F5XC – La connectivité Multi-Cloud

 

La Connectivité Multi-Cloud (MCN) est déjà déployé dans la plupart des entreprises, bien qu'elles ne connaissent pas encore ce concept. La plupart des entreprises ont des services dans leur propre centre de données, mais elles ont également des services dans le cloud public ou même des services en tant que SaaS. Si nous voulons sécuriser tous ces services, où qu'ils se trouvent, avec F5XC WAAP, nous devons savoir comment connecter tous les sites du client au réseau mondial F5.

Si nous nous concentrons uniquement sur le WAAP, il est important de comprendre MCN car MCN peut créer plusieurs emplacements, ce qui est le fondement du Web. Une fois que nous comprenons MCN, nous pouvons étendre cette technologie au client. Par conséquent, nous devons comprendre comment connecter des applications et sécuriser ces applications. Ceci est également appelé MCN sécurisé.

F5XC - La plateforme

 

Les Connectivité Multi-Cloud proviennent de Gartner en tant que multi-sites. Nous pouvons avoir un cloud public, des fournisseurs SaaS, un cloud privé et des périphéries, où une périphérie est quelque chose que nous déployons à côté de l'application. Par exemple, un chargeur Teslas. Tous ces emplacements peuvent être sécurisés par F5XC WAAP car les utilisateurs vont accéder aux applications via le F5 SaaS, où les requêtes malveillantes sont bloquées et les bonnes requêtes sont autorisées.

 

Connectivité, mise en réseau et sécurité multi-cloud simplifiées

Aujourd'hui, la plupart des clients disposent déjà d'une solution pour sécuriser leurs services web. Cependant, si nous voulons protéger leurs services avec F5XC, nous devrons connecter F5XC avec eux. Le réseau mondial F5 a un peering avec la plupart des fournisseurs de services tels qu'AWS, Azure ou GCP, et, par conséquent, il est vraiment facile de connecter votre centre de données avec le F5XC. En fait, il existe de nombreuses façons de connecter votre centre de données avec F5XC. On peut utiliser le peering BGP mais aussi VPN IPsec, SD-WAN, etc. Par conséquent, la connectivité ne sera pas un problème.

Connectivité privée à F5XC

 

Il existe deux façons de lancer MCN. Le très traditionnel sur le côté gauche, qui s'appelle Network Connect. Un App Connect très puissant, qui se trouve sur le côté droit et qui est similaire à un F5 BIG-IP ADC. Sur le côté gauche, nous allons connecter les réseaux entre eux. VNET vers un VLAN ou un VPC. Cependant, F5XC est plus fort du côté droit où nous connectons les applications. F5XC ne connecte pas de sous-réseau ou de VPC, mais des applications.

Connexion des réseaux et des applications via F5XC

 

F5XC Network Connect est développé via des sous-réseaux, des adresses IP, un routage dynamique ou statique, etc. Lorsque nous publions sur la console F5 SaaS une application sur Internet, les demandes des utilisateurs passent par le réseau mondial F5 et ces demandes passent à différents endroits tels que le cloud public, le cloud privé ou la périphérie. Il y a une seule fenêtre où nous configurons les services et ils sont automatiquement exposés et publiés au bon endroit.

F5XC Network Connect

 

F5XC App Connect est développé à travers des ressources. Par exemple, si nous avons une application qui a trois ressources, nous pouvons avoir chaque ressource à un emplacement. Nous allons configurer les ressources depuis la console F5 SaaS. Nous ne nous soucions pas des adresses IP, du routage ou du sous-réseau. Nous n'avons qu'à configurer les ressources. C'est ça ! C'est vraiment simple et facile.

F5XC App Connect

Envisagez-vous de vous connecter à F5XC ? Comment ? F5XC Network Connect ou F5XC App Connect ?

Connectivité Multi-Cloud

La mise en réseau multi-cloud ou Multi-Cloud Networking (MCN), en tant que technologie, vise à fournir une connectivité réseau facile entre les environnements cloud. Aux fins de la définition, nous devons imaginer notre centre de données comme un cloud. Vous pouvez vaguement définir un environnement cloud comme "partout où vous exécutez des charges de travail". Les clouds sont de toutes formes et de toutes tailles, du "fonctionnement sur Pi" à AWS / GCP / Azure. MCN est aux nuages, ce qu'Internet est au réseau.

AWS Direct Connect, Azure ExpressRoute et Direct Link de GCP étaient les premières formes de MCN, visant à joindre des parties de leurs propres clouds avec les centres de données des clients. L'insertion d'appliances virtuelles de transport dans les nuages est devenue un autre mécanisme pour MCN au fil du temps.

La principale préoccupation devrait être l'évolutivité, à tous points de vue. Nous devons nous préoccuper de l'échelle du routage, des licences, des coûts de cloud mesurés, sans parler des connaissances nécessaires pour comprendre toutes les nuances de chaque fournisseur de cloud et bien d'autres choses encore. Tout cela représente des frais généraux opérationnels, qui peuvent être importants.

L'adressage IP est un autre défi de taille. Son volume est une chose. Quiconque travaille aujourd'hui avec des applications modernes peut nous dire qu'il est parfois difficile de trouver une charge de travail, compte tenu de l'ampleur des choses. Le DNS est une option possible pour aider, mais nous devons tenir compte de toutes les charges de travail cloud natives, avec leurs différentes interfaces DNS.

Le plus grand avantage est vraiment le transit multi-cloud. Comprendre autant de technologies différentes et nouvelles est une tâche ardue. Avec le transit multi-cloud, les centres de données transitent par les mêmes routeurs SDN que vos flux d'applications cloud, ce qui vous permet de voir chaque fournisseur de cloud comme une ressource mesurée pour la consommation des applications. Inutile de vous soucier de l'adressage, du DNS ou du routage pour chaque environnement.

