This post is also available in: Deutsch (Allemand) Español (Espagnol)
En matière de sécurité des réseaux, il n’existe aucune solution unique pouvant protéger contre la diversité des menaces auxquelles les entreprises sont confrontées. Et donc, pour profiter d’une protection plus complète, il est nécessaire de combiner matériels et logiciels afin d’assurer plusieurs couches de sécurité er défendre le réseau contre diverses menaces. Le temps, le coût et la main d'œuvre requis pour sélectionner, mettre en place et entretenir soigneusement ces outils est un investissement conséquent pour n'importe quelle entreprise. Toutefois, les personnes présentes dans l'environnement du réseau ne seront pas toujours à l'intérieur du périmètre et les capacités de protection du réseau ne s'y appliqueront donc pas. Si les terminaux ne sont pas protégés avec des solutions de sécurité appropriées, ces personnes peuvent contourner la sécurité du périmètre et introduire des menaces externes dans l'environnement. Un produit de sécurité du terminal inapproprié peut annuler tout le travail qui a été effectué pour sécuriser le réseau.
Ci-dessous sont présentées cinq actions que votre terminal doit réaliser pour empêcher un impact négatif sur le maintien de la sécurité de vos réseaux :
1. Intégrer nativement les renseignements relatifs aux menaces.
D'après une étude Ponemon datant de 2016, 39 % des personnes interrogées conviennent que toutes les attaques peuvent être bloquées si l'entreprise est impliquée dans le partage des renseignements relatifs aux menaces. L'utilisation des renseignements internationaux relatifs aux menaces étend les capacités de protection au-delà des connaissances d'une seule solution, vers des renseignements partagés au sein d'une communauté internationale. Lorsque d'autres membres de la communauté rencontrent de nouvelles attaques, cette information est partagée afin que tous les membres puissent automatiquement détecter les menaces connues et identifier rapidement les menaces inconnues.
Le réseau et le terminal doivent tous deux participer au partage des renseignements relatifs aux menaces, en appliquant en continu davantage de renseignements relatifs aux menaces auprès des périphériques de leurs propres environnements. Ils doivent également échanger des renseignements l'un avec l'autre afin que les éléments identifiés et contenus au niveau du terminal le soient également sur le réseau.
Les renseignements relatifs aux menaces ne sont toutefois pas suffisants à eux seuls. La majorité des entreprises qui s'abonnent aux flux de renseignements se noient en effet dans ces données qu'elles ne peuvent relier ou transformer en renseignements pratiques. Si elles ne sont pas en mesure de transformer automatiquement les renseignements relatifs aux menaces en nouvelles protections, les entreprises ne font qu'acheter davantage de données. Le problème s'aggrave si aucune intégration native n'existe entre les composants d'un environnement pour produire et partager ces renseignements relatifs aux menaces. Les renseignements qui ne sont pas intégrés nativement et qui ne peuvent pas être transformés automatiquement en nouvelles protections sont peu utiles, à moins que vous n'y affectiez davantage de personnes. Vous n'obtiendriez toutefois qu'un processus d'analyse des données ayant nécessité beaucoup de personnel.
2. Protéger contre les menaces connues et inconnues.
La majorité des produits de sécurité traditionnels sont conçus pour détecter des menaces connues avant qu'elles n'infiltrent une entreprise. Dans de nombreux cas, au moment où une menace inconnue a été détectée, les principaux actifs ont déjà été compromis et la détection est trop faible et survient trop tard. En outre, bien que les pirates réutilisent souvent des techniques existantes de malware et d’exploits, ils modifient également les attaques existantes ou en créent de toutes nouvelles pour échapper à la détection. Cela laisse un large éventail de menaces indétectables par la majeure partie des produits de sécurité.
La détection et la correction sur le réseau ou le terminal sont invariablement chronophages et inefficaces et nécessitent beaucoup de personnel. Ce problème peut être évité si le réseau et le terminal peuvent tous deux empêcher les menaces connues et inconnues. Idéalement, les capacités de prévention de votre solution de sécurité du terminal ne doivent pas reposer sur des signatures ou sur la connaissance préalable d'une attaque ou d'une fragilité et doivent intégrer diverses analyses et méthodes de prévention pour augmenter autant que possible l'efficacité.
