Le modèle de confiance zéro gagne du terrain avec les experts en sécurité

"Ne fais jamais confiance; vérifie toujours." Cela semble être du bon sens, non? C'est la devise d'une stratégie appelée Zero Trust, qui gagne du terrain dans le monde de la cybersécurité. Cela implique un service informatique qui vérifie tous les utilisateurs avant d'accorder des privilèges d'accès. La gestion efficace de l'accès aux comptes est plus importante que jamais: 58% des PME ont signalé des violations de données en 2017, selon le rapport d'enquête sur les atteintes à la sécurité des données publié par Verizon en 2018.

Le concept Zero Trust a été fondé par John Kindervag, ancien analyste chez Forrester Research et désormais CTO de terrain chez Palo Alto Networks. "Nous devons commencer à élaborer une véritable stratégie, et c'est ce que Zero Trust permet", a déclaré Kindervag le 30 octobre au Sommet SecurIT Zero Trust à New York. Il a ajouté que l'idée de Zero Trust était née lorsqu'il s'est assis et a vraiment pris en compte le concept de confiance, et comment ce sont les acteurs malveillants qui bénéficient généralement des entreprises qui font confiance à des parties qu'elles ne devraient pas.

Le Dr Chase Cunningham est devenu le successeur de Kindervag en tant qu’analyste principal chez Forrester, où il a défendu l’approche Zero Trust Access. "Zéro confiance est ce qui est impliqué dans ces deux mots: ne rien faire, ne faites pas confiance à la gestion des mots de passe, ne faites pas confiance aux informations d'identification, ne faites pas confiance aux utilisateurs et ne faites pas confiance au réseau", a déclaré Cunningham à PCMag lors de l'événement Zero Trust. Sommet.

Kindervag a utilisé l'exemple des services secrets américains pour illustrer la manière dont une organisation devrait garder une trace de ce qu'elle doit protéger et qui doit y accéder. "Ils surveillent et mettent à jour en permanence ces contrôles afin de pouvoir contrôler à tout moment ce qui passe dans le micro périmètre", a déclaré Kindervag. "Il s'agit d'une méthode de protection absolue des dirigeants Zero Trust. Il s'agit du meilleur exemple visuel de ce que nous essayons de faire avec Zero Trust."

Leçons de confiance zéro tirées à l'OPM

L'ancien CIO du gouvernement fédéral américain est un parfait exemple de la manière dont Zero Trust peut aider les organisations bénéficiaires. Lors du sommet Zero Trust, M. Tony Scott, qui a occupé le poste de CIO aux États-Unis de 2015 à 2017, a décrit une grave violation de données survenue au bureau américain de gestion du personnel (OPM) en 2014. La violation était due à un espionnage étranger. des informations personnelles et des informations de sécurité ont été volées pour 22, 1 millions de personnes, ainsi que des données d’empreintes digitales de 5, 6 millions d’individus. Scott a décrit comment non seulement une combinaison de sécurité numérique et physique aurait été nécessaire pour parer à cette violation, mais également une application efficace de la politique Zero Trust.

Lorsque des personnes postulaient pour un emploi à l'OPM, elles remplissaient un questionnaire exhaustif du formulaire standard (SF) 86 et les données étaient gardées dans une grotte par des gardes armés et des tanks, a-t-il déclaré. "Si vous étiez une entité étrangère et que vous vouliez voler cette information, il vous faudrait percer cette caverne en Pennsylvanie et passer au-dessus des gardes armés. Ensuite, vous devrez partir avec des camions chargés de papier ou disposer d'une machine Xerox très rapide ou quelque chose du genre. ", A déclaré Scott.

