BLOG

Conseils liés au CDM pour une meilleure surveillance et gestion des cybermenaces

Miniature de Ryan Johnson
Ryan Johnson
Publié le 15 octobre 2020

En novembre 2018, le Congrès a adopté un projet de loi créant l’Agence de cybersécurité et de sécurité des infrastructures (CISA). La CISA, qui fait partie du Département de la sécurité intérieure, a proposé une réponse fédérale à la menace croissante des cyberattaques, une menace mise en lumière après la violation massive de l'Office of Personnel Management (OPM) en 2015 , qui a compromis les données personnelles de 22 millions d'employés fédéraux.

Un élément clé de l’amélioration de la cybersécurité fédérale est la visibilité, qui est abordée par le biais du programme de diagnostic et d’atténuation continus (CDM) de la CISA. L’année dernière, le Congrès a augmenté le financement du MDP de 53,5 millions de dollars , réservant un total de 213,5 millions de dollars au programme.

Les objectifs du programme comprennent la réduction de la surface de menace des agences, l’augmentation de la visibilité sur leurs cyber-positions, l’amélioration de leurs capacités de réponse et la rationalisation des rapports. Étant donné que ces fonds sont en réalité consacrés à des investissements technologiques, les agences doivent reconnaître le fait qu’aucun fournisseur n’est en mesure de résoudre à lui seul l’ensemble du casse-tête du CDM.

Dans cet esprit, examinons quelques technologies qui peuvent contribuer à faire de la visibilité une réalité et examinons comment elles sont liées les unes aux autres.

Visibilité SSL

Pour commencer, quelque chose qui semble évident, les agences fédérales doivent avoir une visibilité sur le trafic entrant et sortant de leurs réseaux pour s’assurer qu’il n’est pas malveillant. Bien que de nombreux dispositifs de sécurité puissent analyser le trafic et détecter les menaces, ils ne peuvent pas le faire si le trafic est crypté, comme le sont 90 % des données Internet.

Cela représente une sorte de cercle vicieux. Bien que le cryptage puisse protéger la confidentialité des données, il peut également masquer les logiciels malveillants. Cette énigme peut être résolue grâce à des produits de visibilité SSL , qui décryptent et recryptent le trafic avant qu'il ne soit transmis aux outils de sécurité en fonction du contexte, comme la réputation IP, le port/protocole et la catégorisation des URL.

Les outils de visibilité SSL permettent aux dispositifs de sécurité de faire ce qu’ils font le mieux : analyser le trafic, au lieu de gaspiller de précieuses ressources dans le processus intensif de décryptage/recryptage. Une visibilité totale sur les cybermenaces ne peut être obtenue sans cette étape cruciale.

Améliorer la surveillance

Si les agences ne peuvent pas ouvrir le trafic entrant et sortant sur leur réseau, elles ne peuvent pas l’enregistrer correctement – et l’enregistrement et la création de rapports sont des éléments clés des exigences CDM. Ce n’est qu’en décryptant correctement le trafic que les agences peuvent ensuite l’envoyer à un emplacement central pour être enregistré, surveillé, signalé et analysé plus en détail.

Par exemple, avec un décryptage et une journalisation appropriés, les agences peuvent ensuite utiliser l’analyse comportementale, intelligence artificielle et l’apprentissage automatique pour effectuer une analyse comportementale du trafic. Actuellement, 88 % des agences civiles fédérales utilisent un outil appelé Einstein pour faire exactement cela.

Mais encore une fois, toutes les pièces du puzzle doivent s’assembler. Les analyses avancées ne peuvent pas se faire sans le décryptage susmentionné.

Protection des actifs

La visibilité SSL ouvre les flux cryptés pour permettre aux dispositifs de sécurité d'aider à enregistrer et à protéger ces actifs. Mais il existe de nombreuses façons d’aborder la protection. Pour commencer, les agences doivent se protéger des dix principales menaces de l’OWASP et des attaques zero-day émergentes. Une autre stratégie d’atténuation consiste à enregistrer et à surveiller le trafic afin qu’il puisse être analysé, soulignant ainsi davantage l’interconnexion de ces différents composants de la cybersécurité.

De même, de nombreuses plateformes de protection application multiservices peuvent et doivent également se protéger contre le trafic de robots malveillants. Chaque secteur d’activité est confronté à des attaques automatisées telles que la prise de contrôle de compte, la reconnaissance de vulnérabilité ou le déni de service, et le gouvernement fédéral ne fait pas exception.

Mettre tout cela ensemble

Le programme CDM de la CISA propose un casse-tête complexe mais important que les agences ne peuvent pas résoudre par l’intermédiaire d’un seul fournisseur. La protection des actifs elle-même nécessite de multiples solutions, car les agences se défendent contre une liste croissante d’attaques. Mais cette protection ne peut pas se faire sans cocher d’autres cases, comme le décryptage et la journalisation du trafic.

En fin de compte, les agences ne peuvent pas protéger ce qu’elles ne peuvent pas voir. Bien que ce soit la force motrice du programme CDM, les agences doivent s’assurer qu’elles disposent des bons outils pour garantir la visibilité. Le décryptage du trafic crypté, son envoi vers un journal central, l'exécution d'analyses comportementales et la mise en place d'une protection des actifs appropriée constituent un bon point de départ.

Par Ryan Johnson, responsable de l'ingénierie des solutions fédérales, F5