Un autre avantage substantiel est l'activation d'un modèle de sécurité partagé. Lorsque vous pouvez acheminer entre ces environnements, vous pouvez également agréger facilement les journaux, intégrer les SIEM et gérer facilement les politiques de sécurité automatisées.

En résumé, MCN donne à nos réseaux d'applications modernes la flexibilité de croître à la demande et d'assimiler de nouveaux segments de réseau d'applications en quelques minutes au lieu de plusieurs mois.

En fin de compte, les conceptions que nous pouvons créer avec lui sont tellement plus évolutives et traduisent tout, des centres de données physiques aux nuages, de manière propre et facile à gérer.

Où avez-vous vos charges de travail ?

Bots revendeurs : comment fonctionnent-ils ?

Chaque fois qu'il va y avoir un concert important, comme le concert de Taylor Swift, ou qu'un produit exclusif va sortir, comme la PS5, les revendeurs développent leurs bots pour acheter tous les billets, ou produits, dès que possible pour les revendre à un prix plus élevé sur Internet. C'est leur affaire, améliorer leurs bots afin qu'ils soient indétectables par les contrôles de sécurité et pouvoir acheter le plus rapidement possible. Aujourd'hui, je vais écrire sur les techniques utilisées par les revendeurs lorsque leurs bots sont bloqués par les technologies AntiBot.

Les bots supposent souvent qu'ils sont bloqués en fonction de leur adresse IP, donc la première étape pour de nombreux bots revendeurs est de changer d'IP. Limiter initialement le volume par adresse IP, puis changer les ASN, et enfin leur géolocalisation (pays) au cas où le blocage géographique serait utilisé. En cas d'échec, les bots essaieront de changer de classe d'ASN. Au départ, ils peuvent utiliser des ASN d'hébergement ou internationaux et, en cas d'échec, ils se déplacent vers des ASN dans le même pays que la cible et commencent à utiliser un grand nombre d'IP résidentielles avec de faibles volumes de transactions par IP.

Si la randomisation des ASN et des IP ne réussit pas, la prochaine chose que les revendeurs changeront est l'en-tête de l'agent utilisateur (UA). Cependant, des en-têtes tels que user-agent peuvent être utilisés pour suivre, limiter et bloquer les bots. Par conséquent, les revendeurs généreront un grand nombre de chaînes UA réelles ou fausses et utiliseront chacune pour très peu de transactions dans l'espoir que cela contournera les contrôles d'atténuation.

Lors du changement d'adresses IP, d'ASN et d'UA, l'acteur sophistiqué se rend compte qu'il doit y avoir quelque chose d'autre sur lequel il est suivi et atténué. Les cookies deviennent la prochaine chose qu'ils regardent. Ils rejetteront ou supprimeront les cookies après chaque transaction ou exécuteront leur bot en mode incognito.

À ce stade, lorsque rien n'a fonctionné, le revendeur teste manuellement le site pour s'assurer que le site est réellement réactif et non hors ligne. Un test manuel réussi indique au revendeur que le site fonctionne et que le problème est que son bot est en quelque sorte détecté. L'acteur sophistiqué capturera et inspectera ensuite la transaction manuelle réussie et recherchera les différences entre cette demande et celle générée par le bot.

Après avoir identifié certaines différences dans les cookies, les jetons, les paquets de données cryptés ou d'autres paramètres de demande, le revendeur copiera simplement ces éléments à partir de la transaction manuelle réussie et les joindra aux demandes du bot.

Lorsque cela ne donne pas les résultats requis, le revendeur essaiera de randomiser ces nouveaux cookies, jetons ou paramètres dans l'espoir que cela contournera toutes les limites de débit qui leur sont imposées.

Lorsque tout le reste échoue, le revendeur conclura que les cookies, les jetons ou d'autres paramètres peuvent être signés numériquement et doivent donc être générés par le site Web à chaque fois. À cette fin, ils autoriseront leur bot à exécuter tous les scripts JS et autres sur la page pour essayer de générer de manière authentique les cookies, jetons ou autres paramètres manquants.

Aimez-vous déployer une technologie AntiBot dans votre entreprise ?

ChatGPT pour les CISOs

Je n'avais pas utilisé ChatGPT jusqu'à ce qu'un collègue me dise que c'était une technologie intéressante pour traduire un code Apache en F5 iRule. J'avais besoin de migrer un fichier de configuration de serveur Web Apache vers F5, et ChatGPT m'a aidé à le faire. Depuis, je l'utilise pour de nombreuses tâches. En fait, la semaine dernière, j'étais dans un webinaire SOCRadar où ils nous montraient comment utiliser ChatGPT pour CISO. C'était un webinaire intéressant pour tirer parti de cette technologie d'IA pour les fonctions de CISO.

ChatGPT peut aider les CISO de plusieurs manières. L'analyse des vulnérabilités en fait partie, car cette technologie d'intelligence artificielle peut automatiser ce processus, en analysant les réseaux et les systèmes à la recherche de vulnérabilités et en fournissant aux CISO des rapports détaillés sur tous les problèmes détectés. Cependant, il est également très intéressant pour la réponse aux incidents, la surveillance de la conformité, la formation des employés, la détection automatisée des menaces, la détection des logiciels malveillants et bien d'autres. Le plus important est de savoir l'utiliser pour le bon devoir.

