Sécurité dans les data centers : La convergence du physique et du cybernétique ouvre de nouvelles perspectives

Gary Smith, vice-président de la sécurité du portefeuille & ; Art Corcoran, directeur des opérations de sécurité
Les data centers entrent dans une nouvelle ère de transformation. Fini le temps de la cybersécurité et de la sécurité physique à air comprimé. Les data centers sont surveillés et gérés par un réseau de centaines, voire de milliers de capteurs utilisés pour la télémétrie en temps réel - chauffage et refroidissement, alertes de maintenance, sécurité physique, et bien plus encore. Pourtant, en plus d'introduire de nouvelles opportunités pour une efficacité opérationnelle accrue et une plus grande visibilité et un meilleur contrôle, la Transformation numérique (DX) présente de nouveaux défis. La manipulation des commandes de chauffage et de ventilation (CVC) pourrait entraîner l'arrêt ou la compromission des systèmes d'infrastructure critiques. Les caméras physiques pourraient être piratées et réquisitionnées pour masquer un vol ou une entrée non autorisée dans un lieu sécurisé.La Transformation numérique présente de nouveaux défis pour les data centersLe data centerRéduire les coûts tout en améliorant l'efficacité opérationnelleCréer un engagement client plus important et de meilleure qualitéExploiter de nouvelles opportunités de revenusRester compétitif et maintenir des marges agressives nécessite une innovation permanente, et le DX est au centre de cette innovation. Le data center joue un rôle central dans la mise en œuvre de nombreuses initiatives DX. C'est dans les data centers que vit le clouds. L'exploitation de ce fait permet aux data centers de devenir des centres de services de clouds privés qui rationalisent les processus tout en conservant le contrôle des opérations et de la Sécurité. Ces centres donnent aux entreprises l'échelle nécessaire pour s'attaquer à ces nouvelles initiatives DX - la puissance de calcul et les capacités de stockage pour alimenter les nouvelles applications et les données d'accompagnement qui sont générées. Un facteur important de cette évolution est la dépendance croissante de l'AI et du ML à l'égard du Big Data.Pour faire face à ce nouveau paysage des data centers, de nombreuses organisations choisissent d'utiliser des installations de colocationPrès de 80 % des organisations introduisent la Transformation numérique plus rapidement que leur capacité à les sécuriser contre les cyberattaques.La colocation crée une convergence de la sécurité physique et de la cybersécuritéIl est essentiel que la sécurité physique et la cybersécurité soient abordées de manière unifiée car elles sont devenues de plus en plus convergentes ces dernières années. L'exemple le plus évident est le fait que les déploiements de sécurité physique (lecteurs de cartes, CCTV) résident désormais tous sur le réseau. Il en résulte une dépendance de la sécurité physique à l'égard de contrôles de cybersécurité solides pour garantir l'intégrité de l'infrastructure de sécurité physique. Cependant, cette dépendance offre à son tour de nouvelles façons intrigantes d'exploiter les deux disciplines pour conduire de nouveaux paradigmes de sécurité. Par exemple, si un employé se connecte à un ordinateur à San Francisco tout en accédant physiquement à un data center de New York, cela constituerait un signal d'alarme majeur. Grâce à l'intelligence artificielle et à l'apprentissage automatique, le système pourrait s'adapter à une telle situation pour alerter les intervenants et révoquer immédiatement les autorisations d'accès sans intervention humaine. Mais l'innovation technique s'accompagne de nouveaux vecteurs d'attaque et de nouvelles vulnérabilités, car la vérité est que les pirates informatiques sont toujours à la recherche de voies d'accès non détectées à vos systèmes. De nombreux dispositifs physiques traditionnels représentent aujourd'hui des menaces pour la cybersécurité. Des éléments tels que les cartes d'identité, la biométrie, les CVC, les ordinateurs portables, les smartphones et les USB constituent tous des menaces pour la cybersécurité puisqu'ils sont désormais compatibles avec l'IP. En fait, les appareils IoT font