Pourquoi la surveillance des appareils réseau est critique pour la sécurité du réseau

Une infrastructure réseau sécurisée est essentielle pour les organisations, et cela nécessite de suivre de près ce qui se passe avec les routeurs, les commutateurs et autres network devices. Vous devez être capable de détecter et d'investiguer rapidement les menaces pour votre sécurité périmétrique, telles que les modifications non autorisées de configurations, les tentatives de connexion suspectes et les menaces de balayage. Par exemple, ne pas détecter à temps des modifications inappropriées des configurations de votre network device laissera votre réseau vulnérable aux attaquants qui cherchent à s'infiltrer dans votre réseau et même à en prendre le contrôle.

Dans cet article de blog, je partage les 4 principaux problèmes que l'audit des appareils réseau peut aider à résoudre et propose une procédure en 3 étapes pour commencer efficacement l'audit de vos appareils réseau.

Les 4 principaux problèmes de sécurité pour les appareils réseau

Problème n° 1 : Appareils mal configurés

Les modifications de configuration inappropriées sont l'une des principales menaces associées aux appareils réseau. Un seul changement inapproprié peut affaiblir votre sécurité périmétrique, soulever des préoccupations lors des audits réglementaires et même provoquer des pannes coûteuses qui peuvent paralyser votre entreprise. Par exemple, un pare-feu mal configuré peut donner aux attaquants un accès facile à votre réseau, ce qui pourrait entraîner des dommages durables à votre organisation.

L'audit des dispositifs réseau combiné aux capacités d'alerte vous donnera la perspicacité et le contrôle nécessaires. En vous permettant de repérer rapidement les changements de configuration inappropriés et de comprendre qui a changé quoi, l'audit favorise une meilleure responsabilisation des utilisateurs et vous aide à détecter les incidents de sécurité potentiels avant qu'ils ne causent de réels problèmes.

Problème n° 2 : Connexions non autorisées

La plupart des tentatives de connexion à un appareil réseau sont des actions valides de la part des administrateurs réseau — mais certaines ne le sont pas. L'incapacité à détecter rapidement les tentatives de connexion suspectes laisse votre organisation vulnérable aux attaquants qui tentent de pirater votre réseau. Par conséquent, vous devez être alerté immédiatement en cas d'événements inhabituels, tels qu'un appareil auquel un administrateur accède un jour férié ou en dehors des heures de bureau, des tentatives de connexion échouées et la modification des droits d'accès, afin que le personnel informatique puisse agir pour prévenir un compromis de sécurité.

Avoir une surveillance des network device monitoring et des alertes est également essentiel pour les audits de conformité, afin de pouvoir fournir des preuves que vous surveillez attentivement les utilisateurs privilégiés et leurs activités sur vos appareils (par exemple, qui se connecte et à quelle fréquence).

Problème n° 3 : Connexions VPN

De nombreuses organisations mettent en œuvre un accès réseau privé virtuel (VPN) pour améliorer la sécurité des connexions à distance, mais il existe de nombreux risques associés qui ne doivent pas être négligés. La pratique montre que les VPN ne sont pas sécurisés à 100 % et toute connexion VPN représente un risque. Idéalement, les droits d'accès aux ressources réseau via VPN ne sont accordés qu'après les approbations nécessaires et les utilisateurs ne peuvent accéder qu'aux actifs dont ils ont besoin pour leur travail. En réalité, les connexions VPN peuvent généralement être utilisées par n'importe qui dans l'organisation sans aucune approbation.

Par conséquent, vous devez être capable de détecter les menaces, telles qu'un utilisateur se connectant via un Wi-Fi public (car quelqu'un pourrait voler ses identifiants) et un utilisateur qui n'utilise pas habituellement le VPN et qui commence soudainement à l'utiliser (ce qui peut être un signe qu'un utilisateur a perdu son appareil et que quelqu'un d'autre essaie de se connecter avec). Surveiller attentivement vos appareils réseau et suivre chaque tentative de connexion VPN vous aidera à comprendre rapidement qui a essayé d'accéder à vos appareils réseau, l'adresse IP de chaque tentative d'authentification et la cause de chaque échec de connexion VPN.

