Pourquoi est-il indispensable d’inspecter le trafic chiffré ?

0
499

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Ce que vous ne voyez pas peut vous faire du tort

Alors que les États-Unis sortaient du confinement lié au COVID-19, nous avons constaté une vague d’attaques par rançongiciels qui tentaient de paralyser de nombreux secteurs de l’économie – Colonial Pipeline, J.B.S, C.N.A Financial – à des fins lucratives. Pourquoi ? Parce que le crime paie. Les menaces les plus graves sont celles qui échappent à notre attention : celles qui émanent d’utilisateurs au sein de l’entreprise.

Le mécanisme de chiffrement qui permet de sécuriser nos communications à l’aide d’une clé publique – Transport Level Security (TLS) ou Secure Sockets Layer (SSL) – peut être utilisé par des utilisateurs ou des programmes malveillants pour accéder à des informations sensibles.

À l’origine, les botnets servaient à mener des attaques DDoS. Aujourd’hui, certains de ces logiciels malveillants de commande et de contrôle utilisent les ressources des machines infectées pour obtenir une rançon et faire du profit (rançongiciels et extraction de cryptomonnaie), ce qui affecte considérablement les performances des entreprises victimes et augmente leurs coûts d’exploitation ainsi que l’usure des machines contrôlées. De telles attaques ouvrent également la voie à la diffusion ultérieure d’autres logiciels malveillants. 

La plupart des logiciels malveillants menacent la disponibilité, l’intégrité et la sécurité des réseaux.

Comme nous l’avons vu récemment, les attaques de rançongiciels aboutissent souvent au vol et au détournement d’informations, en plus de perturber les opérations stratégiques de l’entreprise.

Une fois activé, le logiciel malveillant peut ouvrir une session chiffrée vers un serveur externe. La seule information dont il a besoin pour sécuriser la communication avec le serveur externe est la clé publique de ce dernier. Puisque l’entreprise émettrice ne dispose pas de la clé privée de cette communication chiffrée, elle ne peut pas déchiffrer la session et devient donc aveugle à toute information envoyée à l’extérieur.

Comme le trafic chiffré est de plus en plus utilisé, ce défi va prendre une ampleur considérable. Nous constatons déjà que de nombreuses organisations sont victimes de cyberattaques dont le but est de réaliser des gains financiers et d’accéder à de précieuses données confidentielles.

De nombreuses solutions d’inspection du trafic, par exemple les systèmes de prévention des fuites de données (DLP), les systèmes de prévention des intrusions (IPS) et les pare-feu, n’ont pas la capacité de déchiffrer le trafic chiffré sortant et sont donc aveugles aux cyber-menaces émanant de l’intérieur de l’entreprise et dirigées vers des serveurs externes. Et même quand elles sont capables de déchiffrer, cette capacité s’accompagne d’un impact et d’une dépense considérables en termes de coûts et de performances, ce qui rend ces systèmes moins évolutifs et donc peu rentables.

Une image contenant texte, extérieur

Description générée automatiquement

Inspection et visibilité – Le désinfectant indispensable

Pour se protéger contre ce type d’attaque, la solution est d’inspecter le trafic SSL. Mais comment fonctionne l’inspection du trafic SSL ?

Les systèmes d’inspection SSL tirent parti du fait que la sécurité est appliquée entre deux points de terminaison et non de bout en bout. Parfois appelée « homme du milieu » ou « man-in-the-middle » (MiTM) légitime, la solution d’inspection SSL intercepte et déchiffre les sessions SSL à destination et en provenance de l’entreprise. Elle apparaît comme le serveur externe prévu pour les utilisateurs internes ou les programmes commençant une communication sécurisée vers les serveurs externes. Pour les serveurs destinataires, le système d’inspection SSL apparaît comme l’utilisateur initiateur ou le programme malveillant.

Pour faciliter leur déploiement, les solutions d’inspection SSL offrent une inspection en toute transparence sans qu’il soit nécessaire de réorganiser le réseau, ou elles se présentent sous forme de proxy explicite qui oblige tous les utilisateurs à passer par un proxy SSL prédéfini configuré via leur navigateur.

Le trafic déchiffré est ensuite dirigé vers une solution d’inspection de contenu, par exemple un pare-feu, un antivirus ou un système de protection contre les fuites de données déjà déployé dans l’entreprise, afin de vérifier la conformité aux politiques de sécurité. Les sessions qui passent l’inspection de sécurité sont ensuite rechiffrées par la solution d’inspection SSL et transmises à leur serveur de destination.

[Vous avez aimé cet article ?Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

Par souci d’efficacité, une partie du trafic peut être ignorée si un site particulier est considéré comme fiable par l’entreprise ou s’il concerne la vie privée des employés (banque en ligne, soins de santé). Pour des raisons de productivité, d’autres parties du trafic peuvent être bloquées, notamment les jeux en ligne ou les serveurs de logiciels malveillants connus.

Le déchiffrement et le rechiffrement SSL étant des opérations gourmandes en calcul et susceptibles d’avoir un impact sur la latence, adoptez les bonnes pratiques telles que l’accélération matérielle si vous avez beaucoup d’utilisateurs et de trafic chiffré. Soyez sélectif en matière de déchiffrement grâce aux filtres et aux listes blanches qui permettent de contourner le déchiffrement pour les sites de confiance, et choisissez des solutions économiques qui réduisent le nombre de dispositifs dont vous avez besoin pour évoluer.

Le déchiffrement, l’inspection et la visibilité sur le trafic réseau offerts par une solution d’inspection SSL permettent d’identifier les indices de la présence de logiciels malveillants. Par ailleurs, en adoptant les bonnes pratiques suivantes : accès selon le principe du moindre privilège, authentification multifactorielle, blocage des injections de logiciels malveillants sur le Web à l’aide de pare-feu d’applications Web, protection du périmètre du réseau contre les dénis de service et formation du personnel aux pratiques de cybersécurité, vous réduisez l’exposition de l’entreprise à ces logiciels malveillants.

[Sur le même thème :Comment réagir à une demande de rançon corrélée à une attaque DDoS]

LEAVE A REPLY

Please enter your comment!
Please enter your name here