l'objet d'une moyenne de 5 200 attaques par mois.La DX nécessite de repenser la sécurité physique. Cependant, la nécessité de se concentrer sur l'accès contrôlé, ce qui signifie que les travailleurs désignés ne doivent pouvoir accéder qu'aux zones, systèmes et applications auxquels ils doivent avoir accès, reste le concept fondamental pour assurer la confidentialité, l'intégrité et la disponibilité des données, où qu'elles se trouvent et quelle que soit leur utilisation.AI et ML fournissent les moyens de surveiller les dispositifs de sécurité physique tels que les portes et les caméras, en repérant les anomalies, en envoyant des alertes en temps réel au personnel des data centers, et même en agissant comme un système numérique pour combattre immédiatement les menaces sans intervention humaine. Comme indiqué au début de cette section, la convergence de la cybersécurité et de la sécurité physique permet aux alertes de sécurité physique d'activer des protocoles de cybersécurité tels que le blocage de l'accès aux données et aux systèmes pour les utilisateurs, les appareils et les applications sur la base de règles commerciales prédéterminées. Au fur et à mesure que cette technologie mûrit et devient omniprésente, elle fera passer le paradigme de la sécurité d'une approche "détecter et répondre" à une approche "prévenir et contrer".Une liste de contrôle pour la sécurité physique des data centersLors de l'examen des installations de colocation, les entreprises doivent évaluer les solutions sur la base de critères tels que :Le data center est-il redondant ? data center designLe bâtiment est-il construit pour résister aux attaques extérieures ou aux catastrophes naturelles ? La densité des murs doit être conçue pour résister aux engins explosifs et aux éléments naturels. Les fenêtres doivent être réduites au minimum, utilisées uniquement pour les espaces publics et dotées d'un film résistant aux chocs. Une zone tampon d'au moins 100 pieds devrait s'étendre autour du site pour le protéger des véhicules et, idéalement, des gardiens/postes de sécurité devraient être employés pour l'accès. Les murs en kevlar résistant au feu sont également une exigence importante.Les points d'entrée et de sortie sont-ils limités?Quelles sont les politiques de détection des intrusions physiques en place ? Les systèmes électroniques automatisés de détection des intrusions, y compris les caméras de télévision en circuit fermé (CCTV) et les alarmes déclenchées par des événements, sont indispensables. Dans ce cas, les équipes des data centers doivent disposer de politiques documentées pour répondre aux violations des entrées et sorties.Quelles sont les caméras de sécurité utilisées ? Les systèmes de caméras doivent être adaptés à leur application. Ils peuvent être dotés de fonctions de détection de mouvement, de panoramique, de zoom et de faible éclairage. Ils doivent également être intégrés à la Sécurité du réseau avec des mots de passe et des identifiants désignés pour l'accès (c'est-à-dire compatibles avec le protocole IP) et isolés par les pare-feu des data centers afin de s'assurer qu'ils ne peuvent pas être compromis ou utilisés pour compromettre le réseau interne du data center. Les organisations doivent également mettre en œuvre des politiques de conservation et de destruction des données pour les séquences de surveillance. Celles-ci doivent être conformes aux lois, aux réglementations sectorielles et aux normes informatiques applicables. Nous suggérons de conserver les séquences vidéo de surveillance pendant au moins 90 jours.L'authentification multifactorielle est-elle employée?Des couches d'accès renforcées sont-elles utilisées ? Toute personne qui pénètre dans la zone la plus sécurisée d'un Data Center devrait être tenue de s'authentifier au moins quatre fois - par exemple, l'entrée du périmètre du bâtiment dans le hall/le quai de chargement, l'entrée du hall/du quai de chargement dans l'espace commun, l'entrée de l'espace commun dans l'espace du Data Center et l'entrée dans la zone la plus sécurisée (cage, armoire, etc.).Les cybermenaces pour le data centerLe plus grand défi pour la sécurité des data centers aujourd'hui n'est pas les menaces physiques mais plutôt