Examen de l’architecture de sécurité sur une solution SASE

Les évaluations de la sécurité des fournisseurs peuvent être très complexes, en particulier lorsqu’il s’agit d’analyser des solutions modernes. Les principes et cadres de modélisation des menaces obsolètes deviennent extrêmement peu fiables et délicats à mesure que la complexité augmente. L’analyse de la sécurité devient également plus complexe car elle ne se limite pas à la conception inhérente de l’application, mais également à la manière dont elle est intégrée au réseau central de toute organisation. La mise en œuvre et la configuration induit des vulnérabilités dans le système si la sécurité ne fait pas partie du cycle de vie du développement. Les tendances récentes suggèrent que les organisations se tournent désormais vers les solutions SASE, remplaçant les fournisseurs existants qui fournissent des services tels que CASB (Cloud access security broker), DLP (Data Loss Prevention), des solutions proxy, etc.

Qu’est-ce que SASE ?

Secure Access Service Edge (SASE) est un cadre qui fournit la convergence du réseau aux côtés des services de sécurité. Il ajoute de la sécurité au trafic réseau d’entrée et de sortie. La pile technologique comprend généralement les solutions CASB, DLP, SWG (Secure Web Gateway), FWaaS (Firewall as a Service), NGFW (Network Firewall), SDN (Software Defined Networking) et ZTNA (Zero Trust Network Architecture).

Où pouvons-nous utiliser les solutions SASE ?

1. Accéder à Internet en toute sécurité : Les organisations déploient généralement des solutions de proxy sur le poste de travail de l’utilisateur qui dirigent le trafic HTTP et HTTPS des terminaux vers Internet. Le trafic HTTPS est déchiffré au niveau du proxy et traité par divers outils de sécurité tels que DLP, IDS, etc. Notez que certains trafics passant par le proxy peuvent inclure SSH et SFTP, qui ne peuvent pas être déchiffrés et sont donc sujets aux menaces. Avec une solution SASE en place, seul le trafic provenant de sources approuvées est autorisé. En outre, le système a la capacité d’authentifier et d’inspecter des protocoles précédemment non sécurisés tels que SSH et SFTP.

2. Accès à distance et accès cloud : Les utilisateurs distants peuvent accéder en toute sécurité aux applications internes ou hébergées dans le cloud à l’aide de fonctionnalités telles que la connexion sécurisée à distance. De plus, les solutions SASE peuvent aider à remplacer CASB par l’utilisation d’un accès cloud sécurisé.

Comment et quoi réviser pour une solution SASE ?

Avant l’intégration d’un fournisseur, il est très important d’effectuer une vérification préalable dans son ensemble et d’examiner l’architecture de l’application. L’une des techniques d’examen les plus efficaces suivies par les architectes de sécurité est la « modélisation des menaces ». Il existe plusieurs méthodes pour créer des modèles de menace, de sorte que les implémentations peuvent varier d’une équipe à l’autre. STRIDE (usurpation d’identité, falsification, répudiation, divulgation d’informations, DoS, élévation de privilège), PASTA (processus de simulation d’attaque et d’analyse des menaces) et VAST (menace visuelle, agile et simple) sont quelques-unes des méthodologies couramment utilisées.

Avant d’envisager une solution SASE, la première étape consiste à comprendre le réseau. Il est important d’examiner un diagramme de réseau existant et de comprendre les modifications apportées au flux de données et au réseau lui-même.

Une fois le schéma de réseau mis à jour, commencez par identifier les menaces potentielles pour chaque entité. Créez ensuite une liste de contrôles et associez-les aux menaces. Vous devez vous assurer que toutes les préoccupations sont traitées. La modélisation des menaces SASE peut sembler très complexe, mais peut être complétée facilement en la divisant en étapes plus petites. Vous trouverez ci-dessous un exemple d’utilisation de la méthodologie STRIDE à titre de référence :

Entité 1 : Utilisateur

Spof :

• Menace: Les informations d’identification de l’utilisateur sont compromises et utilisées par un acteur malveillant pour se connecter au système.