"Il aurait été monumental d'essayer de s'échapper avec 21 millions de disques", a-t-il poursuivi. "Mais lentement, à mesure que l'automatisation est entrée dans le processus OPM, nous avons commencé à mettre ce contenu dans des fichiers informatiques sur des supports magnétiques, etc.". Cela facilitait grandement le vol. " Scott a expliqué que l'OPM n'avait pas trouvé le type équivalent de sécurité efficace que les gardes armés lorsque l'agence est passée au numérique. À la suite de l'attaque, le Congrès a publié un rapport appelant à une stratégie de confiance zéro pour protéger ces types de violations à l'avenir.

"Pour lutter contre les menaces persistantes et avancées qui cherchent à compromettre ou à exploiter les réseaux informatiques du gouvernement fédéral, les agences devraient adopter un modèle de« confiance zéro »en matière de sécurité de l'information et d'architecture informatique", a déclaré le rapport du Congrès. L'ancien représentant des États-Unis, Jason Chaffetz (Utah), alors président du comité de surveillance, a également écrit un article sur Zero Trust à l'époque, publié à l'origine par Federal News Radio. "Le Bureau de la gestion et du budget (OMB) devrait élaborer des lignes directrices à l'intention des directions exécutives et des responsables d'agences afin de mettre en œuvre efficacement Zero Trust, ainsi que des mesures permettant de visualiser et de consigner tout le trafic réseau", a écrit Chaffetz.

Zéro confiance dans le monde réel

Dans un exemple concret d'implémentation Zero Trust, Google a déployé en interne une initiative appelée BeyondCorp destinée à déplacer les contrôles d'accès du périmètre du réseau vers des périphériques et des utilisateurs individuels. Les administrateurs peuvent utiliser BeyondCorp pour créer des stratégies de contrôle d'accès granulaires pour Google Cloud Platform et Google G Suite, en fonction de l'adresse IP, du statut de sécurité du périphérique et de l'identité de l'utilisateur. Une société appelée Luminate fournit une sécurité zéro confiance en tant que service basé sur BeyondCorp. Luminate Secure Access Cloud authentifie les utilisateurs, valide les périphériques et offre un moteur fournissant un score de risque autorisant l'accès aux applications.

"Notre objectif est de fournir en toute sécurité un accès à n'importe quel utilisateur, de n'importe quel appareil, à n'importe quelle ressource de l'entreprise, où qu'il soit hébergé, dans le cloud ou sur site, sans déployer d'agent sur le terminal ni d'appareils tels que des réseaux privés virtuels (VPN), des pare-feux ou des serveurs mandataires sur le site de destination ", a déclaré Michael Dubinsky, responsable de la gestion des produits chez Luminate, à la conférence HIP 2018 (HIP2018) de Hybrid Identity Protection (HIP2018).

La gestion de l’identité est une discipline informatique clé dans laquelle Zero Trust gagne rapidement en popularité. Cela est probablement dû au fait que 80% des violations sont causées par une utilisation abusive d'informations d'identification privilégiées, selon le rapport "Forrester Wave: Gestion des identités privilégiées, T3 2016". Les systèmes qui contrôlent l'accès autorisé à un degré plus granulaire peuvent aider à prévenir ces incidents.

L'espace de gestion des identités n'est pas nouveau et il existe une longue liste de sociétés proposant de telles solutions, la plus répandue étant probablement Microsoft et sa plate-forme Active Directory (AD), intégrée au système d'exploitation Windows Server encore populaire (OS). Cependant, de nombreux nouveaux joueurs peuvent non seulement offrir plus de fonctionnalités que AD, mais aussi faciliter la mise en œuvre et la maintenance de la gestion des identités. Ces sociétés incluent des acteurs tels que Centrify, Idaptive, Okta et SailPoint Technologies.

Et même si ceux qui ont déjà investi dans Windows Server risquent de payer davantage pour une technologie dans laquelle ils se sentent déjà investis, une architecture de gestion des identités plus profonde et mieux maintenue peut générer de gros bénéfices en ce qui concerne les violations contrariées et les audits de conformité. De plus, le coût n'est pas prohibitif, même s'il peut être important. Par exemple, Centrify Infrastructure Services commence à 22 dollars par mois et par système.