3. Automatisation.
Les pirates disposent d'outils automatisés, évolutifs et spécialisés. Dans l'étude Economics of a Breach (2016) de Ponemon, 68 % des personnes interrogées ont déclaré que les outils de piratage informatique automatisés facilitent la réussite des attaques pour les pirates. Toute une économie et un marché existent et encouragent la prolifération de ces outils à des prix abordables.
Pour se défendre contre des attaques de plus en plus sophistiquées, les entreprises utilisent des solutions ponctuelles qui sont souvent complexes et requièrent du personnel, mais sont de toute évidence insuffisantes. Pour devancer les pirates, une entreprise doit faire en sorte que les attaques réussies soient plus compliquées et moins rentables. Les personnes interrogées dans le cadre de l'étude mentionnée précédemment affirment que 60 % des attaques peuvent être dissuadées si une attaque nécessite 40 heures supplémentaires d'exécution. Le seul moyen d'atteindre cet objectif de manière évolutive et durable est avec la prévention automatisée.
La détection sur le réseau ou le terminal n'est pas évolutive si un analyste de la sécurité doit être dépêché pour examiner les alertes. L'automatisation fait de l'entreprise une cible plus difficile à atteindre si vous retardez la réussite de l'attaque et donc son gain, et poussez ainsi le pirate à passer à la prochaine victime potentielle.
4. Assurer une protection continue.
Les utilisateurs deviennent de plus en plus mobiles, se connectant aux ressources internes depuis des sites à travers le monde qui se trouvent en dehors du périmètre du réseau de l'entreprise. Le même niveau de protection doit être appliqué sur tous les terminaux, quelle que soit la connectivité : en ligne ou hors ligne, sur site ou hors site. Le manque de continuité dans ces protections met en péril le terminal, et il est fort à parier que le réseau soit lui aussi affecter, quelles que soient les protections du réseau déjà en place. La sécurité du terminal doit s'étendre au-delà du périmètre traditionnel du réseau, là où de nombreuses cyberattaques ciblent les utilisateurs finaux et les terminaux et où le réseau ne dispose pas d'une visibilité complète.
5. Fournir une visibilité totale de l'activité sur le réseau, le terminal et le cloud.
Les attaques modernes passent par diverses étapes avant d'atteindre leurs objectifs. Pour réussir à empêcher une attaque, les entreprises doivent avoir une visibilité totale de tous les utilisateurs, périphériques et données présents sur leur réseau, leur terminal et le cloud. Cette visibilité est nécessaire pour comprendre le contexte d'une attaque, appliquer la politique de sécurité au sein du réseau et du terminal et relier les évènements de sécurité afin d'améliorer la méthode de sécurité de l'entreprise. Lorsque les renseignements relatifs aux menaces intégrés nativement sont combinés à la prévention automatisée des menaces connues et inconnues pour assurer une protection continue, quelle que soit la connectivité ou la localisation, l'effet synergique peut radicalement améliorer la méthode de sécurité d'une entreprise. Cela peut ainsi réduire l'attrait que peut exercer une entreprise aux yeux de pirates opportunistes et minimise également la probabilité d'une attaque ciblée réussie.
Choisir une solution de sécurité de terminal inappropriée peut exposer vos terminaux aux menaces et entraver, ou annuler, le travail significatif qui a été effectué pour sécuriser le réseau. Votre solution de sécurité du terminal doit sécuriser en continu tous les terminaux, apporter des capacités supplémentaires aux autres services de l'entreprise et renforcer votre méthode globale de sécurité des réseaux.
La protection avancée du terminal Palo Alto Networks Traps utilise une prévention multiméthodes plutôt qu'une détection de violation et une réponse aux incidents, avec des méthodes spécialement conçues de prévention des programmes malveillants et des codes d'exploitation afin d'empêcher toutes menaces connues et inconnues. Faisant partie de la Palo Alto Networks Security Operating Platform, Traps est intégré à WildFire, le service d'analyse des menaces basé sur le cloud, pour convertir automatiquement les renseignements relatifs aux menaces en prévention contre les programmes malveillants, ce qui permet de bloquer préalablement les menaces avant qu'elles ne compromettent un terminal.