Jampérage :

• Menace: Technique de force brute utilisée pour obtenir des informations d’identification.
  • Contrôle: Verrouiller le compte après un nombre spécifique de tentatives infructueuses.
• Menace: Accédez à la session de l’utilisateur.
  • Contrôle: Activez des contrôles de gestion de session solides.

Rl’épudiation :

• Menace: Aucune preuve d’acte répréhensible de la part de l’agent de menace.
  • Contrôle: Enregistrez et archivez l’activité des utilisateurs.

jeDivulgation d’informations :

• Menace: Des informations peuvent être divulguées à partir de l’environnement d’hébergement SASE ou via toute connexion allant et provenant de SASE.
  • Contrôle: Ne stockez que les informations utilisateur requises ; permettre des contrôles d’accès et cryptographiques solides ; avoir une clé dédiée pour chaque locataire.
• Menace: Des informations peuvent être divulguées via des connexions vers et depuis SASE.
  • Contrôle: Utilisez la version du protocole sécurisé, bloquez les utilisateurs ou générez des alertes pour l’accès sur un réseau non sécurisé.

Drefus de service :

• Menace: L’utilisateur final ne peut pas accéder au service en raison de problèmes de bande passante ou de licence.
  • Contrôle: Activer la fonctionnalité d’évolutivité pour les systèmes de terminaux SASE.

Elevée de privilège :

• Menace: L’utilisateur accède à des données/services non autorisés.
  • Contrôle: Configurez RBAC (contrôle d’accès basé sur les rôles) pour accéder aux applications internes.
• Menace: L’utilisateur a un accès illégal.
  • Contrôle: Accès internet restreint.

Entité 2 : Connectivité utilisateur à SASE

Spof :

• Menace: Accepter la connexion extérieure.
  • Contrôle: Vérifiez l’utilisateur avant d’accorder l’accès.

Jampérage :

• Menace: L’homme au milieu de l’attaque.
  • Contrôle: Utilisez les versions de protocole les plus récentes et sécurisées pour la communication.

Rl’épudiation :

jeDivulgation d’informations :

• Menace: Network Sniffing ou mot de passe est divulgué.
  • Contrôle: Utilisez les protocoles les plus sécurisés.
• Menace: Redirection d’utilisateur ou de lien.
  • Contrôle: Restreignez l’accès à Internet et utilisez une liste en noir et blanc des adresses IP, des URL, des domaines et des applications.

Drefus de service :

• Menace: Mauvaise connectivité due à un grand nombre de sauts de réseau.
  • Contrôle: Utilisez un fournisseur SASE avec une couverture géographique plus large.
• Menace: Protocoles incompatibles utilisés.
  • Contrôle: Utilisez les protocoles de sécurité standard.
• Menace: Problèmes de bande passante.
  • Contrôle: Utilisez la fonction de priorité de bande passante pour les applications critiques.

Elevée de privilège :

Entité 3 : poste de travail

Spof :

• Menace: Appareil frauduleux utilisé.
  • Contrôle: Ajoutez des contrôles de sécurité pour vérifier l’identité de l’appareil avant de vous connecter.

Jampérage :

• Menace: Attaque de logiciels malveillants sur le poste de travail en raison du clic de l’utilisateur sur des liens malveillants.
  • Contrôle: Activez l’analyse des logiciels malveillants, inspectez les fichiers téléchargés et isolez le navigateur côté SASE.
• Menace: Connexion directe sans SASE.
  • Contrôle: Surveillez et restreignez les connexions Internet.
• Menace: Le contrôle de sécurité est désactivé.
  • Contrôle: Permettre Seuls les groupes d’utilisateurs/administrateurs restreints peuvent mettre à jour les autorisations des utilisateurs.