Comment fonctionne Zero Trust

"Zero Trust définit notamment la segmentation du réseau", a déclaré Kindervag. La segmentation est un concept clé à la fois en gestion de réseau et en cybersécurité. Cela implique de diviser un réseau informatique en sous-réseaux, de manière logique ou physique, afin d'améliorer les performances et la sécurité.

Une architecture Zero Trust dépasse le modèle de périmètre, qui englobe l'emplacement physique d'un réseau. Cela implique "de repousser le périmètre vers l'entité", a déclaré Cunningham.

"L'entité pourrait être un serveur, un utilisateur, un appareil ou un point d'accès", a-t-il déclaré. "Vous poussez les commandes au niveau micro plutôt que de penser que vous avez construit un mur très haut et que vous êtes en sécurité." Cunningham a décrit un pare-feu comme faisant partie d'un périmètre typique. "C'est un problème d'approche, de stratégie et de périmètre", a-t-il noté. "Les hauts murs et le gros problème: ils ne fonctionnent tout simplement pas."

Pour accéder à un réseau, un ancien aspect de la sécurité utilisait des routeurs, selon Danny Kibel, le nouveau PDG d’Idaptive, une société de gestion d’identité créée par Centrify. Avant Zero Trust, les entreprises vérifiaient, puis faisaient confiance. Mais avec Zero Trust, vous "vérifiez toujours, ne faites jamais confiance", a expliqué Kibel.

Idaptive propose une plate-forme Next-Gen Access comprenant la connexion unique (SSO), l'authentification multifactorielle adaptative (MFA) et la gestion des périphériques mobiles (MDM). Des services tels que Idaptive fournissent un moyen de créer les contrôles nécessairement granulaires sur l'accès. Vous pouvez provisionner ou désallouer en fonction des personnes qui ont besoin d'accéder à diverses applications. "Cela donne à l'organisation une capacité aussi fine de contrôler son accès", a déclaré Kibel. "Et c'est extrêmement important pour les organisations que nous voyons car il y a beaucoup d'étalement en termes d'accès non autorisé."

Kibel a défini l'approche de Zero Trust par Idaptive en trois étapes: vérification de l'utilisateur, vérification de son périphérique, puis autorisation de l'accès aux applications et services uniquement pour cet utilisateur. "Nous disposons de plusieurs vecteurs pour évaluer le comportement de l'utilisateur: emplacement, géo-vitesse, heure du jour, heure de la semaine, quel type d'application vous utilisez et même, dans certains cas, comment vous utilisez cette application", a déclaré Kibel.. Idaptive surveille les tentatives de connexion réussies et infructueuses afin de déterminer quand il faut redéfinir l'authentification ou bloquer un utilisateur.

Le 30 octobre, Centrify a introduit une approche de cybersécurité appelée privilège de confiance zéro dans laquelle les entreprises accordent l'accès le moins privilégié nécessaire et vérifient qui le demande. Les quatre étapes du processus Zero Trust Privilege incluent la vérification de l'utilisateur, l'analyse du contexte de la demande, la sécurisation de l'environnement d'administration et l'octroi du moins de privilèges nécessaires. L'approche Zrif Trust Privilege de Centrify implique une approche progressive de la réduction des risques. Il offre également une transition de la technologie héritée Privileged Access Management (PAM), un logiciel qui permet aux entreprises de limiter l’accès à de nouveaux types d’environnements tels que les plates-formes de stockage en nuage, les projets Big Data et même les projets avancés de développement d’applications personnalisées exécutés dans des environnements Web installations d'hébergement.