Il existe de nombreux cas d'utilisation de ChatGPT sur Internet et il y en a aussi beaucoup sur la cybersécurité. Par exemple, il existe de simples scripts Python, qui utilisent ChatGPT, pour obtenir des informations sur les menaces afin de rechercher des mots-clés sur le Deep Web et les forums de pirates. Cependant, ChatGPT est également utile, grâce au chatbot alimenté par l'IA, pour la réponse aux incidents, car il peut traiter une grande quantité de données provenant de plusieurs sources pour fournir une alerte en temps réel pour les menaces ou attaques potentielles.

La plupart d'entre nous se demandent comment mettre en œuvre la technologie d'IA de ChatGPT dans les entreprises ? C'est vraiment facile. D'une part, nous devons évaluer les besoins de l'entreprise en matière de cybersécurité et identifier les domaines dans lesquels ChatGPT peut être utile. D'autre part, nous devons personnaliser la solution pour répondre aux besoins spécifiques de l'entreprise. En fait, il existe de nombreuses applications qui utilisent ChatGPT. Par conséquent, nous devons trouver le meilleur pour les besoins de l'entreprise.

L'utilisation de ChatGPT dans les entreprises présente de nombreux avantages, mais il existe également des risques que nous devons prendre en compte. Peut-être que la préoccupation la plus dangereuse aujourd'hui concerne la confidentialité et la sécurité des données, car ChatGPT peut traiter des données sensibles et les entreprises doivent s'assurer qu'elles respectent les législations. L'intégration avec les systèmes existants ou les considérations éthiques sont également des défis dans les organisations.

Aujourd'hui, de nombreuses entreprises de cybersécurité intègrent la technologie de l'IA dans leurs produits et services. SOCRadar est l'un d'entre eux qui utilise l'IA pour détecter et répondre aux cybermenaces en temps réel afin de prévenir de manière proactive les cyberattaques. CrowdStrike fournit une protection des terminaux à l'aide d'algorithmes d'IA. Cylance est une autre entreprise qui utilise un antivirus basé sur l'IA avec apprentissage automatique pour identifier et prévenir les cybermenaces. FireEye utilise également l'IA pour identifier et répondre aux cyberattaques. Comme vous pouvez le constater, de nombreuses entreprises utilisent aujourd'hui la technologie de l'IA.

Pour résumer, ChatGPT peut nous aider à maximiser le potentiel de cybersécurité en fournissant des renseignements sur les menaces en temps réel, une réponse aux incidents et une sensibilisation à la sécurité. En mettant en œuvre ChatGPT, nous pouvons garder une longueur d'avance sur les cybermenaces potentielles et minimiser l'impact potentiel d'une cyberattaque.

Déployez-vous des technologies d'IA dans votre organisation ?

WebGoat - Segunda parte

La semana pasada se publicó « WebGoat – Primera parte » donde se explicó y se desmostró cómo explotar algunas de las vulnerabilidades web más graves y críticas según OWASP Top 10. En esta segunda parte, como os prometí, vamos a ver más vulnerabilidades y cómo explotarlas mediante un pequeño video. Espero que sea útil para todos porque, desde mi punto de vista, esta es la mejor manera de aprender y comprender las principales vulnerabilides utilizadas maliciosamente por Internet.

Insecure login : En este ejemplo veremos una situación en la que las credenciales de inicio de sesión de un usuario no se transmiten de forma segura, lo que podría permitir a un atacante interceptar y robar esas credenciales. Cuando un usuario inicia sesión en una aplicación web, por lo general se requiere que ingrese un nombre de usuario y una contraseña. Estas credenciales se envían al servidor para su verificación y, si son correctas, se otorga al usuario acceso a la aplicación. Sin embargo, si las credenciales se transmiten de forma no segura, un atacante podría interceptarlas y utilizarlas para obtener acceso no autorizado a la aplicación. Esto podría permitir al atacante acceder a la información confidencial o realizar actividades maliciosas en nombre de usuario legítimo.

 

Without account : En este ejemplo veremos una situación en la que un usuario puede acceder a recursos o funcionalidades de una aplicación web sin tener una cuenta válida o sin haber iniciado sesión. Esto podría permitir a un atacante obtener acceso no autorizado a información confidencial o realizar actividades maliciosas en la aplicación.

 

Without password : En este ejemplo veremos una situación en la que un usuario puede acceder a una cuenta sin necesidad de proporcionar una contraseña válida. Esto podría permitir a un atacante obtener acceso no autorizado a una cuenta y, potencialmente, acceder a información confidencial o realizar actividades maliciosas en la aplicación.

 

Espero que os haya gustado estas entradas sobre hacking ético.

Autor : Miguel Sánchez Suárez

WebGoat - Primera parte

Durante esta semana hemos estado trabajando intensamente con la aplicación web WebGoat para conocer y estudiar las 10 vulnerabilidades web más explotadas en Internet. WebGoat ha sido actualizado recientemente según OWASP Top 10 donde se han implementado las 10 vulnerabilidades más conocidas, explotadas y peligrosas de estos últimos años. Por tanto, en este articulo, y en el siguiente, mostraremos un video de cómo podemos explotar cada una de las 10 vulnerabilidades de OWASP Top 10 con la finalidad de aprender, estudiarlas, y luego poder probarlas en proyectos de pentesting.

 

Admin lost password: En este ejemplo veremos los peligros de permitir que los usuarios recuperen sus contraseñas de administrador en una aplicación web. Este problema se debe a que el sistema no impone medidas adecuadas para proteger la recuperación de contraseñas de la cuenta de administrador, lo que permite que un atacante pueda acceder a la cuenta de administrador y obtener acceso no autorizado a la aplicación y a los datos que maneja.

