Geekly articles weekly

Tendances de la sécurité des réseaux 2019

Il est de coutume qu'Ă  la fin de chaque annĂ©e, les entreprises se souviennent, partagent leurs rĂ©alisations et publient des prĂ©visions qui, par chance, sont associĂ©es aux produits de l'entreprise. Je ne briserai pas cette tradition avec deux petits ajouts. Je ne parlerai pas de nos rĂ©alisations au cours de la derniĂšre annĂ©e; Je peux Ă©crire Ă  ce sujet dans notre blog d' entreprise. Et avec les prĂ©visions, la situation n'est pas si Ă©vidente de la publicitĂ©. Nous avons beaucoup Ă  dire dans le contexte de la cybersĂ©curitĂ©, mais j'essaierai de me concentrer sur ce que les autres entreprises ne mentionnent gĂ©nĂ©ralement pas, mais c'est trĂšs important et ce qui devrait ĂȘtre pris en compte dans ma stratĂ©gie de sĂ©curitĂ© de l'information en 2019. De plus, je ne me cacherai pas, nous avons participĂ© Ă  certaines des tendances dĂ©crites. Entre autres, nous parlerons des vulnĂ©rabilitĂ©s de BGP et CDN, du piratage des pĂ©riphĂ©riques rĂ©seau, des rĂ©seaux TLS 1.3 et 5G Ă  venir, des API et des cyberattaques.

Je devine sur le marc de café

Trappage du trafic via les vulnérabilités BGP


RĂ©cemment, les vulnĂ©rabilitĂ©s du protocole de routage Internet BGP sont devenues plus frĂ©quentes. L'interception et la redirection du trafic vous permettent de l'analyser et de le manipuler, ce qui entraĂźne le vol de crypto-monnaie, une violation de la confidentialitĂ© et le rĂ©tablissement du contrĂŽle des ordinateurs contrĂŽlĂ©s par la police. À l'automne 2018, un nouveau systĂšme a Ă©tĂ© dĂ©tectĂ© qui a Ă©tĂ© utilisĂ© par des cybercriminels pour arnaquer la publicitĂ© en ligne. L'opĂ©ration de l'attaquant, appelĂ©e 3ve , a interceptĂ© le trafic de plus de 1,5 million d'adresses IP et a fait croire aux agences de publicitĂ© que des milliards d'impressions de banniĂšres Internet Ă©taient rĂ©ellement vues par de vrais utilisateurs. Oui, ce n'est pas le vol de trafic d'une agence britannique d'armes nuclĂ©aires. Et oui, ce n'est pas une interception de trafic provenant de 1300 adresses Amazon afin de se dĂ©guiser en site MyEtherWallet avec le vol subsĂ©quent de 150 mille dollars en crypto-monnaie. Et ce n'est pas une interception de trafic de deux douzaines d'institutions financiĂšres, dont MasterCard et Visa (ainsi que Symantec et Verisign). Quelques publicitĂ©s ennuyeuses que nous essayons tous de supprimer Ă  l'aide de plugins et de logiciels spĂ©cialisĂ©s. Mais pour les agences de publicitĂ©, cette attaque a coĂ»tĂ© 29 millions de dollars, qui ont Ă©tĂ© "jetĂ©s dans l'abĂźme", c'est-Ă -dire payĂ©s aux escrocs qui utilisaient des vulnĂ©rabilitĂ©s et des paramĂštres BGP incorrects.



RĂ©ponse de Cisco : afin de neutraliser la mise en Ɠuvre de menaces alĂ©atoires ou malveillantes via BGP, nous ne vous vendrons rien :-) Nous vous recommandons simplement de vous familiariser avec nos manuels ( ici et ici ) et de configurer votre Ă©quipement rĂ©seau en consĂ©quence. De plus, la surveillance des informations de routage de votre rĂ©seau Ă  l'aide des services de surveillance BGP appropriĂ©s est une bonne recommandation.

Piratage de périphériques réseau


45000 routeurs compromis ont Ă©tĂ© trouvĂ©s fin novembre 2018. Un botnet de 100 000 pĂ©riphĂ©riques rĂ©seau compromis Broadcom, Asus, TP-Link, Zyxel, D-Link, Netgear, US Robotics et autres a Ă©tĂ© dĂ©couvert quelques semaines plus tĂŽt. En mai, Cisco Talos a dĂ©couvert un demi-million de pĂ©riphĂ©riques rĂ©seau compromis dans 54 pays. Parmi les fournisseurs concernĂ©s figurent ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE, ainsi que Linksys, MikroTik, Netgear et TP-Link. Le piratage de l'Ă©quipement rĂ©seau passe des cas isolĂ©s au courant principal, car il permet aux attaquants d'accĂ©der Ă  de grandes quantitĂ©s d'informations qui les intĂ©ressent, qui peuvent ĂȘtre transmises sous forme non cryptĂ©e.

