Contrôle CIS 13 : Surveillance et défense du réseau

La cybersécurité d'aujourd'hui semble être une course aux armements : les entreprises mettent en œuvre de plus en plus d'outils de sécurité pour essayer de défendre leurs réseaux contre des attaques de plus en plus fréquentes et sophistiquées. Mais simplement augmenter le nombre d'outils dans votre arsenal n'est pas une stratégie de cybersécurité efficace. Plutôt, ce dont les organisations ont besoin est un cadre qui fournit des lignes directrices éprouvées pour la gestion sécurisée de leurs ressources numériques afin qu'elles puissent mettre en œuvre des outils et des processus qui protègent réellement leur entreprise, leurs clients et partenaires.

Le Centre pour la sécurité sur Internet (CIS) fournit un tel cadre — les CIS Critical Security Controls. Mettre en œuvre ces contrôles peut vous aider à protéger votre infrastructure, applications logicielles, services et données, de manière efficace et efficiente.

Le cadre CIS Controls est périodiquement mis à jour pour répondre aux menaces évolutives. En particulier, le monde a changé de manière spectaculaire depuis la sortie de la version 7 en 2019, grâce à l'adoption généralisée du travail à distance et hybride pendant la pandémie. En conséquence, CIS a publié la version 8 en 2021. Elle comprend un nouveau contrôle important, la Surveillance et la Défense du Réseau, et supprime trois autres, dont la Défense Périmétrique. Examinons ce changement et ce qu'il signifie pour votre stratégie de cybersécurité.

Contrôle CIS 13 : Surveillance et défense du réseau

Il fut un temps où une défense périmétrique solide était la priorité principale dans une stratégie de cybersécurité. Aujourd'hui, cependant, le trafic circule vers et depuis de multiples sites en dehors du périmètre réseau traditionnel. Par conséquent, il est essentiel de savoir quels appareils sont connectés à votre réseau à tout moment et de surveiller en continu les tentatives d'accès aux données sensibles et autres ressources de grande valeur. L'objectif est d'identifier rapidement des modèles de trafic suspects ou des événements afin de détecter les menaces avant qu'elles ne résultent en une data breach ou perturbent les opérations.

Le contrôle 13 dans la version 8 des CIS Control déplace l'approche stratégique de la 'clôture' de l'organisation vers une approche 'maillée' de surveillance et de défense qui s'adapte aux processus modernes utilisés dans les connexions de la chaîne d'approvisionnement, par exemple l'échange de données établi avec eux.

Pour aider les organisations à atteindre cet objectif, le CIS Control 13 recommande les 11 mesures de protection suivantes :

1. Centralisez l'alerte des événements de sécurité

La surveillance manuelle des menaces est insuffisante face aux méthodologies d'attaque modernes. Par exemple, les ransomwares peuvent chiffrer des données à la vitesse de la machine, et détecter des cyberattaques sophistiquées implique de corréler des données à travers plusieurs systèmes. Heureusement, il existe des outils avancés qui utilisent l'automatisation et l'intelligence artificielle pour analyser rapidement les données à travers des réseaux hybrides complexes. CIS Control 13 recommande d'utiliser une solution SIEM pour agréger, corréler et analyser les données des journaux d'événements de plusieurs systèmes et alerter le personnel approprié sur les menaces en temps réel.

2. Déployez une solution de détection d'intrusion basée sur l'hôte

Application logicielle qui est installée localement sur l'infrastructure informatique qu'elle analysera. Sa fonction est de détecter, consigner et alerter sur les comportements suspects, le trafic malveillant et les violations de politique.

3. Déployez une solution de détection d'intrusion réseau.

Une solution de détection d'intrusion réseau (NID) est un appareil de sécurité qui analyse le trafic réseau entrant et sortant pour identifier les anomalies, les modèles de trafic suspects et les menaces potentielles de paquets. Un NID peut être un composant sous licence au sein d'un appareil de pare-feu de nouvelle génération (NGFW), ou il peut utiliser des capteurs ou des agents d'application placés stratégiquement à travers le réseau.