Problème #4 : Analyse des menaces

L'analyse de réseau n'est pas en soi un processus hostile, mais les pirates l'utilisent souvent pour en apprendre davantage sur la structure et le comportement d'un réseau afin d'exécuter une attaque sur le réseau. Si vous ne surveillez pas vos appareils réseau pour les menaces de balayage, vous pourriez manquer des activités inappropriées jusqu'à ce qu'une data breach se produise et que vos données sensibles soient compromises.

La surveillance et l'alerte des appareils réseau vous aideront à défendre proactivement votre réseau contre les menaces de balayage en répondant à des questions telles que quel hôte et quel sous-réseau ont été scannés, de quelle adresse IP le balayage a été initié et combien de tentatives de balayage ont été effectuées.

Étude de cas : Des failles de sécurité dans les appareils réseau D-Link exposent les utilisateurs à des attaques

L'expérience montre que de nombreux incidents de sécurité commencent par des attaques sur les appareils réseau. Par conséquent, toute vulnérabilité dans ces appareils représente un risque majeur pour les systèmes et les données d'une organisation. Un exemple est une importante faille de sécurité dans les appareils D-Link qui a été découverte en 2016 par des chercheurs de la startup de sécurité Senrio. Ils ont rapporté qu'un problème de débordement de pile dans une caméra Wi-Fi, D-Link DCS-930L, leur permettait de changer silencieusement le mot de passe administrateur pour l'interface de gestion basée sur le web. Cette vulnérabilité aurait pu être exploitée par des attaquants pour réécrire les mots de passe administrateurs et installer des logiciels malveillants sur les appareils. En réponse au rapport, D-Link a promis de publier une mise à jour du firmware pour DCS-930L afin de corriger la vulnérabilité et a commencé à tester l'impact de la faille sur ses autres modèles.

Ce n'était pas la dernière fois que D-Link n'a pas réussi à découvrir par lui-même les graves vulnérabilités dans ses appareils. En 2018, un chercheur de l'Université de Technologie de Silésie en Pologne a signalé que huit modèles de routeurs D-Link de la gamme pour petits bureaux/domiciles « DWR » étaient vulnérables à une prise de contrôle complète. Cette fois-ci, D-link a déclaré qu'ils allaient corriger seulement deux des huit appareils affectés ; les autres ne seront plus pris en charge.

Commencer avec l'audit des dispositifs de réseau

Trois étapes de base vous aideront à commencer avec une surveillance appropriée de l'infrastructure réseau. Ce sont des recommandations générales qui doivent être adaptées aux besoins de votre organisation ; vous devez bien connaître votre environnement informatique et les processus commerciaux pour auditer vos appareils réseau de la manière la plus efficace.

• Évaluez régulièrement les risques et effectuez des tests de pénétration.

Vous devez comprendre votre surface d'attaque et détecter les vulnérabilités qui pourraient vous mettre en danger. Des évaluations régulières des risques vous aideront grandement, mais idéalement, vous devriez également effectuer des tests de pénétration réguliers pour identifier les failles dans vos appareils réseau avant que les pirates puissent les découvrir et les exploiter.

• Déterminez quels appareils vous devez auditer.

Il n'existe pas de liste définitive des appareils réseau que vous devez auditer ; cela dépendra des spécificités de votre entreprise, de votre secteur d'activité, ainsi que de la taille et de l'architecture de votre réseau. Je vous recommande vivement de surveiller les appareils qui sont responsables des actifs les plus critiques de votre organisation, ainsi que tous les appareils connectés à Internet.

• Déterminez la fréquence de l'audit.

Une des questions fréquentes est de savoir à quelle fréquence vous devez auditer vos appareils réseau. Aucune norme de conformité ne définit de délai spécifique pour l'audit des appareils réseau, et la pratique montre que cela dépend de la nature de votre entreprise et de la complexité de votre infrastructure réseau. Une ligne directrice courante est de réaliser des vérifications mensuelles de l'état général de vos appareils réseau et de vous assurer que vous recevez des alertes immédiates sur des activités suspectes qui pourraient représenter une menace pour votre environnement réseau, telles qu'un changement dans la configuration d'un appareil.