Authentication Bypass: En este ejemplo veremos como un atacante puede sortear la autenticación y obtener acceso no autorizado a los recursos protegidos. Esto puede ocurrir debido a una variedad de factores, como la falta de validación de entrada adecuada, la gestión incorrecta de sesiones y cookies, o la implementación débil de políticas de autenticación y autorización.

 

Bypass front-end restrictions: En este ejemplo veremos una situación en la que las restricciones de seguridad impuestas por el front-end de una aplicación web pueden ser fácilmente eludidas por un atacante. El front-end de una aplicación web se refiere a la parte visible e interactiva de la aplicación que los usuarios interactúan directamente con ella. En muchos casos, el front-end se utiliza para imponer restricciones de seguridad, como limitar las opciones disponibles en un menú o evitar que los usuarios accedan a ciertas funciones o datos.

 

HTML tampering: En este ejemplo veremos una situación en la que un atacante puede modificar el código HTML de una página web, lo que podría permitirle realizar diversas actividades maliciosas. Un atacante podría, por ejemplo, cambiar el valor de un campo oculto en un formulario web para enviar información falsa al servidor. También podría modificar la apariencia de una página web para engañar a los usuarios y obtener información confidencial. Además, un atacante podría utilizar HTML tampering para insertar código malicioso en una página web, como un script que envía información a un servidor controlado por el atacante.

 

Espero que os haya gustado.

Autor : Miguel Sánchez Suárez

F5XC - AntiBot avancé

J'ai déjà écrit plusieurs fois sur F5XC – Bot Defense, F5 ASM – Bot Defense et F5 BIG-IP ASM – Bot Protection mais cette fois je veux écrire sur l'intégration de F5XC Bot Defense et BIG-IP où il faudra configurer une iApp, ou un profil Bot Defense, pour relier nos équipements BIG-IP à la technologie AntiBot hébergée dans les services cloud F5. Pour réaliser l'intégration de BIG-IP avec F5XC Bot Defense, il sera nécessaire d'insérer un code JavaScript dans nos services Web.

Où peut-on insérer le code JavaScript pour pouvoir consommer la protection Bot Defense ? Le tableau suivant montre clairement où le code JavaScript peut être inséré. Je vais principalement écrire aujourd'hui comment le faire depuis un BIG-IP, c'est-à-dire depuis n'importe quel BIG-IP, et pas seulement depuis F5 AWAF ou les nouvelles versions de BIG-IP. Cependant, il peut également être inséré à partir d'autres points tels que F5XC WAAP ou depuis NGINX, Salesforce Commerce, Cloudflare, Adobe Commerce et AWS CloudFront. Il existe donc des connecteurs pour pouvoir intégrer la technologie AntiBot de F5 dans toutes ces plateformes.

 

F5XC Bot Defense - Connecteurs

Si nous avons travaillé avec F5XC ou Shape, nous savons que nous devons insérer un code JavaScript. Traditionnellement, nous avons fait l'insertion de ce JavaScript à travers une iApp développée par F5 où un ensemble de paramètres doit être configuré, le plus important étant : l'endroit où nous voulons injecter le JavaScript, quels domaines nous allons protéger et quel type d'action est ce que nous allons faire une fois que nous détectons que la demande, ou la tentative d'accès, provient d'un bot ou d'un utilisateur humain. Nous devrons également indiquer dans l'iApp à quel serveur virtuel nous voulons appliquer la protection AntiBot. Nous allons également avoir un identifiant d'application qui est utilisé pour établir un lien avec le service F5XC.

 

F5XC Bot Defense iApp

Le déploiement et la configuration de l'iApp Bot Defense étaient requis dans les versions antérieures à 17.1. Cependant, actuellement les nouvelles versions intègrent déjà un connecteur natif pour relier nos équipements BIG-IP avec F5XC. Par conséquent, à partir de la version 17.1, le module natif remplit les fonctions de l'iApp Bot Defense où vous pouvez configurer des profils spécifiques avec les données d'identification de l'application, les domaines à protéger et les actions à effectuer. Ces profils F5XC Bot Defense seront attribués ultérieurement aux serveurs virtuels.

 

F5 BIG-IP - Distributed Cloud Services

Le code JavaScript actuellement inséré est composé de deux codes JavaScript, alors que dans les versions précédentes, il s'agissait de trois codes JavaScript. Ce JavaScript a un code complexe pour empêcher l'ingénierie inverse. Dans les versions actuelles, un code JavaScript appelle l'autre code JavaScript. Les codes JavaScript sont insérés par défaut dans toutes les pages Web car c'est le plus simple et c'est pratique, mais vous pouvez également spécifier où nous voulons l'insérer si nous pensons qu'il n'est pas nécessaire de l'insérer dans toutes les pages. Normalement, bien que nous insérions le code JavaScript dans toutes les pages, nous n'en protégerons que certaines, comme les pages de connexion ou de création d'utilisateur. Dans l'image suivante, nous pouvons voir que l'insertion a été faite après la balise <head>.

 

JavaScript

Enfin, F5XC Bot Defense est un produit qui est servi à partir du cloud F5. Par conséquent, tous les panneaux de contrôle d'où nous allons voir les attaques sont dans F5XC, toute la télémétrie collectée est envoyée à F5XC et c'est là que nous devons nous connecter pour la voir. L'ensemble du service Bot Defense est basé sur le cloud F5XC. Bot Defense est un outil qui demande peu de gestion. Une fois que nous l'avons lié aux services que nous voulons protéger, nous n'avons rien à faire car Bot Defense est chargé d'identifier ce qui est bon et ce qui est mauvais.

Comment votre entreprise détecte-t-elle les bots ?

