réseau dans lequel s’exécutaient les machines infectées avant de rediriger le trafic client vers l’infrastructure de secours.
Plusieurs heures interminables d’interruptions de service venaient de s'écouler et le RSSI avait vécu le cauchemar qu’il s'était promis d'éviter en acceptant son poste huit mois plus tôt.
Dans l’article précédent Gérer efficacement sa surface d’exposition (Partie 1), nous avons utilisé l’outil Uncovery - Advanced EASM pour obtenir une vision précise de la surface d’exposition du système d’information. Les résultats ont montré 160 services exposés sur le réseau internet, à destination d’une population d’utilisateurs bien définie. Dans cet article, nous montrons comment utiliser Chimere afin de sécuriser l’intégralité de ces services, et de les faire disparaitre de la surface d’attaque, tout en les laissant accessibles aux collaborateurs.
Pour ce faire, nous utiliserons le mécanisme d’enrôlement automatique des services proposé par Chimere, puis nous connecterons le fournisseur d’identités de l’entreprise au Manager Chimere pour fournir l’accès utilisateurs à services.
Lorsque l’on est RSSI ou DSI et que l’on prend un nouveau poste, l’un des défis à relever est de parvenir à prendre connaissance de façon efficace des périmètres sur lesquels il est nécessaire de mettre en place des mesures de protection et des actions de sécurisation. Lecteurs avertis de ce blog, vous savez à quel point l’exposition des applications sur le réseau internet est l’une des causes les plus courantes de la compromission des SI. Et s’il s’agit du premier article Chimere que vous lisez, nous vous laissons jeter un oeil à nos précédentes réflexions sur le sujet : 10 cyberattaques qui ont exploité le principe d’exposition, 3 types d’attaques redoutées par les entreprises et 3 stratégies pour protéger son système d’information des scans sauvages (et des attaques qui en découlent)
Dans cet article, nous vous proposons une méthode pour identifier, puis gérer cette exposition pour enfin réduire de façon optimale le risque de compromission qui tirerait parti de l’exposition de vos assets sur internet.
Retour sur un programme ambitieux se définissant comme "le programme d'accélération des futurs champions de la cybersécurité", dans l'univers d'un géant français du domaine et au cœur du "plus grand campus de startup du monde".
L’anonymat applicatif, l’authentification réseau et la suppression de l’exposition sont trois caractéristiques intimement liées au principe de service caché. Dans l’article précédent : Qu’est-ce qu’un “service caché” ? Partie 1, nous avons mis en lumière ces trois aspects du mécanisme, mais ils ne sont pas seuls à apporter des propriétés intéressantes en matière de sécurité réseau. Dans ce nouvel article, il nous paraissait intéressant de mettre en avant quatre autres caractéristiques, beaucoup moins connues que les premières, et qui apportent pourtant une véritable plus-value défensive.
Le terme de “service caché” est intimement lié à certaines technologies comme le darknet et le Tor Project. Ce mécanisme est employé pour apporter nombre de caractéristiques de sécurité et d’anonymat aux utilisateurs des réseaux. Dans l’esprit collectif, il est admis que le darknet et les services cachés sont principalement utilisés par les cybercriminels afin de proposer des applications accessibles à travers le réseau Internet sans risquer de dévoiler les identités des interlocuteurs. Mais en réalité, les services cachés sont très souvent employés à des fins bien plus nobles pour lesquelles les avantages techniques proposés sont particulièrement appréciés.
Lanceurs d’alertes, échanges de données sécurisées, publication de contenu journalistique, et aujourd’hui accès distant généralisé et sécurisé avec l’avènement du Zero-Trust Network Access, sont d’autant de façons d’utiliser les services cachés pour se protéger. Mais que sont les services cachés, et qu’apportent-t-ils réellement ? Réponses dans cet article.
