Air-gapped EDR: how does it work?

Air-gap : définition 

Une infrastructure dite "Air-gapped" désigne un système informatique totalement coupé des réseaux extérieurs afin de garantir un niveau de sécurité maximal. Ce principe repose sur une séparation physique d’un réseau de machines pouvant dialoguer entre elles, et qui empêche toute connexion à un réseau informatique, rendant ainsi les intrusions numériques extrêmement difficiles, voire impossibles. 

Bien que cette méthode offre une protection optimale, elle implique des restrictions techniques importantes, c'est pourquoi elle est principalement employée pour des systèmes hautement sensibles. 

Dans certains cas, l’isolement physique implique l'absence totale de connexion filaire à un réseau ainsi qu'une protection contre les interférences électromagnétiques. De plus, aucun périphérique pouvant établir une liaison directe ou indirecte avec une autre machine ne doit être branché. Enfin, le système ne doit intégrer aucun dispositif de communication sans fil (Wi-Fi, 3G / 4G / 5G ou GSM). 

Bien que l’environnement soit fermé, les actifs qui composent une infrastructure Air-gapped doivent être sécurisés, nous allons voir pourquoi un peu plus loin. 

Quelle est la différence entre une infrastructure Air-gapped et On-Premises ? 

Une infrastructure On-Premises désigne un ensemble d’actifs (serveurs, terminaux, logiciels, équipements réseau) installés et exploités en interne par une organisation. Contrairement aux solutions Cloud où les ressources et les données sont hébergées par un prestataire externe, une infrastructure On-Premises permet à une organisation de garder un contrôle total sur ses données et ses applications.  

Bien que déployée et gérée en interne, une infrastructure On-Premises peut être ouverte vers l'extérieur grâce à des configurations spécifiques, par exemple une connexion VPN, un accès via un pare-feu, voire une architecture hybride combinant On-Premises et Cloud. A l’inverse, comme son nom l’indique, une infrastructure Air-gapped n’offre aucune connexion vers l’extérieure, elle est totalement fermée. 

Cybersécurité : comment protéger un environnement Air-gapped 

Comme les infrastructures Air-gapped sont adoptées par les organisations qui traitent des données sensibles voire très sensibles, il faut avoir en tête que les attaques potentielles peuvent être particulièrement sophistiquées. 

Aussi, dans un environnement totalement fermé, les mises à jour peuvent être plus complexes à effectuer (applicatifs du réseau et systèmes d'exploitation), et ces réseaux peuvent alors devenir vulnérables et donc plus facile à exploiter pour un attaquant. 

En outre, pour ces mises à jour d’applicatifs ou de systèmes d’exploitation, même en environnement fermé, les utilisateurs peuvent être amené à utiliser des supports externes. Au cours de ces opérations critiques, par exemple, il faut redoubler de vigilance et prévoir les outils à la mesure des enjeux de sécurité : EDR pour détecter les fichiers et les comportements malveillants connus et inconnus, EPP pour réaliser des scans antivirus et des périphériques... 

En toute logique, un environnement Air-gapped doit être équipé d’une solution On-Premises afin de garder un contrôle total sur les données. Mais en pratique, quel est son fonctionnement ? Est-il possible de mettre à jour un EDR ou un EPP en environnement fermé pour assurer une protection optimale en continu, et comment ? 

La sécurisation des environnements Air-gapped avec HarfangLab On-Premises 

Des capacités et des fonctionnalités identiques au Cloud 

Même en environnement fermé, la qualité de la protection et les conditions de travail des analystes SOC est cruciale. Comment HarfangLab répond à ces enjeux ?  

• Les fonctionnalités et les moteurs de détection disponibles dans la version Cloud le sont aussi On-Premises : moteur par Signatures (YARA), comportemental (Sigma), IoC, IA, Ransomguard, EPP... ; 
• les moteurs intégrés dans les agents en consommant le minimum de ressources assurent une protection sans aucune connexion au Cloud pour répondre aux exigences des environnements Air-gapped ; 
• et la solution prévoit connecteurs et API avec 100% des fonctionnalités pour une intégration facile avec l’écosystème existant, sachant que les environnements Air-gapped incluent généralement des composants techniques spécifiques. 
   

Un support de proximité et des mises à jour régulières 

Notre mission est aussi de rendre le maintien en condition opérationnelles (MCO) et de sécurité (MCS) le plus simple possible grâce à :

• un support de proximité reconnu pour son expertise et sa réactivité,
• et des options de mise à jour du produit et des règles de détection pour s’adapter à tous les besoins, de manière totalement isolée pour répondre aux impératifs des environnements Air-gapped.  

Vous vous demandez comment gérer ces mises à jour en pratique ? C’est très simple. 
 
Le manager de l’EDR évolue régulièrement et les nouvelles versions sont mises à disposition des utilisateurs selon les procédés définis en vue de leur intégration dans la console.

Idem pour les règles de détection et les bases de signatures que nous téléchargeons et mettons à disposition des utilisateurs.  
Pour les environnements Air-gapped, les utilisateurs peuvent se connecter à notre MISP pour intégrer les mises à jour de la Threat Intelligence en toute autonomie, ou bien profiter des mises à jour du manager pour déployer en même temps les nouvelles règles de détection. Les mises à jour de règles de détection peuvent se faire depuis un appareil connecté à internet et transférées par clé USB pour être déposées sur la console. 

En résumé : déploiement, fonctionnalités, support, mises à jour, MCO et MCS... HarfangLab On-Premises offre le même niveau de sécurité et de simplicité que sa version Cloud, même pour les environnements Air-gapped ! 

Vous souhaitez en savoir plus sur notre offre On-Premises,  
et poser vos questions sur nos solutions pour les environnements Air-gapped ?