Fortinet ZTA

Récemment, j'ai écrit sur ZTNA, l'architecture ZTNA et la configuration ZTNA. Cependant, il ne faut pas confondre ZTNA avec ZTA. ZTA gère l'accès aux ressources internes, c'est-à-dire l'accès au réseau via la couche d'accès, comme un réseau filaire ou un réseau sans fil. Comme ZTNA, ZTA a une architecture Zero Trust. Premièrement, il va identifier et découvrir tout ce qui se trouve sur le réseau, c'est-à-dire qu'il saura quels utilisateurs sont connectés. Par la suite, la connectivité sera fournie en fonction de l'utilisateur, du type d'appareil et de la posture de sécurité de l'équipement, et les appareils qui ne respectent pas la posture de sécurité ou qui ne sont tout simplement pas enregistrés seront également isolés. Enfin, tout type de faille de sécurité sera identifié et une réaction automatique sera effectuée, isolant les appareils pour minimiser l'impact.

Grâce à Security Fabric, il sera possible d'effectuer des contrôles de risques continus sur les appareils pour vérifier s'ils sont toujours conformes à la politique de sécurité. ZTA peut être intégré à FortiClient, qui peut déjà effectuer des contrôles de sécurité s'il appartient à une architecture ZTNA, ou il peut également être intégré à des tiers, tels que le logiciel EDR, qui peuvent signaler ou donner de la visibilité à tout événement de sécurité en cours, effectué au sein de l'appareil.

 

Dans une architecture ZTA, deux validations sont effectuées. La première est une validation de pré-connexion dans laquelle l'utilisateur est vérifié, quel type d'appareil se connecte, quelle application, à quelle heure de la journée et où la connexion a lieu. Ces informations sont vérifiées par rapport à la politique de conformité du réseau pour automatiser l'accès via SDN en fonction du degré de confiance dans cet appareil.

Validation avant connexion

Une fois l'appareil connecté au réseau, une gestion des risques post-connexion est effectuée pour analyser en continu tous les appareils. Le but est de répondre immédiatement aux événements de sécurité qui peuvent être signalés par tout équipement connecté au réseau.

 

Évaluation des risques après connexion

Par exemple, lorsqu'un appareil compromis est connecté au réseau et établit des connexions avec un serveur Command & Control, l'appel sera bloqué par tout élément de sécurité tel que FortiGate. Le pare-feu informera FortiNAC et FortiNAC isolera automatiquement l'appareil compromis pour l'empêcher d'être une menace pour l'organisation. De cette manière, le temps nécessaire pour contenir la menace est considérablement réduit.

 

Réponse aux incidents

Enfin, la capacité de l'appareil à s'intégrer à l'ensemble de l'architecture ZTA lui permet de s'adapter dynamiquement aux circonstances de chacune des connexions. Par exemple, un utilisateur qui appartient à un certain groupe peut changer de groupe et obtiendra dynamiquement les autorisations du nouveau groupe sur le réseau.

 

Segmentation basée sur le groupe

Envisagez-vous de déployer ZTNA ou ZTA ?

Fortinet ZTNA - Configuration

Réaliser une configuration ZTNA dans Fortinet est très simple. Il s'agit d'une configuration très similaire à la configuration d'une publication de service avec des VIP dans FortiGate. Nous allons devoir publier différents serveurs ZTNA sur une ou plusieurs adresses IP, généralement des adresses IP publiques, via une configuration qui se trouve toujours dans la section Policy & Objects → ZTNA et qui sera disponible sur les appareils disposant d'une version de FortiOS 7.0 ou supérieur.

 

Serveurs ZTNA

Lorsque nous configurons un serveur ZTNA, nous devrons faire une association du serveur ZTNA avec les serveurs où se trouve l'application dans le réseau de l'entreprise. Vous pouvez également définir différents certificats SSL pour les services qui sont présentés au client. Vous pouvez également définir quels serveurs réels seront actifs et lesquels ne le seront pas, c'est-à-dire que vous pouvez configurer un équilibrage des serveurs en haute disponibilité active/passive des services ZTNA.

 

ZTNA - Mappage de serveur

Généralement, il y a une question qui est posée de manière récurrente : est-ce qu'une adresse IP publique est nécessaire pour chaque service que nous voulons "publier" via ZTNA ? La réponse est très simple. Non. Avec une seule adresse IP publique, nous pouvons configurer une multitude de services ZTNA. La différenciation peut être effectuée sur la base de l'en-tête Host du protocole HTTP, bien que le service puisse également être différencié via l'URL. Cependant, lorsque nous avons plusieurs services ZTNA avec des noms de domaine différents, il est important que la résolution DNS se fasse toujours sur le même VIP. Par conséquent, FortiGate redirigera les demandes de différents services ZTNA vers les serveurs d'applications réels correspondants. De même, différents ports TCP peuvent être utilisés pour différencier les services ZTNA.

 

Deux services mais une adresse IP unique

Une fois les services ZTNA sont configurés, il est nécessaire de définir les règles ou politiques ZTNA. Dans les règles, nous définirons qui et dans quelles conditions peuvent accéder aux services, c'est-à-dire que les règles ZTNA définissent l'autorisation et le respect de la posture de sécurité. Par conséquent, lorsque l'équipement est autorisé et que l'utilisateur est authentifié, et respecte également les mesures de sécurité, il pourra accéder aux ressources qui ont été définies dans la règle ZTNA.

 

Règle ZTNA

Oserez-vous faire une configuration ZTNA ?

