Le vieux dicton selon lequel « Ce que vous ne savez pas ne peut pas vous faire de mal » est tout à fait erroné lorsqu'il s'agit de sécurité des réseaux. Ce que vous ne savez pas est précisément ce qui vous portera préjudice. C’est pourquoi une visibilité complète du réseau est si essentielle pour protéger votre entreprise afin d'éviter les amendes de conformité et les enquêtes.
Saviez-vous que depuis le début de la pandémie de COVID-19 l’année dernière, il y a eu une augmentation de 300% des cybercrimes signalés au FBI ? Beaucoup de ces attaques visent directement le réseau. Cisco prévoit d'ailleurs que d’ici 2023, 15,4 millions d'attaques DDoS auront lieu. En fait, même les attaques non spécifiques au réseau doivent traverser votre réseau.
Les amendes pour non-respect de la loi risquent d'être le pire de vos soucis financiers, puisque Verizon a calculé que l'année dernière, les violations de données ont coûté en moyenne 3,86 millions de dollars. Les chefs d'entreprise sont conscients de ces problèmes et 68 % d'entre eux estiment que les risques liés à la cybersécurité augmentent réellement, selon Accenture.
C'est pourquoi vous devez absolument savoir de quoi se compose votre réseau - connexions, segments, équipements et même les applications et les machines virtuelles. Ces éléments sont tous menacés par les hordes croissantes de cybercriminels de plus en plus sophistiqués.
« Le défi que pose la visibilité revient à ceci : vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Disposer d'une visibilité complète sur vos environnements réseau, qu'ils soient sur site ou dans le Cloud, est fondamental pour établir et maintenir une posture de sécurité et de conformité solide. Une visibilité approfondie montre quelles applications professionnelles et quels flux de connectivité sous-jacents seront affectés par des modifications des règles de sécurité ou par des temps d'arrêt planifiés des serveurs et des appareils. Cette visibilité est essentielle pour comprendre l'impact sur les applications clés lors de la migration ou de la mise hors service de serveurs ou de la résolution de problèmes, et pour éviter des pannes coûteuses », explique Security Boulevard.
Bien entendu, la supervision réseau fait partie d'une approche spécialisée en matière de sécurité informatique, elle n'est qu'un élément de ce qui devrait constituer une stratégie de défense en profondeur - mais un élément absolument essentiel. Tout comme les logiciels anti-malware et les pare-feu doivent couvrir tous vos actifs, la supervision réseau doit comprendre et suivre toutes les ressources du réseau, et être consciente de l'arrivée de nouvelles ressources.
Voyons comment la supervision réseau ajoute une couche critique de protection à votre infrastructure informatique. Une bonne solution de supervision réseau repère les changements de configuration qui pourraient indiquer une faille, tandis que les logs du réseau montrent exactement ce qui s'est passé et ce qui doit être corrigé. Les violations sont repérées plus rapidement ou bloquées, l'exposition à la conformité est réduite et les pertes économiques diminuées ou éliminées.
Ces violations sont plus qu'une nuisance. Au cours du premier semestre de l'année dernière, 36 milliards, oui milliards, d'enregistrements ont été exposés à la suite de violations. Et ceux qui se soucient de la conformité doivent savoir que 58 % de ces brèches concernaient des données personnelles, selon Verizon.
Comme l’indique le titre de notre blog, vous ne pouvez pas protéger un réseau que vous ne pouvez pas voir - ou comprendre. C’est pourquoi la première chose qu’une bonne solution de surveillance de réseau fait est la découverte réseau. Cela permet de trouver tous les éléments, de définir un profil et de créer un inventaire. Mieux encore, vous pouvez automatiser la découverte de manière à ce qu'à un moment prédéterminé, la solution trouve de nouveaux éléments et dispositifs sur votre réseau, puis les ajoute à l'inventaire. Ainsi, les nouveaux dispositifs, connexions et segments de réseau ne constitueront pas une nouvelle vulnérabilité pour votre environnement.
La visibilité de votre réseau comprend la compréhension de la façon dont le réseau est configuré et fonctionne correctement. Il s'agit de la ligne de base du réseau.
Votre base de référence doit être complète et englober les principaux critères de performance et de sécurité, tels que les statistiques d'utilisation de la mémoire, de l'unité centrale, des interfaces et des disques. Une fois ces données établies, vous pouvez fixer des seuils, par exemple lorsqu'un disque est proche de sa capacité, et déclencher des alertes pour attirer l'attention sur des problèmes susceptibles de poser un risque pour la sécurité. Par exemple, des dispositifs surchargés peuvent indiquer une dangereuse attaque DDoS qui nécessite une attention immédiate.
Un autre exemple est le minage de crypto-monnaie qui, sans être nécessairement un événement de sécurité, peut encombrer votre réseau au point de le rendre indisponible. Ce minage a souvent lieu en dehors des heures de travail, lorsque les employés chargent votre réseau de tâches de traitement de bitcoins ou d'autres crypto-monnaies. La surveillance du processeur et de la mémoire peut permettre de repérer ces activités, même lorsque votre magasin est fermé, et vous aider à y mettre un terme.
Dans ce cas, déterminez d'abord la ligne de base de votre CPU. Certains serveurs fonctionnent à 90 % parce qu'ils sont utilisés efficacement. Si la charge normale du processeur se situe autour de 50-60 %, fixez le seuil d'alerte à 90 %. Vous pouvez surveiller tous vos serveurs de cette manière pour repérer les comportements suspects et savoir si les appareils sont à la hauteur de leurs tâches actuelles.