4. Effectuez le filtrage du trafic entre les segments de réseau

Le filtrage du trafic restreint le flux de données entre les segments de réseau selon la source, la destination ou le type de trafic. Par exemple, toutes les machines des RH peuvent être segmentées du reste de l'organisation pour garantir que seul le trafic provenant des utilisateurs prescrits puisse accéder aux machines des RH. Vous pouvez utiliser des routeurs ou des pare-feu pour segmenter les zones ; un routeur filtrera à l'aide de listes de contrôle d'accès (ACL) tandis qu'un pare-feu utilisera des politiques pour filtrer.

5. Gérez le contrôle d'accès pour les actifs distants

L'accès à distance ne doit être accordé qu'aux comptes d'utilisateurs qui en ont absolument besoin, conformément au principe de moindre privilège. Les politiques d'accès à distance doivent également être conformes à toutes les réglementations industrielles ou gouvernementales requises.

6. Collectez les journaux de flux de trafic réseau

Les journaux de flux de trafic réseau peuvent être utilisés pour dépanner les problèmes de connectivité et déterminer si les flux de trafic fonctionnent comme prévu. Ils sont également utilisés pour enquêter sur le trafic suspect et l'accès aux ressources en cas d'incident de cybersécurité.

7. Déployez une solution de prévention d'intrusion basée sur l'hôte

Une solution de prévention des intrusions (IPS) est similaire à un système de détection des intrusions (IDS) dans la mesure où ils recherchent tous deux un trafic suspect et du code malveillant. Cependant, alors qu'un IDS se contente d'analyser le trafic et d'émettre une alerte, un IPS local peut préventivement empêcher les paquets identifiés d'accéder à l'appareil local en les rejetant.

8. Déployez une solution de prévention des intrusions réseau

Un IPS réseau se trouve sur un appareil réseau et bloquera le trafic qu'il considère comme une menace avant qu'il puisse entrer ou sortir d'un segment de réseau particulier.

9. Déployez le contrôle d'accès au niveau des ports

Le contrôle d'accès au niveau du port utilise le 802.1x ou des protocoles similaires pour garantir que seuls les appareils autorisés peuvent se connecter au réseau. Par exemple, cela peut empêcher un visiteur de connecter un ordinateur portable au réseau à l'aide d'un câble ethernet, les forçant ainsi à utiliser le réseau sans fil fourni. L'accès peut être accordé en utilisant des certificats, des adresses MAC ou une authentification utilisateur.

10. Effectuez un filtrage de la couche application

Le filtrage de la couche application garantit que les utilisateurs ne peuvent pas communiquer via des applications qui ne sont pas conformes aux politiques de l'entreprise. Par exemple, certaines organisations peuvent empêcher les utilisateurs d'utiliser certains réseaux sociaux, médias en streaming ou applications de proxy.

11. Réglez les seuils d'alerte des événements de sécurité

Si le personnel informatique ou de sécurité est submergé par les alertes, il commencera à les ignorer. Une manière de prévenir cela est d'attribuer des seuils aux différents types d'événements de sorte qu'une alerte ne soit déclenchée que lorsqu'un seuil a été dépassé. Les événements peuvent être automatiquement effacés en utilisant des seuils également.

Comment Netwrix peut aider

Netwrix offre des solutions qui peuvent vous aider à mettre en œuvre de nombreuses mesures de protection du CIS Control 13, rapidement et efficacement. Les solutions de sécurité Netwrix vous permettent d'identifier et de corriger les lacunes de votre posture de sécurité, ainsi que de détecter les menaces dès leurs premiers stades et d'y répondre promptement. En particulier, nos capacités de détection des menaces internes vous alertent sur les comportements anormaux à travers votre environnement afin que vous puissiez défendre votre réseau contre les initiés malveillants et les attaquants qui prennent le contrôle de leurs comptes.