Que rĂ©pondra Cisco : si nous parlons d'Ă©quipements Cisco, nous avons dĂ©veloppĂ© de nombreuses recommandations pour la protection des routeurs basĂ©s sur les systĂšmes d'exploitation Cisco IOS , IOS XR , IOS XE , dont la mise en Ɠuvre correcte augmente leur sĂ©curitĂ© Ă  plusieurs reprises. De plus, nous avons Ă©tĂ© parmi les premiers Ă  rencontrer des attaques sur nos routeurs (en raison de leur popularitĂ©), et nous avons commencĂ© Ă  mettre en Ɠuvre des mĂ©canismes de dĂ©marrage sĂ©curisĂ© Secure Boot, une protection de la mĂ©moire, une protection contre l'usurpation de composants matĂ©riels, etc.

Les autres fabricants devraient également disposer d'instructions appropriées sur la façon de les mettre à jour et de les protéger. De plus, il est recommandé d' analyser la télémétrie provenant de l'équipement réseau, ce qui vous permet d'identifier les anomalies du trafic réseau et de détecter en temps opportun les compromis au niveau de l'infrastructure réseau, ce qui en 2019 continuera d'intéresser les attaquants.

Attaques de la chaĂźne d'approvisionnement


Les attaques contre les équipements réseau ont rappelé une vieille histoire à laquelle certains de nos clients du monde entier ont dû faire face (il y en avait peu). Sans contrat de service pour notre équipement, ils ont téléchargé un nouveau micrologiciel pour les routeurs qui étaient déjà interrompus des sites Internet, ce qui a conduit à l'infection des appareils, à l'interception d'informations, et nous avons été invités à revoir la stratégie d'autodéfense des équipements réseau et à lancer l'initiative Trustworthy Systems , Dans le cadre duquel nous avons considérablement repensé l'architecture de nos appareils et les avons équipés de mécanismes de démarrage de confiance , protection contre l'exécution de code malveillant en mémoire, protection contre l'usurpation de composants électroniques etc.

En 2018, le dĂ©partement amĂ©ricain de la SĂ©curitĂ© intĂ©rieure a partagĂ© une histoire sur la façon dont des pirates informatiques inconnus ont attaquĂ© un certain nombre de sociĂ©tĂ©s d'Ă©nergie en AmĂ©rique du Nord et l'ont fait par le biais de la soi-disant attaque Waterhole. L'essence de l'attaque est que les attaquants ne commencent pas la premiĂšre Ă©tape de leur attaque en piratant la sociĂ©tĂ© victime, mais en compromettant le site du fabricant du logiciel ou du matĂ©riel que la victime utilise. TĂŽt ou tard (avec la qualitĂ© actuelle du logiciel, c'est tĂŽt tĂŽt), la sociĂ©tĂ© se rend sur le site Web du fabricant pour les mises Ă  jour logicielles et micrologicielles et tĂ©lĂ©charge le logiciel infectĂ© Ă  partir de la ressource de confiance, en lui faisant entiĂšrement et entiĂšrement confiance. Les attaquants pĂ©nĂštrent donc dans l'organisation et commencent Ă  Ă©tendre la tĂȘte de pont. Cette attaque vous permet d’infecter non pas une mais plusieurs entreprises Ă  la fois qui, comme un point d’arrosage (d’oĂč le point d’eau), se rendent sur le site Web du fabricant pour des mises Ă  jour.