Fortinet ZTNA - Architecture

Pour effectuer un déploiement ZTNA dans Fortinet, trois composants sont nécessaires. Tout d'abord, un FortiGate est requis pour l'authentification des utilisateurs et des appareils, ainsi que pour appliquer la politique de sécurité. Ensuite, il faut déployer le serveur EMS ou Endpoint Management Server à partir duquel les profils de sécurité sont définis, la télémétrie est effectuée et nous faisons une gestion centralisée de tous les appareils. Enfin, il est nécessaire d'installer l'agent FortiClient sur les appareils finaux pour pouvoir effectuer les contrôles de sécurité, c'est-à-dire que c'est le logiciel qui vérifiera le degré de conformité de la sécurité et établira les connexions avec le FortiGate.

 

Fortinet ZTNA - Architecture

Si l'on rentre dans le détail de l'interaction entre ces trois éléments, on constate qu'il existe plusieurs flux de communication entre tous les composants. D'une part, le FortiClient communiquera avec le serveur EMS pour lui envoyer toutes les informations de télémétrie, c'est-à-dire qu'il enverra toutes les informations relatives aux données de l'utilisateur. De plus, le serveur EMS enverra au FortiClient les politiques et profils de sécurité de ce FortiClient. Il existe donc une communication bidirectionnelle entre les deux composants. D'autre part, lors du processus d'enregistrement du FortiClient sur le serveur EMS, un processus de génération de certificat numérique aura lieu pour identifier de manière unique le FortiClient. De cette façon, nous allons avoir une authentification des appareils basée sur des certificats numériques totalement transparente pour l'utilisateur. Par conséquent, chaque FortiClient disposera d'un certificat signé par le serveur EMS qu'il présentera ultérieurement au FortiGate lors de la phase d'authentification. Lorsque le FortiClient veut se connecter au FortiGate, le pare-feu aura toutes les informations de l'appareil de l'utilisateur car elles ont été préalablement envoyées par le serveur EMS, c'est-à-dire que le serveur EMS enverra au FortiGate l'état de conformité de tous les appareils comme ainsi que les informations des utilisateurs et les certificats que les FortiClients doivent présenter pour vérifier l'identité des appareils.

 

Architecture - Flux de gestion et d'acces aux applications

Au moment où l'utilisateur souhaite établir une connexion avec une application, ce que FortiGate va faire initialement est une vérification de certificat pour authentifier l'appareil. Heureusement, la conformité de la sécurité et la vérification des certificats sont transparentes pour l'utilisateur et, par conséquent, aucune action de l'utilisateur n'est requise. De cette manière, l'utilisateur pourra accéder aux applications Web en utilisant FortiGate comme proxy, c'est-à-dire qu'en aucun cas une connexion directe ne sera établie avec les applications. Cela nous aide également à protéger les applications contre d'éventuelles intrusions. Cependant, pour les connexions TCP uniquement, telles qu'une connexion SSH ou RDP, un tunnel TLS sera établi contre le FortiGate et le pare-feu initiera la connexion contre le serveur SSH ou RDP.

 

Flux pour les connexions TCP uniquement

Vous souhaitez implémenter une architecture ZTNA ?

Modèle de confiance zéro (ZTNA)

Si nous allons à l'état actuel de la cybersécurité, nous savons tous que nos utilisateurs sont de plus en plus mobiles. Actuellement, un utilisateur peut utiliser plusieurs appareils de nature différente. Il peut s'agir d'un PC d'entreprise, d'un ordinateur portable personnel ou de téléphones portables d'entreprise ou personnels. De plus, les applications et les infrastructures sont de plus en plus distribuées. Certaines applications sont migrées d'environnements sur site vers des environnements plus distribués en tant que service, par exemple, O365. De plus, il faut ajouter que nous avons des bureaux distants et des télétravailleurs qui accéderont également à toutes ces applications distribuées. Le résultat est que nous avons un périmètre très diffus où nous ne savons pas où se trouve l'intérieur, où se trouve l'extérieur, ni d'où l'on accède à toutes ces ressources et dans quelles conditions. Cependant, nous savons que toutes les menaces qui existent sont de plus en plus complexes et sophistiquées, et des modèles basés sur l'intelligence artificielle et l'apprentissage automatique commencent même à être mis en œuvre qui tirent parti de toutes ces faiblesses dérivées du manque de périmètre et d'un environnement difficile à défendre.

Zero Trust est un modèle de cybersécurité qui définit une série de principes de sécurité basés sur le fait que les menaces existent partout, c'est-à-dire à l'intérieur et à l'extérieur du réseau. Pour cette raison, ce qui est fait est de se débarrasser de la confiance implicite de tout actif, c'est-à-dire tout appareil qui veut accéder à n'importe quelle donnée d'entreprise, où qu'il se trouve, que ce soit dans le CPD traditionnel ou dans le cloud, doivent démontrer qu'ils sont valides, qu'ils sont autorisés et qu'ils respectent certaines normes de sécurité définies par notre entreprise. Il ne peut en aucun cas constituer une menace. Cette architecture Zero Trust va être alimentée avec différentes informations, c'est-à-dire que nous allons avoir différents systèmes qui vont vider les informations d'état de tous ces appareils pour vérifier cette fiabilité. Ainsi, tant que l'appareil est fiable, il pourra accéder aux ressources strictement nécessaires. Un appareil n'aura pas accès, quelle que soit sa fiabilité, à des ressources auxquelles il ne devrait pas pouvoir accéder. Vous devrez vérifier à tout moment que l'appareil est toujours digne de confiance et vous devrez effectuer une action de correction ou d'isolement lorsqu'il ne sera plus digne de confiance.

