Tester en permanence l'efficacité de vos contrôles de confiance zéro
Lorsque nous entendons les praticiens de la sécurité, les fournisseurs et leurs clients parler du cadre Zero Trust, nous voyons beaucoup d'amour pour cinq des piliers fondamentaux : Les appareils, les données, les charges de travail, le réseau et les personnes - autant d'"actifs" très tangibles qui doivent être protégés et pour lesquels il existe une grande variété de capacités permettant d'assurer cette protection.
La ceinture et les bretelles de Zero Trust
Une stratégie holistique de confiance zéro doit prendre en compte et couvrir chacun de ces cinq piliers. Mais votre stratégie n'est pas complète, et pourrait même ne pas décoller, si vous n'avez pas d'histoire autour de l'automatisation & Orchestration et visibilité & Analyse - ce sont au sens figuré (et au sens propre si vous regardez le diagramme ci-dessus !) la "ceinture et les bretelles" qui maintiennent ensemble les 5 piliers de la confiance zéro. Malheureusement, ils ont souvent tendance à être les plus négligés dans les parcours de confiance zéro dans le monde réel.
Pourquoi ? L'automatisation et la visibilité peuvent être les domaines les plus coûteux et les plus complexes pour les fournisseurs dans leurs offres de sécurité et les clients manquent souvent d'expertise pour automatiser ou analyser correctement.
Vous ne pouvez pas segmenter ce que vous ne pouvez pas voir
Chez Illumio, nous considérons ces deux domaines (automatisation et visibilité) comme des piliers fondamentaux à part entière plutôt que comme une réflexion après coup. Le parcours que nous avons le privilège d'aider nos clients à réaliser leurs objectifs de micro-segmentation commence par la "visibilité et l'analyse"." Nous établissons une carte détaillée des dépendances applicatives, en exploitant la télémétrie des charges de travail et les métadonnées d'une CMDB, afin de fournir des rapports de trafic exploitables à partir desquels les clients peuvent commencer à élaborer leurs politiques de segmentation afin d'établir des micro-périmètres autour de leurs applications. Dans ce cas, la visibilité n'est pas la cerise sur le gâteau. C'est le gâteau.
Aucun fournisseur ne peut à lui seul "Zero Trust-ifier"" vous
Conscients du fait que toutes les entreprises, même les plus simples en apparence, sont des organismes complexes dotés d'un ensemble de technologies tout aussi complexe et diversifié, nous avons dès le départ fait de l'"automatisation et de l'orchestration" un élément essentiel et indispensable de notre produit. Notre produit est conçu pour être intégré dans d'autres systèmes et accessible par programmation grâce à nos API ouvertes et documentées. En fait, l'interface utilisateur du produit est un habillage de nos API REST. Nous irions même jusqu'à dire qu'il n'y a pas de confiance zéro sans automatisation et orchestration.
Comment savoir si ce produit est efficace ?
Notre parcours client type suit les étapes suivantes :
- Obtenir des données télémétriques et des métadonnées pour construire une carte
- Utilisez la carte pour élaborer une politique de micro-segmentation
- Tester la politique avant de l'appliquer
- Appliquer la politique
Et grâce à la surveillance permanente, nous savons quand il y a violation d'une politique définie, et les utilisateurs peuvent prendre les mesures correctives nécessaires.
Quel est donc l'intérêt de tout cela ? Il est extrêmement utile de pouvoir comprendre le fonctionnement d'un contrôle spécifique de la confiance zéro (par exemple, les correspondances/violations de la politique de micro-segmentation), mais qu'en est-il de l'efficacité du contrôle dans le contexte plus large de la stratégie globale de confiance zéro d'une organisation ?
À l'heure où "assume les violations," en cas d'incident de sécurité, à quelle vitesse votre organisation peut-elle répondre aux questions"quoi", "quand", "qui", "comment " et "pourquoi " ? Et surtout, quels sont les systèmes de votre arsenal actuel qui peuvent fonctionner à l'unisson pour vous aider à obtenir les réponses à ces questions de manière automatique et précise ?
MITRE Je prends un moment pour m'écarter du sujet ?