Fin aoĂ»t 2018, la compagnie aĂ©rienne British Airways Ă©tait confrontĂ©e au fait que plusieurs centaines de milliers de ses clients ont Ă©tĂ© affectĂ©s par la fuite des donnĂ©es de carte de paiement saisies sur le site lors de la commande de billets. Au cours de l'enquĂȘte, il s'est avĂ©rĂ© que le groupe de hackers Magecart a piratĂ© ... non, pas le site de British Airways, mais le site de son entrepreneur, Ă  partir duquel le JavaScript infectĂ© a Ă©tĂ© tĂ©lĂ©chargĂ©, ce qui a provoquĂ© une fuite d'informations. Magecart a suivi des tactiques similaires en cas d'attaques sur le site de billetterie Ticketmaster, ainsi que sur un certain nombre d'autres ressources de commerce Ă©lectronique. Enfin, il convient de noter que, selon une version, non pas le site principal de British Airways a Ă©tĂ© endommagĂ©, mais l'un de ses clones, situĂ© dans l'infrastructure CDN du fournisseur d'accĂšs Internet, et conçu pour accĂ©lĂ©rer l'accĂšs au site Web de la compagnie aĂ©rienne Ă  partir de certains endroits. Dans ce cas, ce n'est pas l'entreprise elle-mĂȘme qui a Ă©tĂ© piratĂ©e, mais l'une de ses contreparties qui a fourni une partie de son infrastructure.

Ces exemples, ainsi que le cas dĂ©crit ci-dessus d'interception de trafic via BGP dans le cas de vol de crypto-monnaie, montrent que non seulement les ressources qui intĂ©ressent les pirates de l'entreprise, mais aussi l'infrastructure qui le dessert peuvent ĂȘtre attaquĂ©es. À notre avis, de telles attaques ne feront que devenir plus frĂ©quentes, ce qui soulĂšve la question de la nĂ©cessitĂ© d'Ă©largir le champ d'attention des experts en cybersĂ©curitĂ© et d'Ă©laborer une stratĂ©gie de sĂ©curitĂ© non seulement pour eux-mĂȘmes, mais aussi pour surveiller la sĂ©curitĂ© de leurs partenaires, sous-traitants et sous-traitants.

Ce à quoi Cisco répondra : il n'y a pas de recette universelle ici - tout dépend beaucoup de la maniÚre et de l'infrastructure de l'entrepreneur que les pirates piratent. Si nous parlons d'attaques contre BGP, alors nous devons surveiller les routes BGP. Si nous parlons d'une attaque via un script infecté sur le site d'un fabricant compromis, la surveillance DNS avec Cisco Umbrella aidera, si nous parlons de télécharger un logiciel usurpé, l'analyse des anomalies de la télémétrie avec Cisco Stealthwatch peut aider. Le plus important est d'inclure cette menace dans la liste des menaces pertinentes en 2019.

TLS 1.3 Ă  venir


Tout le monde a entendu parler du protocole TLS, dont le prĂ©dĂ©cesseur Ă©tait le protocole SSL. Plus rĂ©cemment, en aoĂ»t 2018, la recommandation RFC 8446 a Ă©tĂ© publiĂ©e, qui a identifiĂ© une nouvelle version 1.3. Les avantages de la nouvelle version incluent une vitesse plus Ă©levĂ©e et une force cryptographique. Dans le mĂȘme temps, les vulnĂ©rabilitĂ©s de la version prĂ©cĂ©dente ont Ă©tĂ© Ă©liminĂ©es, ainsi que de nouvelles fonctionnalitĂ©s utiles ont Ă©tĂ© ajoutĂ©es. Aujourd'hui, TLS 1.3 prend en charge de nombreux navigateurs et bibliothĂšques de chiffrement populaires (par exemple Chrome, Firefox, OpenSSL). Tout semble aller bien, mais hĂ©las. Le retard dans l'adoption de TLS 1.3 est dĂ», entre autres, au fait que cette version du protocole ne permet pas d'inspecter le trafic Ă  l'aide de dispositifs intermĂ©diaires (NGFW, IDS, mandataires, etc.), ce qui est nĂ©cessaire pour de nombreux services de cybersĂ©curitĂ© d'entreprise. Un certain nombre d'entreprises en cours de discussion sur TLS 1.3 ont proposĂ© d'inclure un protocole d'Ă©change de clĂ©s plus faible, mais toutes ces propositions ont Ă©tĂ© rejetĂ©es afin de garantir la confidentialitĂ© sur Internet et de protĂ©ger contre les ingĂ©rences du gouvernement dans la libertĂ© de communication. Avec l'utilisation active de TLS 1.3, l'incapacitĂ© de l'inspecter deviendra trĂšs aiguĂ« et les premiers problĂšmes peuvent commencer dĂšs 2019.

