Les outils de détection de sécurité basés sur le réseau deviennent-ils obslètes à cause du chiffrement ?

  • FrançaisFrançais

  • Manuchi / Pixabay

    En cybersécurité, les outils de détection ne manquent pas pour alerter les organisations sur les menaces potentielles. Pour simplifier les choses, vous pouvez les catégoriser en deux camps (bien qu’il y en ait d’autres): les outils de détection de point de terminaison et les outils de détection de réseau. Chacune offre des avantages uniques et une perspective unique sur les menaces, mais chacune a aussi ses inconvénients.

    Les différentes solutions de détection

    Les solutions de détection de point de terminaison telles que les scanners de virus ou les systèmes ETDR, offrent une visibilité sur ce qui se passe sur le point de terminaison, quel que soit l’emplacement du point de terminaison. Si l’utilisateur rencontre une menace alors qu’il se trouve au café local ou à la maison, le point de terminaison peut continuer à être protégé. Cependant, une solution de point de terminaison ne peut défendre que les systèmes sur lesquels ils sont installés. Comme la plupart des organisations ne sont pas hétérogènes (IE 100% Windows 10, par exemple) et que la plupart des solutions ne disposent pas de solutions pour chaque plate-forme (les périphériques mobiles IE et Linux ne sont pas couverts), les solutions endpoint doivent être complétées.

    Les solutions de détection basées sur le réseau (telles que IDS / IPS, ATP, NTA) ont fourni une visibilité sur les endroits où le point de terminaison ne peut pas intervenir (et vice versa). En observant tout le trafic échangé dans un emplacement, vous pouvez identifier les menaces associées aux périphériques sur lesquels aucune solution de point de terminaison n’est ou pourrait être installée. Les solutions de sécurité réseau offrent un point d’accès unique pour protéger la plus grande partie de votre organisation.

    Comme c’est le cas avec tous les outils de détection, vous ne pouvez pas détecter une menace que vous ne pouvez pas voir, et vous ne pouvez pas empêcher les menaces que vous ne pouvez pas détecter. Les solutions Endpoint ne peuvent pas détecter les menaces sur les périphériques sur lesquels elles ne sont pas installées et les solutions réseau ne peuvent pas détecter les menaces dans le trafic réseau qu’elles ne peuvent pas interpréter.

    Le chiffrement neutralise les solutions de sécurité sur le réseau

    Le chiffrement de réseau, comme SSL et TLS, est un outil important pour la confidentialité et ses avantages pour les organisations ne peuvent pas être surestimés. Cependant, les avantages du chiffrement de réseau est à double tranchant. Les mauvais acteurs peuvent utiliser les technologies de chiffrement pour masquer les attaques, masquer le commandement et le contrôle (C2), cacher les téléchargements de logiciels malveillants ou d’autres charges malveillantes et même dissimuler l’exfiltration des actifs de l’entreprise. Si les solutions de détection réseau ne peuvent pas interpréter les données analysées, elles ne peuvent pas non plus détecter le comportement malveillant.

    Malheureusement, le problème s’aggrave. Les laboratoires NSS prédisent que d’ici 2019, 75% du trafic réseau sera chiffré. Alors que la demande des utilisateurs pour la vie privée influence certainement cette tendance, cette augmentation n’est pas exclusivement motivée par la demande. Des services tels que Let’s Encrypt facilitent considérablement l’implémentation du chiffrement sur les sites Web, et Google encourage également l’adoption en envisageant le chiffrement en tant que facteur dans le classement de la page.

    Pour faire face à ce point aveugle croissant, de nombreuses entreprises tentent de mettre en place des mécanismes de déchiffrement pour promouvoir la visibilité de leur trafic réseau grâce à leurs outils de surveillance de la sécurité, mais cela pose également un défi.

    Le défi du déchiffrement

    Les organisations possèdent quelques stratégies pour aider à retrouver une certaine visibilité dans les communications réseau chiffrées. Il existe de nombreuses solutions pour déchiffrer le trafic entrant ou sortant au sein d’une organisation. Certaines solutions fournissent des capacités de déchiffrement autonomes dans le but de fournir des flux réseau non chiffrés à un ou plusieurs équipements de sécurité et de détection, tandis que certains équipements de sécurité intègrent directement cette fonctionnalité.