Faisons une petite parenthèse et parlons un instant du cadre MITRE ATT& CK.
Le cadre MITRE ATT&CK décrit les tactiques, techniques et procédures adverses (TTP) que les acteurs malveillants utilisent pour monter une attaque - par exemple une attaque basée sur une menace persistante avancée (APT) contre une cible. En utilisant ces informations et les connaissances communes partagées sur le comportement des attaquants lorsqu'ils exploitent ces TTP, une organisation peut développer des stratégies défensives pour limiter (et idéalement prévenir) l'impact négatif de ces activités malveillantes. En outre, le cadre part d'une position de supposition de violation et est donc entièrement axé sur la défense post-compromission - "supposez que vous serez victime d'une violation, alors concentrez-vous sur les moyens à mettre en œuvre pour qu'il soit vraiment difficile d'être victime d'une violation". Du point de vue de l'équipe bleue, le cadre ATT&CK, qui met l'accent sur l'accès à un maximum de données d'événements provenant de sources pertinentes, renseigne sur le processus par lequel ces données peuvent être agrégées et corrélées pour identifier correctement les comportements malveillants et, à leur tour, conduire les réponses nécessaires. L' article de blog ATT& CK 101 de MITRE est un excellent point de départ pour tout ce qui concerne ATT&CK.
Mesurer l'efficacité de la micro-segmentation
Lors des récents travaux sur le test de l'efficacité de la micro-segmentation, les spécialistes de l'équipe rouge Bishop Fox ont commencé par mettre en correspondance les parties pertinentes du cadre MITRE ATT&CK avec les techniques qu'ils chercheraient à utiliser dans leur tentative de "capturer les drapeaux".

Cette identification des techniques adverses leur a ensuite permis de déterminer l'efficacité de la plateforme de sécurité adaptative d'Illumio pour aider à détecter et à vaincre ces attaques. MITRE a publié un excellent article sur la manière dont le cadre ATT&CK peut être utilisé pour détecter efficacement les cybermenaces.
Ainsi, avec un ensemble d'outils de sécurité qui offre une visibilité de haute fidélité, un accès complet via son API et un cadre de modélisation tel que MITRE ATT&CK, les organisations sont en mesure de construire des outils qui peuvent surveiller les contrôles Zero Trust, analyser la télémétrie et répondre automatiquement pour prendre les mesures appropriées. Mais comment contrôler l'efficacité de cet outil ?
Intégrer les tests continus dans l'ADN de la confiance zéro
L'une des options consiste bien sûr à engager un spécialiste indépendant de l'équipe rouge pour jouer le rôle d'un attaquant, tandis que l'équipe bleue de l'organisation tire parti de ses analyses et de ses contrôles de sécurité soigneusement mis en place pour surveiller et réagir. Il s'agit d'un outil extrêmement précieux et recommandé périodiquement. Et s'il existait un moyen d'automatiser à la fois l'activité de l'équipe rouge et la réponse de l'équipe bleue ? Les organisations pourraient tester en permanence l'efficacité de leur modélisation et de leurs contrôles et adopter une approche d'amélioration constante. Et c'est exactement ce que des fournisseurs comme AttackIQ rendent aujourd'hui possible. Grâce à leur technologie, les clients peuvent à la fois valider l'efficacité d'un contrôle de sécurité spécifique et, ce qui est peut-être plus intéressant, déterminer comment leurs défenses s'opposent à des adversaires sophistiqués.
Chez Illumio, nous sommes ravis de nous associer à AttackIQ pour le lancement de leur programme Preactive Security Exchange, car nous comprenons que les clients doivent être en mesure de mesurer et de voir la valeur de leurs investissements Zero Trust. La plateforme de test hautement configurable, automatisée et reproductible fournie par AttackIQ fait de la mesure de l'efficacité des contrôles Zero Trust un objectif réalisable pour les organisations. Et comme nous le savons, une fois que vous pouvez mesurer quelque chose, vous pouvez commencer à l'améliorer.
Consultez notre page sur la sécurité zéro confiance pour en savoir plus sur la façon dont Illumio peut vous aider dans votre démarche zéro confiance.