Que rĂ©pondra Cisco : nous ne prĂ©voyons pas de faire obstacle au progrĂšs et de mettre des bĂątons dans les roues lors de l'introduction de la nouvelle version de TLS (d'autant plus que nous l'implĂ©mentons nous-mĂȘmes dans nos solutions), mais nous vous conseillons de rĂ©flĂ©chir si vous avez besoin de le basculer dans votre infrastructure si TLS 1.2 n'est pas piratĂ© et pas encore interdit? Mais puisque tĂŽt ou tard une telle transition se produira nĂ©anmoins, et les experts en sĂ©curitĂ© de l'information seront confrontĂ©s Ă  toute la question: comment surveiller le trafic qui ne peut pas ĂȘtre surveillĂ©? La rĂ©ponse peut ĂȘtre une technologie similaire Ă  l' analyse du trafic cryptĂ© que nous avons dĂ©veloppĂ©e, qui nous permet de comprendre sans cryptage ni dĂ©cryptage ce qui se trouve Ă  l'intĂ©rieur du trafic cryptĂ© (mais sans accĂšs au contenu lui-mĂȘme).

Cryptage du trafic


En parlant de cryptage ... Dans notre rapport annuel sur la cybersécurité (Cisco Annual Cybersecurity Report 2018), nous avons noté que 55% du trafic Web mondial au cours de la derniÚre année a été transmis sous forme cryptée, soit 12% de plus que l'année derniÚre, et le nombre de programmes malveillants en utilisant le cryptage triplé. Gartner dans l'une de ses prédictions a prédit que l'année du Cochon de Terre Jaune (oui, c'est l'année 2019) déjà 80% de tout le trafic Web sera crypté. Et que faire dans une telle situation? Surtout si le trafic est crypté à l'aide de TLS 1.3 décrit ci-dessus?

RĂ©ponse de Cisco : nous, dans notre propre infrastructure, rencontrons Ă©galement ce problĂšme et avons dĂ©veloppĂ© un certain nombre de recommandations que nous sommes prĂȘts Ă  partager avec vous. Tout d'abord, ne nĂ©gligez pas les pĂ©riphĂ©riques intermĂ©diaires (par exemple, Cisco NGFW ou Cisco WSA ) qui peuvent terminer les tunnels et inspecter le trafic dĂ©chiffrĂ© (au moins jusqu'Ă  TLS 1.3). Si vous craignez que les performances du pĂ©riphĂ©rique de sĂ©curitĂ© rĂ©seau "chutent", vous pouvez attribuer la fonction de terminaison du trafic cryptĂ© Ă  un pĂ©riphĂ©rique externe, par exemple Radware Alteon. Ne pouvant analyser le canal cryptĂ©, ne dĂ©sespĂ©rez pas. Vous pouvez utiliser des technologies d'apprentissage automatique qui pĂ©nĂštrent le trafic chiffrĂ© sans le dĂ©chiffrer (par exemple, Cisco ETA ), ou dĂ©tecter une interaction avec des serveurs de commandes ou d'autres ressources malveillantes sur Internet. Dans le portefeuille Cisco, Cisco Umbrella aidera Ă  rĂ©soudre ce problĂšme. Enfin, n'oubliez pas qu'il existe un endroit oĂč mĂȘme le trafic cryptĂ© est dĂ©jĂ  dĂ©cryptĂ© - il s'agit d'appareils terminaux - de postes de travail et de serveurs, sur lesquels vous pouvez (et devez) installer les fonctionnalitĂ©s de sĂ©curitĂ© appropriĂ©es. Mais un antivirus ordinaire ne fonctionnera pas ici - vous avez besoin de quelque chose de plus moderne qu'une solution dĂ©veloppĂ©e Ă  la fin des annĂ©es 80. Chez Cisco, cette solution s'appelle Cisco AMP for Endpoints et nous l'utilisons nous-mĂȘmes sur nos ordinateurs portables (tous les dĂ©veloppeurs de sĂ©curitĂ© ne peuvent pas s'en vanter), mais vous pouvez bien sĂ»r Ă©galement utiliser d'autres solutions EDR (Endpoint Detection & Response).

Attaques sans fichier


Les technologies de protection antivirus sont apparues Ă  la fin des annĂ©es 80 et, depuis, pour la plupart, elles n'ont pas beaucoup changĂ©. Il existe un programme malveillant, il est Ă©tudiĂ© par des analystes de virus, dĂ©veloppe une signature et Ă©quipe ses produits. Il y a une signature - le malware est dĂ©tectĂ©. Pas de signature - pas pris. L'une des tĂąches des attaquants doit rester inaperçue aussi longtemps que possible, et pour cela, ils continuent de jouer activement avec le chat et la souris avec les gardes de sĂ©curitĂ©. Certains augmentent leur compĂ©tence dans la dĂ©tection d'activitĂ©s malveillantes et anormales, tandis que d'autres augmentent leur potentiel de rester invisible aussi longtemps que possible. L'une des tendances croissantes continue d'ĂȘtre l'utilisation d'attaques sans fichier qui exploitent activement les commandes intĂ©grĂ©es dans le systĂšme d'exploitation et PowerShell, se prĂ©sentant comme des utilisateurs d'ordinateurs lĂ©gitimes.