les cybermenaces. La prolifération des applications et les masses croissantes de propriété intellectuelle et d'informations privées - souvent régies par des régulateurs - font des data centers une cible centrale pour les cybercriminels et même les États-nations.Se défendre contre les attaques des data centersDu fait de la Donnée, la surface de cyberattaque pour le data center s'étend et devient de plus en plus difficile à défendre. Ces menaces peuvent cibler les dispositifs physiques et les systèmes utilisés pour gérer le refroidissement et la vidéosurveillance, entre autres. Elles peuvent également viser le personnel par le biais du spear phishing, de lacunes dans les protocoles d'authentification et d'autres moyens malveillants.A moins que la vulnérabilité du data center ne soit orientée vers Internet, les attaquants doivent être persistants et employer des stratégies avancées pour réussir à l'exploiter :Mettre en place une authentification à deux ou plusieurs facteurs. De nombreux data centers s'appuient sur des options d'authentification locale en cas d'urgence. Ces canaux d'authentification locaux ne sont pas enregistrés et les mêmes identifiants de connexion sont souvent partagés entre les hôtes et les charges de travail (pour des raisons de simplicité). Cela les expose à des acteurs malveillants qui, une fois qu'ils les ont dérobés, peuvent les utiliser pour accéder au data center. L'ajout de plusieurs couches d'authentification pour un même utilisateur grâce à l'authentification à deux ou plusieurs facteurs garantira un niveau de sécurité plus élevé, ce qui rendra beaucoup plus difficile pour un intrus d'accéder à des systèmes auxquels il n'est pas autorisé à accéder.Cibler les vulnérabilités connues avec des correctifs et des mises à jour.Construire des barricades.25 % des cyberattaques en 2020 cibleront les appareils IoTUne tendance émergente consiste à augmenter les tests de pénétration ponctuels conçus pour valider l'intégrité cybernétique avec une capacité de surveillance continue fiable qui fonctionne en temps réel. Des outils sont disponibles pour analyser le trafic réseau entrant afin de détecter les anomalies et d'identifier celles qui nécessitent un examen plus approfondi de la part des ingénieurs en sécurité de l'information. Cela permet de s'assurer que la Sécurité du réseau fonctionne efficacement sur des périodes prolongées et de valider les résultats des tests d'intrusion ;

Construire un système virtuel ou numérique La réalité est que, quels que soient les efforts déployés pour se protéger contre les failles de sécurité, il est de plus en plus difficile d'y parvenir. Les menaces peuvent prendre la forme de dispositifs piratés, tels que des serveurs, des routeurs, des commutateurs et des pare-feu. Dans ces cas, les vulnérabilités connues sont ciblées dans ces appareils, en utilisant des rootkits qui se trouvent sous le système d'exploitation et sont difficiles à détecter. Ironiquement, les dispositifs mêmes destinés à protéger une entreprise sont infectés et transformés en passerelles malveillantes dans le data center. C'est pourquoi l'AI et le ML commencent à être mis en œuvre en tant que stratégies de sécurité pour agir davantage comme un système immunitaire en détectant et en combattant les menaces de l'intérieur au lieu de se concentrer uniquement sur l'élimination des menaces au niveau du périmètre. Ces stratégies peuvent agir comme des anticorps dans le corps humain pour combattre les comportements suspects qui sortent de la norme sans arrêter tout le système.Donnée des vecteurs d'attaque les plus courants dans les data centersLes data centers sont des cibles attrayantes et lucratives pour les cybercriminels et les États-nations. Il y a plusieurs raisons à cela :Vol de données privées de clients - souvent utilisées pour déclencher des attaques ultérieures (vol d'identité, vol d'argent sur des comptes bancaires, fraude à la carte de crédit, etc ; Pertes financières dues à des interruptions d'activité et à des atteintes à l'image de marqueLes dommages sociaux et environnementaux (en particulier dans le cas d'attaques d'un État-nation contre la technologie de l'information) Dans le cas des États-nations, compromettre