Un modèle de confiance zéro suppose que les pirates informatiques ont déjà accès à un réseau, a déclaré Tim Steinkopf, président de Centrify. Une stratégie pour lutter contre cette menace serait de limiter les mouvements latéraux et d'appliquer l'AMF partout, selon Steinkopf. "Chaque fois que quelqu'un tente d'accéder à un environnement privilégié, vous devez disposer immédiatement des bonnes informations d'identification et du bon accès", a déclaré Steinkopf à PCMag. "La manière de faire respecter cela consiste à consolider les identités, et ensuite vous avez besoin du contexte de la demande, c'est-à-dire qui, quoi, quand, pourquoi et où." Après cela, vous n'accordez que la quantité d'accès nécessaire, a déclaré Steinkopf.

"Vous prenez le contexte de l'utilisateur, auquel cas il pourrait s'agir d'un médecin, d'une infirmière ou d'une autre personne essayant d'accéder aux données", a déclaré Dubinsky. "Vous prenez le contexte du périphérique à partir duquel ils travaillent, vous prenez le contexte du fichier auquel ils tentent d'accéder, puis vous devez prendre une décision d'accès en fonction de cela."

MFA, Zéro Confiance et Meilleures Pratiques

L'authentification forte est l'un des aspects clés d'un modèle Zero Trust. Il est essentiel de permettre plusieurs facteurs d'authentification, a déclaré Hed Kovetz, PDG et cofondateur de Silverfort, qui propose des solutions MFA. En raison du manque de périmètres à l'ère du cloud, le besoin d'authentification est plus important que jamais. "La capacité de faire de l'AMF de n'importe quoi est presque une exigence de base de Zero Trust, et c'est impossible à faire aujourd'hui parce que Zero Trust vient de l'idée qu'il n'y a plus de périmètres", a déclaré Kovetz à PCMag lors de HIP2018. "Donc, tout est connecté à n'importe quoi, et dans cette réalité, vous n'avez pas de passerelle sur laquelle vous pouvez appliquer un contrôle."

Cunningham de Forrester a défini une stratégie appelée Zero Trust eXtended (XTX) pour mapper les décisions d'achat de technologies à une stratégie Zero Trust. "Nous avons vraiment examiné les sept éléments de contrôle dont vous avez besoin pour gérer un environnement en toute sécurité", a déclaré Cunningham. Les sept piliers sont l'automatisation et l'orchestration, la visibilité et l'analyse, les charges de travail, les personnes, les données, les réseaux et les périphériques. Pour être une plate-forme ZTX, un système ou une technologie aurait trois de ces piliers ainsi que des capacités d'interface de programmation d'application (API). Plusieurs fournisseurs proposant des solutions de sécurité s’inscrivent dans différents piliers du cadre. Centrify propose des produits qui traitent de la sécurité des personnes et des périphériques, Palo Alto Networks et Cisco proposent des solutions réseau et les solutions IBM Security Guardium se concentrent sur la protection des données, a ajouté Cunningham.

Un modèle de confiance zéro devrait également impliquer des tunnels cryptés, un nuage de trafic et un cryptage basé sur des certificats, a déclaré Steinkopf. Si vous envoyez des données depuis un iPad via Internet, vous voulez vérifier que le destinataire a le droit d'y accéder, a-t-il expliqué. La mise en œuvre de tendances technologiques émergentes telles que les conteneurs et DevOps peut aider à lutter contre les abus liés aux identifiants privilégiés, selon Steinkopf. Il a également décrit l'informatique en nuage comme étant à la pointe d'une stratégie de confiance zéro.

Dubinsky de Luminate est d'accord. Pour les PME, le recours à une société de cloud fournissant la gestion des identités ou MFA en tant que service délègue ces responsabilités en matière de sécurité aux sociétés spécialisées dans ce domaine. "Vous voulez décharger autant que possible les entreprises et les personnes qui en sont responsables", a déclaré Dubinsky.

