Partie 1 : Digital Twin de votre infrastructure hybride
Partie 3 : à venir
Partie 4 : à venir
Dans la partie 1, nous avions introduit le digital twin, notre carte interactive, ainsi que sa manipulation au travers du studio de remédiation d’Optistream. Nous avons montré qu’il était notamment possible d’y tester les règles de filtrage existantes dans votre infrastructure hybride (on-prem & cloud), et d’automatiser cette démarche à l’aide du module Security Policies.
Ces règles de filtrage sont garantes de la sécurité de vos flux au sein de votre réseau et régissent les interactions entre les différentes zones existantes (e.g. VLANs, AWS/GCP VPCs, Azure VNets…) : elles constituent le socle de votre segmentation réseau.
La mise en place de règles permet de compartimenter et sécuriser votre infrastructure par l’isolation des zones, mais cela ne vous rend pas étanche à des attaques en profondeur. En effet, malgré la mise en place de règles de filtrage, il reste possible pour un attaquant d’atteindre certaines zones par rebond en exploitant certaines de ces règles : c’est ce qu’on appelle le mouvement latéral.
Nous présentons dans ce nouvel article de la série « Optistream show case » les possibilités offertes par notre solution pour détecter ces chemins d’attaques en profondeur au sein de votre infrastructure hybride au travers de nos audits automatiques.
Le studio de remédiation vous permettra ensuite d’appliquer les modifications adéquates pour contrer ce type d’attaques, et nos KPIs vous permettront d’observer l’efficacité graduelle de vos remédiations incrémentales sur vos processus métier.
La segmentation réseau emploie un découpage physique et/ou logique des différentes zones réseau. Cette segmentation ne peut être complète sans l’usage de règles de pare-feu appropriées (e.g. Cisco ACLs, FortiGate, AWS Security Groups…) : sans elles, il peut être possible d’atteindre tous vos actifs depuis les différents points de votre réseau ou environnement cloud - c’est le modèle flat.
Il est donc primordial de mettre en place une segmentation robuste et de limiter les flux au strict nécessaire afin de renforcer la sécurité de votre infrastructure et contenir d’éventuels incidents de sécurité[1].
Une fois un premier accès obtenu au sein de votre SI, l’attaquant cherchera inévitablement à atteindre les actifs et données les plus sensibles de votre entreprise.
Pour cela, l’attaquant énumérera les chemins réseau empruntables afin de rebondir et contourner vos règles de filtrages. Il devra évoluer de zone en zone au sein de votre infrastructure en exploitant certaines règles permissives jusqu’à atteindre les joyaux de la couronne.
Ces règles permissives dont profite l’attaquant peuvent résulter d’oublis (e.g. lors de migrations, changements d’architecture réseau), d’effets de bord inattendus (capacité de rebond plus large que le besoin initial), ou bien peuvent être légitimes et répondre à certains besoins ponctuels (e.g. rebond interne depuis la DMZ via jump host ou Bastion). C’est pourquoi il est primordial d’en avoir conscience afin d’anticiper l’impact d’une compromission.
Optistream répond à ces problématiques en proposant un audit automatique dédié : « in-depth infiltration » (IDI). Cette analyse simule le comportement des attaquants pour détecter tous les chemins de compromission possibles en amont.
L’enjeu est de déterminer la possibilité pour un attaquant d’atteindre vos actifs critiques depuis la surface exposée de votre SI. La surface d’attaque est déterminée par les actifs que vous exposez sur Internet : instance EC2, serveur Web hébergé dans une DMZ, postes de travail des employés avec un accès à Internet…
Au sein de votre digital twin, deux types de nœuds sont configurés :
L’audit sera ainsi en mesure de tester de manière exhaustive et rapide l’ensemble des chemins réseau empruntables depuis un nœud exposé potentiellement compromis jusqu’à un actif à haute valeur ajoutée.
Nos algorithmes sont développés afin d’établir un scoring basé sur le type de flux ouvert entre chaque rebond intermédiaire, inspiré des techniques couramment employées par les attaquants (MITRE ATT&CK TA0008[2]). Cela permet de découvrir les chemins d’attaque les plus pertinents dans le cadre d’une attaque en profondeur permettant ainsi de prioriser vos efforts de sécurisation sur les chemins les plus critiques, d’établir de nouveaux scénarios de remédiation et de les réévaluer.
Dans l’exemple suivant, l’utilisateur Optistream souhaite évaluer le risque lié à l’exposition de services hébergés au sein d’une DMZ et se pose la question suivante :
“Si mon site Internet est compromis, quelle peut être l’étendue des dégâts ? Jusqu’où l’attaquant peut-il naviguer au sein de mon réseau ?”
Cette question d’apparence simple n’est pas si évidente à répondre.
Dans ce scénario fictif, l’utilisateur souhaite s’assurer que sa zone OT (SCADA & ICS) ne soit pas accessible depuis sa DMZ dans l’hypothèse d’une compromission. La fonctionnalité traceroute (présentée dans notre précédent article) montre effectivement qu’il n’existe pas de route directe permettant de l’atteindre. Cependant, l’audit IDI révèle que par l’utilisation de plusieurs rebonds, un attaquant ayant compromis le serveur Web de l’entreprise (e.g. MONSITE.COM) est susceptible d’atteindre ces actifs.
Bien que ces actifs critiques semblaient protégés à première vue, nous nous apercevons au travers de cette analyse qu’ils ne le sont pas face à des attaques en profondeur.
L’audit IDI identifie un premier flux autorisé depuis la DMZ vers l’interne du réseau (machine WWW-PREPROD de la zone PREPROD) via le protocole SSH. Le chemin d’attaque révélé montre également la possibilité pour l’attaquant d’atteindre sa cible en progressant de zone en zone (Business puis SCADA) jusqu’à atteindre les systèmes de contrôle industriel. La vue « Weakspot/path » détaille les services ouverts empruntables par l’attaquant entre chaque rebond.
L’audit démontre qu’en cas de compromission du serveur Web de l’entreprise, un attaquant pourrait compromettre profondément l’organisation et ses données les plus sensibles par l’utilisation de techniques de mouvement latéral et de rebonds internes.
L’audit IDI permet également de révéler les « contagious nodes » de votre SI : il s’agit des actifs qui auront le plus d’impact sur votre infrastructure en cas de compromission.
Afin d’identifier ces actifs précis, Optistream combine plusieurs heuristiques qui déterminent :
C’est par le biais de vos contagious nodes qu’un attaquant aura le plus de chance de passer pour atteindre vos actifs critiques. Ils nécessitent donc une sécurisation et une supervision accrues afin de surveiller et contrer les mouvements latéraux au sein de votre SI dans le but de confiner les attaques.
Optistream permet un ciblage automatique de ces faiblesses et vous accompagne pour une remédiation rapide.
Les résultats d’audit évaluent la porosité de la segmentation de votre SI et sont consolidés au travers de KPIs centrés métier.
Ces indicateurs vous donnent une vision instantanée et globale de vos processus métier les plus à risque face aux attaques en profondeur. Cela permet d’orienter et prioriser vos efforts de sécurisation au sein de votre roadmap.
Dans une optique plus long terme, notre score global et son historique sont des indicateurs précieux au suivi de votre progression dans votre projet de sécurisation de votre SI.
La troisième partie de notre série d’articles vous fera une démonstration de la puissance d’Optistream lorsque vous êtes confrontés à ces mêmes problématiques au sein d’un environnement cloud.
Nous verrons comment :
Partie 3 : à venir
[1] Optistream - Zero Trust x Segmentation
[2] https://attack.mitre.org/tactics/TA0008/