les actifs de sécurité nationale d'un rival géopolitiqueLe coût moyen d'une panne de data center a augmenté de près de 38 %, atteignant 9 000 dollars par minuteCes différents objectifs d'attaque sont atteints grâce à l'utilisation de divers vecteurs d'attaque. Voici quelques-uns des plus courants :Attaques par déni de service distribué (DDoS).Les attaques d'applications Web qui exploitent des vulnérabilitésL'infrastructure DNS : cible d'attaque et dommages collatéraux.Authentification par force brute et faible.Intégrer la technologie opérationnelle (OT) et la technologie informatique (IT).Donnée de l'impact des perturbations opérationnelles et des violations de donnéesLes interruptions des data centers peuvent avoir un impact considérable sur les opérations, se chiffrant rapidement en centaines de milliers de dollars. Et c'est sans compter les répercussions sur la marque. La gravité des attaques DDoS devrait continuer à augmenter. Non seulement elles augmentent en fréquence, mais aussi en taille (avec de nouveaux records établis à plusieurs reprises en 2018). En outre, comme de moins en moins de systèmes OT sont protégés, la surface d'attaque pour la perturbation et la désactivation des opérations s'élargit, tandis que les répercussions opérationnelles deviennent dramatiquement plus importantes.Chaîne d'exécution des attaques : Adversaires contre défenseursLa chaîne d'exécution des attaques est utilisée par les professionnels de la Sécurité pour comprendre le déroulement d'une attaque et les stratégies de cybersécurité nécessaires pour se défendre à chaque étape. Le schéma suivant est tiré d'un modèle développé par Lockheed MartinKill Chain StageAdversaire (Mauvais Acteur)DefendersObjectif : Identifier les ciblesRécolter des informations pour comprendre quelles sont les cibles qui leur permettront d'atteindre leurs objectifs (adresses électroniques, serveurs orientés vers l'Internet, etc ; Détecter la reconnaissance pour déterminer l'intention de l'adversaire (par exemple, collecter et analyser les journaux des visiteurs, les détections basées sur l'analyse du navigateur, etc ; Objectif : Préparer l'opérationCréer une charge utile livrable de logiciel malveillant ; utiliser souvent des logiciels malveillants en tant que service et d'autres outils du dark net (comprend un implant de porte dérobée pour le commandement et le contrôle, l'identification de la mission, etc.).Analyser les artefacts des logiciels malveillants afin de développer des signatures pour la détection.Objectif : Lancer l'opérationLancer une attaque qui cible les serveurs web ou qui passe par un canal de distribution spécifique tel que le courrier électronique, une clé USB, les médias sociaux, les points d'eau (c'est-à-dire les sites web compromis).Bloquer les tentatives d'intrusion en collectant les courriels et les journaux Web pour une reconstruction médico-légale, en comprenant le moyen de diffusion et les serveurs et personnes ciblés, etc.Objectif : Accéder à la victimeExploiter une vulnérabilité logicielle, matérielle ou humaine avec une faille connue ou inconnue (zero-day) (basée sur le serveur ou déclenchée par la victime).Durcissement des systèmes pour la résilience et utilisation de la détection basée sur le comportement et l'apprentissage automatique (ML) pour arrêter les vulnérabilités inconnues. Inclut des renseignements sur les menaces pour prioriser les correctifs de vulnérabilité et l'audit et la gestion des points d'extrémité.Objectif : Établir une tête de pont sur la victimeInstaller une porte dérobée persistante ou un implant pour maintenir l'accès ("time stomp" pour faire apparaître le logiciel malveillant comme faisant partie du système d'exploitation standard, etc ; Mettre en œuvre une instrumentation des points d'extrémité pour détecter et enregistrer les activités malveillantes ainsi que pour bloquer les activités désignées (découvrir les créations anormales de fichiers, extraire les certificats de tout exécutable signé, comprendre l'heure de l'intrusion des logiciels malveillants, etc ; Objectif : Contrôler à distance les implantsUn logiciel malveillant ouvre un canal de commande qui permet à l'adversaire de manipuler la victime (par exemple, un