RĂ©ponse de Cisco : comme nous ne parlons que de terminaux, nous avons deux solutions qui visent Ă  protĂ©ger et Ă  contrĂŽler les attaques sans fichier - Cisco AMP for Endpoints et Cisco AnyConnect. La premiĂšre solution appartient Ă  la classe EDR et vous permet d'effectuer un inventaire des logiciels, y compris une analyse de ses vulnĂ©rabilitĂ©s, de bloquer les exploits, y compris ceux qui sont lancĂ©s en mĂ©moire, d'analyser l'activitĂ© grĂące Ă  des indicateurs de compromis constamment mis Ă  jour (IOC), et Ă©galement de mener des enquĂȘtes et de rechercher des menaces (chasse aux menaces) ) Cisco AnyConnect avec NVM (Network Visibility Module) intĂ©grĂ© vous permet de collecter des donnĂ©es d'activitĂ© sur l'hĂŽte au format adaptĂ© Ă  Netflow pour les corrĂ©ler avec les donnĂ©es reçues au niveau de la couche rĂ©seau Cisco Stealthwatch . De plus, un niveau de protection supplĂ©mentaire sera fourni par Cisco Umbrella, qui surveille les communications avec les serveurs de commande de logiciels malveillants, y compris ceux sans fichier.

Intégration, automatisation et API


L'intĂ©gration de Cisco AnyConnect avec Cisco Stealthwatch n'est pas un caprice du fabricant, mais un besoin urgent, qui est dictĂ© par l'Ă©volution du paysage des menaces et l'Ă©mergence d'attaques multivectorielles qui pĂ©nĂštrent dans les rĂ©seaux d'entreprise et dĂ©partementaux de nombreuses façons diffĂ©rentes - Ă  travers les vulnĂ©rabilitĂ©s des portails Web, des lecteurs flash jetĂ©s, des attaques de trous d'eau, Ă  travers les vulnĂ©rables Wi-Fi apportĂ© par un ordinateur portable infectĂ© d'un gestionnaire ou d'un entrepreneur, etc. Pas une seule solution Ă  la sĂ©curitĂ© de l'information ne peut Ă  elle seule faire face aux menaces modernes. Il est trop long et peu fiable d'attendre que le consommateur commence Ă  intĂ©grer entre eux les produits de sĂ©curitĂ© de l'information acquis. Nous devons prendre le processus en main. Selon les statistiques de Cisco, de nombreuses entreprises utilisent plusieurs dizaines de fonctionnalitĂ©s de sĂ©curitĂ© diffĂ©rentes qui ne savent pas comment interagir les unes avec les autres, tout en crĂ©ant un sentiment de fausse sĂ©curitĂ©. Le dĂ©lai moyen de non-dĂ©tection d'une activitĂ© malveillante sur le rĂ©seau est aujourd'hui d'environ 200 jours. Et tout cela parce que les moyens de protection fonctionnent comme les États des Balkans - chacun indĂ©pendamment les uns des autres (ce n'est pas par hasard que le terme de «balkanisation d'Internet» est apparu, comme synonyme de crĂ©ation de segments nationaux d'Internet). Mais la situation va changer, comme on peut dĂ©jĂ  le voir sur l'exemple du mĂȘme Cisco et de ses initiatives pxGrid , ACI, Cisco Security Technology Alliance , qui rĂ©unissent deux cents sociĂ©tĂ©s de dĂ©veloppement, unies pour rĂ©sister aux attaques de plus en plus complexes et accĂ©lĂ©rĂ©es.

Ce à quoi Cisco répondra : notre réponse est l'automatisation et les API qui imprÚgnent tous nos produits afin de les combiner en un seul systÚme de sécurité et d'obtenir de cet effet synergique, ce qui vous permet d'accélérer le processus de détection des menaces de quelques centaines de jours à 4 heures et demie. Cela passe par l'échange de données sur les menaces, l'automatisation de la génération de signatures, l'accÚs à partir de sources externes d'indicateurs de compromis, le transfert de commandes entre les outils de sécurité, etc.