Il existe deux types de déploiements Zero Trust : ZTNA et ZTA. ZTNA consiste à contrôler l'accès aux applications. Un proxy est utilisé qui permet aux utilisateurs distants d'accéder aux applications sans avoir à établir de VPN traditionnels. Cependant, ZTA a à voir avec l'architecture de contrôle d'accès à l'infrastructure réseau. Il contrôle quoi ou qui est connecté au réseau via des commutateurs, des points d'accès ou même via le VPN, et vérifie où ils se situent par rapport à notre politique de sécurité. Ce n'est que lorsque l'appareil est connu pour être digne de confiance que l'accès nécessaire lui sera fourni. Par conséquent, ZTA est plus lié à notre réseau tandis que ZTNA est plus lié aux applications.

A quelle solution Zero Trust pensez-vous ?

Certification Lead Auditor ISO 27001

Je me souviens de la première fois où j'ai lu la norme ISO 27001. C'est en 2012 que je suis tombé sur cette norme internationale car l'entreprise pour laquelle je travaille, Ariadnex, souhaitait être certifiée. Au début, il semble qu'il y ait beaucoup de paperasse et plus tard beaucoup de travail pour maintenir les politiques, les procédures et les contrôles. C'est vraiment vrai mais ça vaut le coup car c'est le meilleur moyen de sécuriser les informations de l'entreprise.

J'ai commencé avec ISO 27001:2005 où il y avait 113 contrôles dans 11 catégories de contrôle. Tout était nouveau pour moi. J'étais un débutant. Plus tard, ISO 27001: 2013 a été publié là où il y avait de nouveaux contrôles tandis que d'autres ont été modifiés. En fait, il y avait 114 contrôles dans 14 catégories de contrôle. Je n'étais pas novice et j'ai compris les changements. Aujourd'hui, toutes les entreprises sont certifiées avec la nouvelle norme ISO 27001:2022, où il existe également de nouveaux contrôles et d'autres ont été modifiés pour cette nouvelle ère. Nous avons actuellement 93 contrôles dans 4 catégories de contrôle. Je comprends tous les contrôles et je suis capable d'auditer des entreprises en ISO 27001.

Cela fait plus de 10 ans que j'ai travaillé pour la première fois avec la norme ISO 27001, j'ai donc sauté le pas pour être certifié ISO 27001 Lead Auditor. La semaine dernière, j'ai réussi l'examen. Cela n'a pas été vraiment difficile pour moi. J'ai pris des exemples de tests, j'ai lu un livre que la société de certification m'a envoyé, et bien sûr j'ai lu la norme ISO 27001:2022. C'était 40 questions pour une heure où j'avais besoin de plus de 80% de bonnes questions. J'ai réussi. Je suis vraiment heureux.

On y va!!

ISO 27001:2022 - Les 11 nouveaux contrôles

La nouvelle norme ISO/IEC 27001:2022 est une mise à jour du catalogue principal de contrôles ISO 27002, officiellement un "ensemble de contrôles de référence pour la sécurité de l'information". En plus de la restructuration générale et la mise à jour des contrôles de l'édition 2013, la commission a renforcé la couverture de la « Sécurité pour le Cloud Computing » avec le nouveau contrôle 5.23, ainsi que dix autres nouveaux contrôles, principalement dans la section 8. (contrôles technologiques) :

• Renseignements sur les menaces (5.7) : collectez des renseignements pertinents et exploitables sur les menaces à l'information, en les alimentant dans le processus de gestion des risques liés à l'information.

• Préparation des TIC pour la continuité des activités (5.30) : les organisations doivent se préparer à gérer des incidents graves qui affectent et/ou impliquent des processus critiques.

• Supervision de la sécurité physique (7.4) : Installer des alarmes anti-intrusion, CCTV, gardes, etc. pour les locaux commerciaux. Il s'agit d'un contrôle tellement basique et commun que vous ne pouvez pas croire qu'il manquait à l'édition précédente.

• Gestion de la configuration (8.9) : fait référence à la nécessité de gérer la sécurité et d'autres détails de configuration pour le hardware, les logiciels, les services et les réseaux.

• Suppression d'informations (8.10) : Il s'agit d'un autre contrôle « évident » indiquant que les données doivent être supprimées lorsqu'elles ne sont plus nécessaires pour éviter une divulgation inutile et pour des raisons de conformité. Cependant, les détails précis de la manière dont les informations sont supprimées sont importants dans la pratique.

• Masquage des données (8.11) : conformément à la politique de contrôle d'accès de l'organisation, en plus des autres exigences commerciales et obligations de conformité, les contrôles de sécurité sont appropriés pour atténuer le risque de divulgation d'informations personnelles sensibles.

• Prévention des fuites de données (8.12) : DLP est nécessaire pour protéger les informations sensibles contre la divulgation et l'extraction de données non autorisées (vol, surveillance, etc.).

• Activités de surveillance (8.16) : les « anomalies » dans les réseaux, systèmes et applications informatiques doivent être détectées et traitées pour atténuer les risques associés.

• Filtrage Web (8.23) : limiter l'accès aux sites Web inappropriés ou risqués est un contrôle de sécurité de l'information suffisamment important pour justifier son inclusion dans la norme ISO 27001.

• Codage sécurisé (8.28) : les logiciels doivent être conçus et programmés de manière sécurisée, ce qui réduit le nombre et la gravité des vulnérabilités exploitables résultant de défauts de conception et d'erreurs de programmation. Ce contrôle est presque entièrement piloté par le principe de « secure by design ».

Cependant, cette nouvelle norme est assez faible en ce qui concerne la sécurité de l'Internet des objets (IoT), ce qui n'est pas surprenant étant donné que ce domaine est encore immature. Les objets IoT prolifèrent si rapidement, et la technologie est si limitée en termes de traitement, de stockage et d'autres capacités, que les contrôles de sécurité des informations sont toujours problématiques.