Rl’épudiation :

• Menace: Manque de preuves et de suivi du système compromis.
  • Contrôle: Enregistrer et surveiller l’activité ; générer une alerte en cas de suspicion.
• Menace: Information manquante sur l’activité malveillante sur le poste de travail.
  • Contrôle: Activez la détection et la réponse des points de terminaison.

jeDivulgation d’informations :

• Menace: Fuite d’informations sensibles du poste de travail.
  • Contrôle: Activer les outils de prévention des pertes de données

Drefus de service :

Elevée de privilège :

• Menace: Poste de travail fonctionnant avec des privilèges élevés d’agent SASE.
  • Contrôle: Restreindre l’accès de l’agent SASE ; surveiller de près les accès privilégiés.

Entité 4 : Service SASE et sa solution d’hébergement

Spof :

• Menace: Endpoints malveillants hébergés.
  • Contrôle: Établissez la confiance avant d’établir des liens.
• Menace: Le compte administrateur du locataire et du fournisseur SASE a été falsifié.
  • Contrôle: Utilisez MFA pour toutes les connexions d’administration.

Jampérage :

• Menace: Vulnérabilités exploitées, y compris les attaques zero-day.
  • Contrôle: Des tests de pénétration périodiques et une évaluation de la vulnérabilité, y compris une activité de correctifs, doivent être effectués.
• Menace: Modification des données et de la configuration.
  • Contrôle: Procédure maîtrisée de gestion des modifications ; activer RBAC avec une surveillance étroite pour l’administrateur.
• Menace: Accès physique non autorisé aux centres de données.
  • Contrôle: Activez les badges et autres contrôles de sécurité physique.

Rl’épudiation :

• Menace: Les modifications de configuration n’ont pas pu être suivies ou surveillées.
  • Contrôle: Centralisez la solution SIEM et appliquez des politiques strictes de gestion des changements.
• Menace: Impossible d’identifier la cause des problèmes inattendus.
  • Contrôle: Appliquez une surveillance et des alertes au niveau de l’entreprise.

jeDivulgation d’informations :

• Menace: Données compromises et partagées par un tiers.
  • Contrôle: Des accords de confidentialité doivent être signés et de solides politiques de gestion des accès doivent être mises en place.
• Menace: Données non chiffrées sur disques durs et archives ; données exposées en cas d’investigations requises.
  • Contrôle: Chiffrer les données au repos ; tokeniser et masquer, si nécessaire.

Drefus de service :

• Menace: Application non disponible en raison d’une attaque par déni de service au niveau du réseau ou de l’application.
  • Contrôle: Utilisez WAF et CDN pour la prévention DDoS.

Elevée de privilège :

• Menace: Menace interne due à la compromission de la plate-forme SASE.
  • Contrôle : Configurer l’application SASE dans les zones démilitarisées (DMZ) et restreindre le trafic entrant.
    

Entité 5 : Application/Connexions internes via SASE

Spof :

• Menace: Source SASE usurpée.
  • Contrôle: Utiliser des techniques d’authentification mutuelle.

Jampérage :

• Menace: Attaque MiTM.
  • Contrôle: N’utilisez que des versions de protocole sécurisées.
• Menace: Données malveillantes via le tunnel entre SASE et l’environnement d’hébergement de données.
  • Contrôle: Contrôles de gestion de session solides.

Rl’épudiation :

• Menace: Les connexions ne sont pas surveillées.
  • Contrôle: Enregistrez chaque demande vers et depuis le SASE vers l’application cible

jeDivulgation d’informations :

• Menace: Attaque de reniflage de réseau et fuite de mot de passe
  • Contrôle: Gestion des accès et redirection du trafic via des tunnels privés, utilisez toujours la version la plus récente et sécurisée des protocoles
• Menace: Les données ont fui par le tunnel entre SASE et l’environnement d’hébergement des données.
  • Contrôle: DLP et inspection du contenu des informations circulant dans le tunnel.

Drefus de service :

• Menace: Connexion réseau interrompue entre le centre de données et SASE.
  • Contrôle: Des chemins multiples, alternatifs et fiables sont créés au sein du réseau.

Elevée de privilège :

• Menace: Un locataire accédant au système via…