Intégration Cisco

La montée en puissance de l'intelligence artificielle des deux cÎtés des barricades


L'intelligence artificielle est un battage mĂ©diatique. Contrairement au machine learning, qui devient dĂ©jĂ  la norme, et non une exception Ă  la sĂ©curitĂ© de l'information. Automatisation des tĂąches de routine, accĂ©lĂ©ration des processus lents, remplacement du personnel dĂ©jĂ  manquant. Voici quelques-uns des avantages de l'utilisation de l'apprentissage automatique dans la sĂ©curitĂ© des informations. Aujourd'hui, il peut ĂȘtre utilisĂ© pour dĂ©tecter du code malveillant, des domaines malveillants et des adresses IP Internet, des attaques de phishing et des vulnĂ©rabilitĂ©s, sensibiliser et identifier les initiĂ©s. Mais l'intelligence artificielle est utilisĂ©e non seulement pour le bien, mais aussi au dĂ©triment. Il a Ă©tĂ© choisi par des attaquants qui utilisent le machine learning pour rechercher des vulnĂ©rabilitĂ©s et mettre en Ɠuvre des attaques de phishing, contourner la biomĂ©trie et crĂ©er de faux profils sur les rĂ©seaux sociaux, crĂ©er des malwares, sĂ©lectionner des mots de passe et contourner le mĂ©canisme CAPTCHA. En 2018, des projets trĂšs intĂ©ressants ont Ă©tĂ© prĂ©sentĂ©s sur la crĂ©ation de fausses empreintes digitales principales, la synthĂšse de la voix, le changement de visage sur les images vidĂ©o, la synchronisation des mouvements des lĂšvres avec la parole synthĂ©tisĂ©e superposĂ©e Ă  l'image de quelqu'un d'autre dans le flux vidĂ©o. Je ne doute pas qu'ils seront Ă©galement rapidement adoptĂ©s par les criminels, ce qui, en 2019, posera un certain nombre de nouvelles questions aux experts en sĂ©curitĂ© de l'information sur la lutte contre l'utilisation malveillante de l'IA.

Réponse de Cisco : Nous poursuivrons nos efforts pour développer de nouveaux mécanismes d'apprentissage automatique et les améliorer dans nos produits de cybersécurité. Déjà, de tels modÚles sont intégrés à Cisco AMP pour Endpoints , Stealthwatch , CloudLock , Umbrella , Cognitive Threat Analytics et cette liste ne fera que s'étendre. En attendant, nous pouvons vous proposer de visiter notre site dédié à l'utilisation de l'intelligence artificielle dans les solutions Cisco.

Certains projets Cisco Machine Learning

Authentification multifacteur


Combien de facteurs d'authentification pouvez-vous nommer? Un, deux, trois? Et si vous y pensez? Voici une courte liste de ce qui peut vous identifier:

  • Quelque chose que vous savez (oui, c'est un mot de passe classique)
  • Quelque chose que vous avez (oui, c'est un jeton)
  • Quelque chose que vous possĂ©dez (oui, c'est de la biomĂ©trie)
  • Quelque chose que tu fais
  • Quelque chose que tu as perdu
  • Quelque chose que tu as oubliĂ©
  • Quelque chose que tu as trouvĂ©
  • Quelque chose que vous et oĂč vous avez vu
  • Quelque chose oĂč tu Ă©tais
  • Quelque chose que vous avez crĂ©Ă©
  • Quelque chose que tu as dĂ©truit
  • Quelque chose ou ce que tu as sacrifiĂ©
  • Quelque chose que tu as volĂ©.

En fait, les anciens mots de passe, dont le plus populaire au cours des cinq derniÚres années a été 123456, appartiennent désormais au passé et sont remplacés par une authentification à deux facteurs et à plusieurs facteurs, ce qui peut augmenter considérablement la sécurité de l'accÚs des utilisateurs à divers services et données - entreprises et personnels, stockés dans les centres de données d'entreprise et au-delà, dans les nuages. Et nous sommes déjà habitués à utiliser l'entrée de services externes via Facebook ou Yandex, nous allons nous habituer à utiliser l'authentification à deux facteurs, puis à plusieurs facteurs. Je pense qu'en 2019, un certain changement de conscience se produira et de nombreux agents de sécurité réfléchiront à la façon de remplacer les mots de passe non fiables. Et oui, la biométrie est peu susceptible de devenir un tel remplacement en raison de son coût élevé par rapport à d'autres méthodes d'authentification multifactorielle et du manque de développement d'un modÚle de menace pour elle.