Toutes les découvertes et les analyses de base du monde ne serviront à rien si vous n'êtes pas alerté en cas de problème. Nous venons de parler des alertes lorsque les unités centrales ou d'autres éléments du réseau dépassent les seuils. Des alertes peuvent être définies pour toutes sortes d'autres choses, telles que des problèmes de performance, une bande passante surchargée, un comportement inhabituel et une myriade d'autres éléments.
Les alertes doivent toutefois être correctement paramétrées. Tout d'abord, il ne faut pas que les alertes soient déclenchées pour la moindre chose qui semble sortir de l'ordinaire. Les rapports peuvent suivre ces événements et, lorsqu'ils atteignent un niveau critique, ils peuvent se transformer en alerte. En cas de surcharge d'alertes, le service informatique est distrait par des événements insignifiants et ne peut pas toujours prêter attention aux événements vraiment importants.
Les alertes ne doivent pas être envoyées en masse à toutes les personnes qui utilisent votre solution de supervision réseau, mais plutôt ciblées en fonction des responsabilités, les alertes serveur étant envoyées à l'équipe serveur, les alertes application à ce groupe et les éléments relatifs à la bande passante à ceux qui gèrent vos connexions. Les alertes peuvent également avoir différents niveaux de gravité. La plupart des alertes que vous souhaitez voir, mais qui ne sont pas des urgences, peuvent être envoyées par courrier électronique ou par des solutions de collaboration telles que Slack, tandis que les éléments critiques peuvent être envoyés sous forme de texte pour une attention immédiate.
Saviez-vous que, selon Gartner, 80 % des violations sont dues à une mauvaise configuration ou à une autre erreur administrative ?
Pour accéder aux réseaux, les attaquants reconfigurent souvent les services ou les hôtes et, au cours du processus de reconfiguration, les rendent temporairement indisponibles. La surveillance du réseau permet de repérer la perte de service et de trouver la reconfiguration malveillante, ce qui permet de sauver la situation.
Heureusement, une bonne solution de surveillance découvre et documente vos configurations, et peut même envoyer des alertes, des courriels ou des textes en fonction de la gravité du changement de configuration. Mieux encore, vous pouvez mettre en place des configurations automatiques basées sur des politiques définies et éprouvées, ce qui vous permet de savoir que la configuration est faite correctement. Si vous perdez une configuration ou si vous rencontrez des problèmes, des sauvegardes automatisées garantissent qu'elle n'est jamais vraiment perdue et qu'elle peut facilement être restaurée avec les paramètres appropriés.
Les erreurs de configuration proviennent souvent de nouvelles installations qui s'écartent des normes établies et éprouvées. L'inventaire des configurations et les configurations automatiques règlent ces problèmes.
Vous pouvez également définir des politiques de sécurité telles que l'activation du cryptage des mots de passe et la garantie de la conformité aux politiques.
De nombreux problèmes de sécurité (et de performance) sont liés à la bande passante, d'où l'importance de l’analyse du trafic réseau. Vous pouvez ainsi analyser NetFlow, NSEL, S-Flow, J-Flow et IPFIX et obtenir des détails complets et granulaires sur les ressources, les départements, les groupes ou même les individus qui utilisent la bande passante. Cette analyse permet de repérer les comportements inhabituels, tels que les attaques de botnets et les prises de contrôle de réseaux, l'exfiltration de données par des cybercriminels, les attaques DDoS, l'exploration de données dont nous avons parlé précédemment, et même les employés qui regardent Netflix ou Amazon Prime en boucle.
Si vous disposez d'une bonne base de référence, la surveillance de l'utilisation de la bande passante en temps réel vous permet de savoir si quelque chose ne va pas. De plus, cette fonction fournit des rapports sur les tendances historiques de la bande passante, ce qui vous permet de savoir quand vous devez mettre le réseau à niveau.
L'analyse du trafic réseau est également un élément clé de la criminalistique en matière de sécurité, car elle permet de découvrir des applications non autorisées, de suivre les volumes de trafic entre des paires spécifiques de sources et de destinations, et de trouver des flux de trafic importants vers des ports non surveillés.
Avec WhatsUp Gold, vous pouvez alerter les administrateurs lorsque des utilisateurs accèdent au Dark Web, ce qui permet à ces derniers d'utiliser Tor, le réseau bénévole de relais par lequel les visiteurs du Dark Web peuvent être acheminés pour rester anonymes. Le service informatique peut surveiller toutes les sources du réseau pour détecter les ports Tor connus et repérer ou bloquer l'accès au Dark Web.
Comme vous l'avez peut-être deviné, toutes les fonctionnalités de supervision réseau évoquées dans ce blog sont disponibles avec WhatsUp Gold de Progress Software. En voici trois autres qui pourraient vous intéresser.
NetFlow – Grâce à la fonction NetFlow, le service informatique peut facilement et automatiquement analyser les données provenant des appareils Cisco afin d'analyser le comportement du réseau, de repérer les problèmes de sécurité et de mettre en place des alertes en temps réel pour les problèmes de réseau et de sécurité.
Gestion des logs – La gestion des logs est essentielle à la sécurité, essentielle au respect des réglementations de conformité et essentielle pour montrer exactement ce qui s’est passé et quelles mesures ont été prises lorsqu’un événement de sécurité s’est produit.
Audits de conformité planifiés - Et si votre solution de supervision réseau était également capable d'exécuter régulièrement des audits comme SOX, HIPAA, PCI et FISMA l'exigent ? WhatsUp Gold le permet !
Installez-vous confortablement et laissez les experts de Progress vous enseigner tout ce que vous devez savoir sur la visibilité du réseau dans notre webinaire - You Can't Protect What You Can't See!
WhatsUp Gold contient bien d'autres nouveautés. Vous pouvez en savoir plus sur les nouveautés de WhatsUp Gold sur notre page Nouveautés ou même l’essayer gratuitement !
Get our latest blog posts delivered in a weekly email.