Le potentiel du cadre de confiance zéro

Bien que les experts aient reconnu que les entreprises se tournaient vers un modèle Zero Trust, notamment en matière de gestion des identités, certaines personnes ne voient pas la nécessité de modifier radicalement l'infrastructure de sécurité pour adopter Zero Trust. "Je ne suis pas sûr que ce soit une stratégie que je souhaiterais adopter à n'importe quel niveau aujourd'hui", a déclaré Sean Pike, vice-président du programme du groupe Produits de sécurité d'IDC. "Je ne suis pas convaincu que le calcul du retour sur investissement existe dans un laps de temps logique. Il existe un certain nombre de changements architecturaux et de problèmes de personnel qui, à mon avis, rendent le coût prohibitif en tant que stratégie."

Cependant, Pike voit un potentiel pour Zero Trust dans les télécommunications et l'IDM. "Je pense qu'il existe des composants qui peuvent être facilement adoptés aujourd'hui et qui ne nécessiteront pas de changements d'architecture en gros, comme l'identité, par exemple", a déclaré Pike. "Bien qu'ils soient associés, je suis convaincu que l'adoption ne constitue pas nécessairement une avancée stratégique vers Zero Trust, mais plutôt une approche visant à traiter les nouveaux modes de connexion des utilisateurs et la nécessité de s'éloigner des systèmes basés sur des mots de passe et d'améliorer la gestion des accès", a déclaré Pike. expliqué.

Bien que Zero Trust puisse être interprété comme un peu un concept marketing qui répète certains des principes standard de la cybersécurité, tels que ne pas faire confiance aux participants de votre réseau et nécessiter de vérifier les utilisateurs, cela ne sert à rien comme plan de match, selon des experts. "Je suis un grand partisan de Zero Trust, qui souhaite adopter ce type de mantra stratégique et singulier et le défendre au sein de l'organisation", a déclaré Cunningham, de Forrester.

Les idées Zero Trust introduites par Forrester en 2010 ne sont pas nouvelles dans le secteur de la cybersécurité, a déclaré John Pescatore, directeur des tendances émergentes en matière de sécurité au SANS Institute, une organisation qui fournit une formation et une certification en matière de sécurité. "C'est à peu près la définition standard de la cybersécurité: essayez de tout sécuriser, segmentez votre réseau et gérez les privilèges des utilisateurs", a-t-il déclaré.

Pescatore a noté que, vers 2004, une organisation de sécurité aujourd'hui disparue, le Jericho Forum, avait présenté des idées similaires à celles de Forrester concernant la "sécurité sans périmètre" et avait recommandé d'autoriser uniquement les connexions de confiance. "C’est un peu comme dire: 'Déplacez-vous dans un endroit où il n’ya pas de criminels ni de climat parfait, et vous n’avez pas besoin d’un toit ou de portes dans votre maison, '" a déclaré Pescatore. "Zero Trust a au moins été ramené dans le sens commun de la segmentation - vous segmentez toujours depuis Internet avec un périmètre."

• Au-delà du périmètre: Comment s’adresser à la sécurité en couches Au-delà du périmètre: Comment s’adresser à la sécurité en couches
• NYC Venture cherche à créer des emplois et à innover dans la cybersécurité NYC Venture cherche à créer des emplois et à innover dans le domaine de la cybersécurité
• Comment se préparer à votre prochaine atteinte à la sécurité Comment se préparer à votre prochaine atteinte à la sécurité

En guise d'alternative au modèle Zero Trust, Pescatore a recommandé de suivre les contrôles de sécurité critiques du Center for Internet Security. En fin de compte, Zero Trust peut certainement apporter des avantages malgré le battage publicitaire. Mais, comme l'a souligné Pescatore, que ce soit appelé Zero Trust ou autre chose, ce type de stratégie nécessite toujours des contrôles de base.

"Cela ne change rien au fait que pour protéger l'entreprise, vous devez développer des processus et des contrôles d'hygiène de sécurité de base, ainsi que du personnel qualifié pour assurer leur fonctionnement efficace", a déclaré Pescatore. C'est plus qu'un investissement financier pour la plupart des organisations, et c'est l'une des entreprises sur laquelle il faudra se concentrer pour réussir.