Que répondra Cisco : en 2018, nous avons racheté Duo , le leader du marché de l'authentification multifacteur, que nous lancerons sur le marché russe.

Datacenter


Tout le monde abandonne progressivement le pĂ©rimĂštre, part pour les nuages ​​et introduit progressivement le BYOD. Personne ne se soucie si votre rĂ©seau est piratĂ© ou non (enfin, ou presque personne). Mais si vos donnĂ©es fuient, vous ĂȘtes mĂȘlĂ© de saletĂ©, les rĂ©gulateurs viennent Ă  vous, ils vous rinceront dans les mĂ©dias, vous accusant d'incapacitĂ© Ă  prendre soin des clients et des employĂ©s. Vous ĂȘtes-vous dĂ©jĂ  demandĂ© combien de personnes ont souffert de fuites de leurs donnĂ©es personnelles et d'identification? Je me suis permis de faire une courte liste et un peu de surprise a Ă©tĂ© surprise de la quantitĂ© de donnĂ©es divulguĂ©es sur Internet (en millions d'entrĂ©es):

  • Exactis - 340
  • Facebook - 50
  • Equifax - 145
  • Starwood - 500
  • Yahoo — 3000
  • Under Armor — 150
  • Adult FriendFinder — 412
  • MySpace — 164
  • Ebay — 145
  • Target — 110
  • Heartland Payment Systems — 130
  • LinkedIn — 117
  • Rambler — 98
  • TJX — 94
  • AOL — 92
  • Quora — 100
  • VK — 100
  • Deep Root Analytics — 198
  • JP Morgan Chase — 78
  • Mail.ru — 25
  • Anthem — 80
  • Dailymotion — 85
  • Uber — 57
  • Tumblr — 65
  • Dropbox — 68
  • Home Depot — 56
  • Adobe — 38
  • Sony PSN — 77
  • RSA Security — 40.

J'ai peur de supposer, mais je pense que plus de la moitié de tout Internet s'est séparé de ses données (les miennes, d'ailleurs, étaient également là plus d'une fois). Veuillez noter que le nombre d'incidents dans lesquels la fuite dépasse dix millions d'enregistrements n'est plus mesuré en unités, voire en dizaines. Et la situation va s'aggraver. Nous sommes trop déterminés à protéger le périmÚtre, oubliant que la sécurité est devenue centrée sur les données plutÎt que sur le périmÚtre. Et ce n'est pas seulement une question d'incidents de données, mais aussi une augmentation de la charge réglementaire associée à la protection des données. Le RGPD, les données importantes sur les utilisateurs (c'est le sujet du nouveau projet de loi), les amendements à la loi fédérale-152 et d'autres attendent les Russes l'année prochaine à bras ouverts.

Cisco SAFE Perimeter

Que répondra Cisco: nous ne vendons pas de projets pour vous mettre en conformité avec les exigences de la loi (bien qu'en Europe nous ayons de nombreux projets sur le RGPD). Et nous n'avons pas les moyens de classification des données ou de contrÎle des fuites (DLP). Mais nous avons une riche expérience dans la construction de systÚmes de cybersécurité d'entreprise, que nous avons accumulée dans le projet Cisco SAFE - un ensemble de recommandations pratiques pour protéger diverses sections d'un réseau d'entreprise ou départemental. Il ne s'agit pas seulement du périmÚtre , mais du centre de données, du cloud, du Wi-Fi, des communications unifiées, des réseaux industriels, etc. Seule la protection de tous les composants protégera les données contre les fuites, tout en répondant simultanément aux exigences de la loi.