canal de communication bidirectionnel sur le Web, le DNS et les protocoles de messagerie).7. Actions sur les objectifsObjectif : Atteindre le but de la missionUne infiltration réussie se traduit par un certain nombre d'actions : a) collecte des informations d'identification de l'utilisateur, b) escalade des privilèges, c) reconnaissance interne, d) déplacement latéral (est-ouest) dans un environnement informatique, e) collecte et exfiltration de données, f) destruction des systèmes, g) écrasement ou corruption des données, ou h) modification subreptice des données.Une infiltration réussie se traduit par un certain nombre d'actions : a) collecte des informations d'identification de l'utilisateur, b) escalade des privilèges, c) reconnaissance interne, d) déplacement latéral (est-ouest) dans un environnement informatique, e) collecte et exfiltration de données, f) destruction des systèmes, g) écrasement ou corruption des données, ou h) modification subreptice des données.Selon NSS Labs, l'injection de HTML est l'attaque la plus fréquemment signalée dans les data centers.L'avenir de la sécurité des data centersPour suivre le rythme de l'évolution rapide du paysage des menaces, il faut un programme de Sécurité complet, intégré et utilisant des technologies de pointe. Cette approche englobe la cybersécurité et la Sécurité physique, qui sont toutes deux importantes. Avec les data centers - un levier critique pour les initiatives DX et l'adoption du cloud privé Si l'on se tourne vers l'avenir, les dirigeants des data centers doivent adopter des stratégies supplémentaires en matière de cybersécurité et de sécurité physique. L'intégration de la cybersécurité et de la sécurité physique est au premier plan et s'étend à l'ensemble du tissu de sécurité. Les attaques se font de plus en plus en plusieurs étapes, ciblant la Sécurité physique par le biais de cyber-attaques qui créent une exposition physique. Et comme 34 % des attaques impliquent des acteurs internes, la sécurité physique reste essentielle. La morale ici est que la cybersécurité et la sécurité physique sont des parties complémentaires d'un programme de sécurité complet.La gouvernance des données - au repos et en transit, dans et entre plusieurs environnements Clouds.Transparence et contrôles du Cloud.Intégration de la sécurité. 83 % des responsables informatiques citent les complexités organisationnelles comme les mettant le plus en danger. Seuls 48 % d'entre eux ont mis en place des politiques de sécurité pour gérer l'accès aux données par les employés et les tiers. Un nouveau cadre de sécurité intégré est nécessaire. Les architectures de sécurité traditionnelles sont fragmentées et il est difficile de partager des informations entre les différents éléments. Cela inclut les nouvelles surfaces d'attaque des data centers telles que DevOps et le Cloud pour une transparence totale et des contrôles centralisés.Protéger la périphérie du réseau.Threat intelligence:artificial intelligence and machine learning.État de la sécurité des data centers selon les laboratoires NSS70 pour cent des organisations indiquent que les capacités de sécurité des data centers sont fournies par le cloud
Transformer le data center en un facilitateur de DXLa Donnée est le moteur de l'accélération de l'activité, et le data center est l'élément qui rend tout cela possible. Mais cette surface d'attaque élargie s'accompagne également de menaces plus importantes pour le data center, tant physiques que cybernétiques. La Donnée est également à l'origine d'une transformation du data center qui pose de nouveaux défis en matière de sécurité ; Pour protéger leurs environnements contre ces menaces nouvelles et étendues, les responsables informatiques doivent s'assurer qu'ils ont mis en place les bonnes défenses. La convergence des menaces physiques et cybernétiques nécessite l'intégration de la sécurité des data centers. Les responsables informatiques doivent s'assurer que leurs systèmes et dispositifs physiques sont intégrés à la Sécurité du réseau et placés derrière des pare-feux. Enfin, pour contrer les avancées dans le paysage des menaces, les data centers doivent exploiter une cybersécurité qui tire parti des capacités AI et ML.