À bientôt !

Le nouvelle norme ISO/IEC 27001:2022

Je n'écris plus sur ISO 27001 depuis 2021 lorsque j'ai écrit un article sur les meilleures pratiques de cybersécurité. J'ai également écrit sur les directives de sécurité pour l'Union européenne en 2016 ainsi que sur PCI-DSS vs ISO 27001 et ENS vs ISO 27001. Aujourd'hui, j'aimerais écrire sur la nouvelle norme ISO/IEC 27001:2022 parce que je pense que c'est vraiment intéressant de savoir quelle est la nouvelle structure de cette norme internationale qui est suivie par de nombreuses entreprises soucieuses de la sécurité de l'information.

La nouvelle structure reflète la structure d'autres nouvelles normes de gestion, telles que ISO 9000, ISO 20000 et ISO 22301, qui aident les organisations à se conformer à diverses normes. Les changements survenus dans l'industrie avec l'apparition du NIST Cybersecurity Framework (CSF) dont l'objectif était de protéger l'infrastructure critique qui prend en charge les services essentiels des États-Unis, les propositions de cybersécurité de l'Union européenne reflétées dans divers documents de l'ENISA et les mises à jour qui ont eu lieu dans d'autres meilleures pratiques telles que ITIL et COBIT -au cours de 2019- et PCI, ont également influencé la nécessité d'actualiser le contenu de cette norme.

La nouvelle ISO 27001:2022 comporte 93 contrôles en 4 groupes ou types de contrôles contre 114 contrôles en 14 clauses dans la version 2013. Ajout de 11 nouveaux contrôles (Threat Intelligence, Information security for use of cloud services, ICT readiness for business continuity, Physical security monitoring, Configuration management, Information Deletion, Data masking, Data leakage prevention, Monitoring activities, Web Filtering, Secure Coding). Un contrôle a été supprimé (suppression d'actifs). De plus, 58 contrôles ont été mis à jour et 24 contrôles ont été fusionnés.

Par conséquent, la nouvelle version apporte avec elle des changements importants, le plus représentatif étant: Le changement de nom, incorporation de nouveaux termes et définitions, la nouvelle structure des sujets de sécurité de l'information, La nouvelle structure d'attributs des contrôles, et évolution des contrôles depuis la version ISO 27002:2013.

Un changement radical par rapport à la version précédente est la restructuration des 14 domaines de contrôle définis dans l'ISO 27002:2013 autour de 4 grands thèmes: Chapitre 5 : Contrôles organisationnels (37 contrôles), Chapitre 6 : Contrôles des personnes (8 contrôles), Chapitre 7 : Contrôles physiques (14 contrôles), et Chapitre 8 : Contrôles technologiques (34 contrôles). Cette classification des fonctions est beaucoup plus simple que celle fournie par la version 2013 de la norme, qui est beaucoup plus orientée vers le contexte d'application du contrôle (organisationnel, humain, physique et technologique).

Enfin, comme je dis toujours que tous les ingénieurs réseau devraient passer la certification CCNA car c'est la base de la mise en réseau, je dis aussi que tous les ingénieurs en sécurité devraient connaître la norme ISO 27001 pour connaître les contrôles de sécurité, les procédures de sécurité et les mesures de sécurité.

Á bientôt!

Défense d’un rapport d’expert

Le travail d'un expert ne s'arrête pas à la préparation du rapport d'expertise. Habituellement, nous devrons défendre ce qui y est reflété devant le tribunal correspondant, où des éclaircissements et la présentation des conclusions contenues dans le rapport seront demandées. C'est un élément fondamental car tout le travail effectué sur le rapport peut être perdu en raison d'une mauvaise défense, nous devons donc réagir de manière appropriée.

En ce sens, il est important de se rappeler que nous sommes les experts et qu'en tant que tels, nous avons été appelés. Il est important de le souligner car nous sommes probablement ceux qui ont le plus de connaissances technologiques, donc notre défense doit simplement être basée sur nos connaissances antérieures et notre travail effectué, sans devenir nerveux puisque nous devons avoir fait le travail auparavant et maintenant nous venons de le montrer et de le défendre.

Dans de nombreux cas, ce ne sera pas un lit de roses puisque évidemment notre rapport sera généralement défavorable à l'une des parties et cela tentera d'invalider nos arguments, mais si nous sommes sûrs de la qualité du travail que nous avons précédemment développé , nous n'avons pas à en avoir peur.

Certes, l'autre partie peut également présenter son propre expert avec d'autres conclusions différentes des nôtres. Dans ce cas, nous devons essayer de nous documenter sur l'autre rapport et réfuter ses conclusions avec les nôtres.

Dans les cas où les questions vont au-delà du fait étudié en question, nous devons "ne pas entrer pour savoir" c'est-à-dire justifier que nous ne pouvons pas répondre à cela parce que ce n'est pas l'objet de notre travail ou qu'il ne nous a pas été présenté auparavant dans le cadre du travail que nous devions faire.

En tout cas, de la même manière que la pratique rend maîtres dans l'analyse et la rédaction ultérieure du rapport, l'expérience est également un degré très important pour une défense correcte, une compétence que nous devons acquérir progressivement.

En plus de tout ce qui est mentionné, il est possible que dans des cas très complexes ou dans des études dont l'explication peut devenir difficile avec des mots seuls, un soutien lors de notre intervention dans des présentations ou des vidéos qui nous permettent d'expliquer l'objet de l'étude de manière plus claire et concise.

Avez-vous déjà défendre un rapport d’expertise ?