Utilisation des rĂ©seaux 5G comme tĂȘte de pont pour les attaques


Aux États-Unis, plusieurs villes ont annoncĂ© avoir pratiquement couvert leur territoire avec des rĂ©seaux de 5e gĂ©nĂ©ration (5G), qui vous permettent de travailler sur Internet Ă  des vitesses allant jusqu'Ă  10 Gb / s. Cela permettra d'Ă©liminer «l'intermĂ©diaire» face au routeur, qui accumule aujourd'hui la plupart des connexions. Dans les rĂ©seaux 5G, la situation peut changer, ce qui augmentera considĂ©rablement la zone d'attaque et gĂ©nĂ©ralisera les attaques sur Internet des objets. Comme, en fait, l'utilisation de l'Internet des objets comme tremplin pour les attaques (je pense que la rĂ©incarnation 5G de Mirai est Ă  nos portes), ce qui peut augmenter considĂ©rablement la puissance des attaques DDoS. ArrĂȘterMais en Russie, l'introduction de la 5G a Ă©tĂ© reportĂ©e jusqu'Ă  la fin de 2021. Quelle est donc la tendance pour l'annĂ©e du cochon de terre jaune? Oui, vous avez raison. Je voulais simplement dĂ©montrer mes connaissances. Pour la Russie, nos recommandations et solutions pour la protection des rĂ©seaux de nouvelle gĂ©nĂ©ration ne sont pas encore pertinentes. Mais, au moins, il convient de se souvenir de cette opportunitĂ©.

Cyber


Vous en avez dĂ©jĂ  assez de lire mon opus sur ce qui nous attend tous en 2019, je vais donc terminer. Et je voudrais terminer avec la derniĂšre observation, qui devient dĂ©jĂ  une tendance, qui ne fera que s'intensifier l'annĂ©e prochaine. Nous parlons de cybercours, qui vous permettent de vĂ©rifier les faiblesses d'un processus particulier de garantie de la cybersĂ©curitĂ© et d'Ă©laborer un plan pour leur Ă©limination. Contrairement aux cours autorisĂ©s qui fournissent des connaissances et des formations qui vous permettent de dĂ©velopper des compĂ©tences trĂšs spĂ©cifiques en travaillant avec certains produits, les cyber-exercices vous permettent de simuler diverses situations similaires Ă  ce qui pourrait se produire dans la rĂ©alitĂ© (recherche de traces d'une menace, fuite d'informations sur un incident dans Media, lecteur flash lancĂ© avec un code malveillant, etc.) et trouver des mĂ©thodes pour les arrĂȘter. Habituellement, dans le cadre de ces cyber-commandes,tous les points faibles se trouvent Ă  la fois dans les processus dĂ©crits sur papier et dans les compĂ©tences acquises de travail avec des produits spĂ©cifiques, qui ne sont pas toujours applicables dans la vie rĂ©elle.

En 2018, les cyber-commandes sont devenues trĂšs populaires au niveau des entreprises, des États et des États. Il m'est arrivĂ© de mener ou de participer Ă  quelques dizaines de ces cyber-commandes et je peux dire en toute sĂ©curitĂ© que cela devient une tendance pour les services de sĂ©curitĂ© des informations d'entreprise, qui testent ainsi les compĂ©tences de leurs spĂ©cialistes pour rĂ©sister Ă  divers incidents et situations d'urgence.

Que rĂ©pondra Cisco : cette tendance en Russie ne le devient pas sans notre aide. Nous avons lancĂ© les premiĂšres cyber- commandes Cisco Cyber ​​Range il y a quelques annĂ©es, lorsque nous avons organisĂ© plusieurs sessions gratuites pour nos clients Ă  Moscou Cisco Connect pendant deux jours. Nous avons ensuite rĂ©itĂ©rĂ© le succĂšs de Cyber ​​Range et souhaitons reconduire ces cyber-commandes en avril, dans le cadre de Cisco ConnectĂ  Moscou. Certes, sur Cisco Connect, nous rĂ©alisons une version lĂ©gĂšre, rĂ©duite Ă  4 heures de travaux pratiques intensifs. En rĂ©alitĂ©, nous proposons des cyber-commandes de trois ou cinq jours, dans lesquelles nous dĂ©veloppons l'habiletĂ© de gĂ©rer des centaines de scĂ©narios d'attaque divers rĂ©guliĂšrement mis Ă  jour que nous avons tirĂ©s de la vie rĂ©elle. En plus de la gamme Cyber, nous avons commencĂ© Ă  mener activement des cyber-commandes d'un jour sur l'atelier de chasse aux menaces Cisco dans notre bureau, oĂč les participants tentent de trouver des traces de diverses menaces (vous pouvez vĂ©rifier la date des prochaines cyber-commandes avec votre responsable Cisco). En outre, nous avons un certain nombre d'autres cyber-commandes en ligne disponibles pour nos partenaires et clients dans le service de dĂ©monstration interactif Cisco dCloud .

Voici une liste de tendances dont nous aimerions parler et qui, à notre avis, nous attend tous en 2019! Bonne année!

Source: https://habr.com/ru/post/fr434250/

More articles:


All Articles