Protégez vos flancs des attaques latérales

La protection périmétrique est morte, vive la protection périmétrique ! Pour les clients FireEye, les moyens de protection et de détection se prolongent désormais au-delà du périmètre pour englober l’ensemble du réseau.

La protection périmétrique est donc loin de vivre ses derniers moments. Elle constitue au contraire la première ligne de défense, le point d’entrée et de sortie le plus protégé du réseau. D’où l’importance d’une bonne visibilité sur le trafic de données qui y passe. 

Mais malgré le soin apporté à la sécurisation du périmètre, les cybercriminels peuvent aujourd’hui contourner les dispositifs en place par des tactiques toujours plus sophistiquées. Ils exploitent d’autres vecteurs comme la messagerie électronique, font main basse sur des identifiants légitimes, lancent des attaques multi-flux, soutirent des informations d’accès par ingénierie sociale ou s’engouffrent dans les failles de configuration des pare-feu. Sur ce point, un récent rapport Gartner affirme d’ailleurs que plus de 95 % des violations de pare-feu sont dues à une mauvaise configuration.

Le contournement de la protection périmétrique ne constitue que la première étape d’une attaque. Une fois cette barrière franchie en échappant à la vigilance des systèmes en place, les cybercriminels effectuent des repérages internes en toute discrétion, à la recherche de capital intellectuel et de données confidentielles résidant ailleurs sur le réseau. Cette reconnaissance interne fait le lit des attaques latérales futures contre d’autres terminaux et serveurs. Également qualifiées de « mouvements Est-Ouest », ces attaques latérales à couvert, souvent indétectables, peuvent durer des mois.

Pendant cette période, les cybercriminels procèdent souvent à l’installation de portes dérobées (backdoors) visant à maintenir un accès futur au réseau, en dépit de changements de politique ou de configuration réseau. Parallèlement, en chargeant des programmes de collecte de mots de passe, les attaquants cherchent à élever leurs privilèges au niveau administrateur. À défaut, ils peuvent aussi utiliser les informations acquises pour réorienter leurs attaques vers d’autres systèmes ou contourner d’autres contrôles de sécurité. Au final, les hackers parviennent toujours à progresser au cœur de l’environnement infiltré, et ne reculeront devant rien tant qu’ils n’auront pas atteint des données à exfiltrer et exploiter à des fins délictueuses.

L’image ci-dessous illustre le procédé. Après diverses tentatives d’intrusion sur un réseau, un hacker détecte une vulnérabilité qui lui permet d’établir une tête de pont. Une fois entré, il se déplace latéralement pour maintenir sa présence et commencer son travail de récupération de privilèges d’accès. Ce cycle se poursuit jusqu’à ce qu’il soit interrompu, ou qu’il atteigne son objectif final, à savoir l’exfiltration de données.

Pour juguler ce fléau invisible, FireEye a mis au point SmartVision, une fonction innovante qui détecte les signes de déplacements latéraux (Est-Ouest). Leader de la détection et de la lutte contre les menaces avancées, FireEye réinvente sa technologie primée MVX pour la mettre au service de la détection des mouvements latéraux suspects sur les réseaux d’entreprise.

FireEye MVX constitue le cœur de la plateforme FireEye Network Security (NX). Son moteur analyse plus de 80 000 événements par seconde sur une multitude d’environnements virtuels pour détecter les menaces connues et « zero-day ».

FireEye SmartVision va encore plus loin en associant MVX à un nouveau moteur ultra-pointu de corrélation d’événements réseau latéraux, piloté par plus de 120 règles et des technologies de Machine Learning. La solution détecte ainsi les activités symptomatiques d’un mouvement latéral post-infiltration.

Le déploiement de FireEye SmartVision est une formalité. Dès lors qu’elles sont compatibles avec la dernière version du système d’exploitation (8.0), les appliances FireEye NX peuvent être déployées à l’envi devant les serveurs critiques, le data center, le cœur du réseau WAN, etc. Dans ce type de déploiement, le trafic Est-Ouest est scruté en permanence à la recherche d’activités anormales. La détection d’un trafic suspect déclenche une alarme, permettant ainsi aux administrateurs de réagir rapidement pour isoler et corriger les systèmes compromis.

Grâce à FireEye SmartVision, les clients renforcent leur environnement de sécurité par une démarche holistique qui détecte et neutralise les menaces Nord-Sud, mais aussi les activités Est-Ouest, presque impossibles à détecter en temps normal. Et comme cette solution s’appuie sur les appliances NX Network Security ou FireEye Network Smart Node, la simplicité de gestion et le rapport coût-bénéfice sont imbattables !

La protection périmétrique a donc de beaux jours devant elle ! Néanmoins, pour les entreprises qui préfèrent ajouter un nouveau rideau défensif, la nouvelle solution FireEye SmartVision apporte une réponse de choix. Ensemble, FireEye NX et SmartVision offrent une plateforme holistique qui non seulement vous protège contre les menaces avancées Nord-Sud et Est-Ouest, mais évolue aussi au rythme de votre entreprise et de son réseau.