    Plusieurs facteurs doivent être pris en compte avant de choisir une stratégie de chiffrement. Le déchiffrement du trafic SSL et TLS peut exiger beaucoup de ressources et peut potentiellement introduire une latence supplémentaire dans l’expérience de l’utilisateur final. En tant que tel, vous voulez utiliser le déchiffrement avec parcimonie lorsque cela est nécessaire.

    Le premier point à prendre en considération est le nombre d’outils de détection dont dispose l’organisation et qui peuvent tirer parti des données déchiffrées. Si l’organisation ne dispose que d’un seul périphérique de détection, le déchiffrement sur le périphérique peut être une option. Cependant, s’il existe plusieurs outils, chacun ayant besoin d’accéder à des données déchiffrées, l’utilisateur doit envisager une stratégie de “déchiffrement unique”, avec un seul moteur de déchiffrement fournissant des données déchiffrées à tous les outils de sécurité avant de rechiffrer les données cible.

    En outre, comme le déchiffrement consomme des ressources, les performances de l’équipement peuvent être affectées lorsqu’elles sont activées. Dans de nombreux cas, l’activation du déchiffrement peut réduire les performances d’un périphérique de 50 %. Cela peut masquer le coût total de possession de l’exécution du déchiffrement dans l’équipement de sécurité. Assurez-vous de prendre en compte le coût engendré par la dégradation des performances avant de procéder à la sélection.

    Le deuxième facteur est l’information qui doit être déchiffrée. Les données chiffrées peuvent tomber sur l’un des deux côtés d’un spectre d’importance. D’un côté, il se peut que vous ayez des données chiffrées à haut volume et à faible risque qui seraient coûteuses à déchiffrer, avec peu de retour sur investissement. Par exemple, le déchiffrement d’une session Netflix peut nécessiter beaucoup de ressources, le risque de non déchiffrement associé étant faible. Les utilisateurs peuvent choisir de contourner le déchiffrement de ces données en conséquence. À l’autre extrémité du spectre, vous pouvez avoir des données sensibles importantes, telles que les données bancaires personnelles de l’utilisateur final. Bien que ce soit un impact peu fréquent et potentiellement faible sur les ressources du système, une fois déchiffré, vous pouvez placer votre organisation dans le rôle de la sauvegarde de ces données. À des fins de responsabilité, vous pouvez choisir que le risque d’accès à des données sensibles déchiffrées puisse l’emporter sur le risque d’attaque par ce vecteur d’attaque.

    Enfin, certains nouvelles technologies telles que TLS 1.3 présente des défis supplémentaires à déchiffrer, et peut nécessiter une approche de déchiffrement “Man in the middle”. Les organisations doivent décider si des méthodes de chiffrement présentant des problèmes de déchiffrement (diminution de la confidentialité potentielle), introduisant des approches man-in-the-middle plus actives (complexité croissante) ou ignorer des algorithmes de chiffrement complexes (introduction d’un vecteur d’attaque potentiel).

    Des décisions politiques

    En fin de compte, plusieurs de ces chemins comprennent des décisions de politique. Votre organisation devrait-elle introduire une technologie de déchiffrement, et si oui, comment et où ? Quelles données votre organisation doit-elle déchiffrer et comment va-t-elle protéger la confidentialité des utilisateurs dans le processus ? Quelle sera la position de votre organisation sur le déchiffrement d’algorithmes plus récents et plus complexes ? Comme c’est le cas pour de nombreux problèmes de sécurité, cela dépend des objectifs de votre organisation et inclut souvent l’équilibre entre la commodité et l’efficacité de la sécurité.

    La détection basée sur le réseau a toujours fait partie intégrante d’un écosystème de sécurité global. Avec l’utilisation accrue de la technologie de chiffrement, ces outils doivent s’adapter pour s’assurer qu’ils ont une visibilité adéquate sur les menaces dont ils espèrent nous protéger.

    Source

    Houssen Mohsinaly

    Houssen Mohsinaly

    Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

    Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *