Comment l'IA et l'apprentissage automatique peuvent accélérer la segmentation Zero Trust

L'une des manières de considérer le Zero Trust est de le considérer comme une stratégie qui transforme votre confiance implicite excessive et risquée en un modèle de confiance explicite moins risqué.

Cet état de confiance implicite s'explique de manière classique par le fait qu'un pare-feu est le point de démarcation entre un réseau sécurisé (à l'intérieur du pare-feu) et un réseau non fiable (à l'extérieur du pare-feu). Le rôle du pare-feu est de maintenir les acteurs malveillants du côté non fiable de cette frontière.

Mais cette approche standard permet d'obtenir un intérieur « doux et moelleux » derrière le pare-feu car tout ce qui se trouve dans cette zone de confiance est implicitement approuvé. ‍

Les risques de la confiance implicite

Il s'agit d'un modèle de sécurité très simple, et c'est ainsi que nous le faisons depuis des années, et c'est ainsi que de nombreuses personnes le font encore aujourd'hui. Mais une fois qu'un mauvais acteur est à l'intérieur, leur vie est facile avec ce modèle.

Il existe également des facteurs qui aggravent le risque. Par exemple, on peut imaginer qu'à mesure qu'une entreprise grandit, la zone de confiance s'agrandit. Cela signifie qu'il est plus probable que quelque chose d'indigne de confiance se trouve à l'intérieur.

Deuxièmement, indépendamment de l'échelle, au fur et à mesure que les choses se complexifient (comme elles tendent naturellement à le devenir avec le temps), la probabilité que quelque chose y pénètre augmente. L'ampleur et la complexité font donc que les risques associés à ce modèle de confiance implicite ne cessent de croître au fil du temps.

Les initiatives Zero Trust nécessitent de connaître l'identité de chaque système

Maintenant, quel est le défi de passer d'une confiance implicite à une confiance explicite (ou de passer à une Le parcours Zero Trust) ?

De toute évidence, une politique de segmentation que vous appliquez au serveur, aux terminaux et aux appareils est le moyen de réaliser cette transformation vers une confiance explicite. Mais avant de pouvoir disposer d'une politique de sécurité précise qui renforce suffisamment les contrôles pour réduire les risques sans pour autant être fragile au point de provoquer des pannes pour les applications, vous devez savoir ce que contient cet environnement. Il y a tout simplement des éléments sur votre réseau, et vous devez les connaître avant de pouvoir prendre des décisions en matière de segmentation et de contrôle d'accès.

La question à laquelle vous devez répondre est la suivante : quelle est l'identité de chaque système de votre réseau ?

Pendant longtemps, j'ai eu une définition limitée du mot identité car il était utilisé dans l'espace de gestion des identités et des accès (IAM). L'IAM est une technologie qui vise principalement à authentifier les utilisateurs afin de prouver qui ils prétendent être. La définition de l'identité dans ce contexte limitait ma compréhension car j'assimilais « nom d'utilisateur » et « secret » à une identité. Et pour être honnête, je suis vraiment contente d'avoir une perspective aussi limitée sur l'identité, c'est bien plus complexe que cela.

Par exemple, dans le monde non technologique, mon identité n'est pas simplement mon nom. Mon nom est un label qui sert à me référencer, mais je suis également directeur technique, employé d'Illumio, père, frère, mari et fils. J'ai grandi dans l'Ohio, je vis en Californie et j'aime le whisky de seigle, la randonnée et la cuisine. Je cherche la vérité et je crois en l'importance de faire confiance aux autres, j'écoute, j'ai lancé un podcast sur les CTO et j'adore les logiciels et les startups.

Le fait est que mon identité est bien plus que mon nom : c'est un ensemble multidimensionnel d'attributs qui sont à la fois partagés avec de nombreuses autres personnes (certains peuvent se chevaucher avec vous, la personne qui lit ceci) et un ensemble de ces éléments décrivant mon identité unique.

Utilisation de l'intelligence artificielle et de l'apprentissage automatique pour l'identité

Tout comme les personnes, les systèmes informatiques ont une identité et un objectif. Les systèmes peuvent être de production ou hors production. Un système peut être un frontal ou un back-end, ou il peut s'agir d'un contrôleur CVC, d'une imprimante ou d'un tensiomètre. Les systèmes peuvent se trouver dans une aile de soins intensifs de l'hôpital ou au sous-sol. Les systèmes peuvent gérer des dizaines de milliards de dollars de transferts, ou ils peuvent gérer l'état du jeu en direct pour des milliers de joueurs Roblox.

Pour l'identification individuelle du système

Intelligence artificielle/apprentissage automatique (IA/ML) les solutions sont parfaitement adaptées à ce type de problème qui a une entrée multidimensionnelle et nécessite des valeurs de sortie multidimensionnelles qui constituent l'identité du système. Cela inclut à la fois le comportement des pairs d'un système (à qui ils parlent) et une inspection approfondie des paquets qui permet de voir exactement ce qui se passe au niveau de l'application (ce qu'ils disent).

Et tandis que certaines valeurs sont des valeurs binaires, comme prod par rapport à non-prod, d'autres valeurs, comme la valeur commerciale, sont des valeurs plus continues. Les techniques d'IA/ML peuvent fournir ces différents types et donner confiance dans les prédictions afin de fournir des suggestions concernant cet espace d'identité.

Illumio a utilisé pour la première fois le ML dans la solution Illumio Core dans ce domaine. La détection des services de base utilise à la fois l'heuristique et les techniques de machine learning, en tirant parti de fonctionnalités telles que les relations entre pairs. Cela améliore la productivité de l'opérateur du système de segmentation grâce à un flux de travail de recommandation pour ces services de base.

Pour l'identité du groupe d'applications

Et pour aller encore plus loin, l'identité ne se limite pas à un système individuel. Tout comme nous, les humains, sommes des individus, nous faisons également partie de groupes. J'ai une famille, et ma famille a une identité de groupe, un ensemble de caractéristiques communes qui rendent ce groupe unique. Cet ensemble de caractéristiques est différent de celui d'un autre groupe.

Cela vaut également pour les systèmes informatiques. Les serveurs peuvent être dorsaux ou frontaux, mais la somme d'un ensemble de serveurs individuels constitue une application. Et cette application dans son ensemble doit souvent être traitée comme une unité unique, tout comme un groupe d'individus dans une famille. Par exemple, les instances d'applications peuvent être très similaires si un système de production possède un système double dans l'environnement de test qui est souvent utilisé pour les tests. Il peut également être similaire à de nombreux égards en tant que groupe et doit être traité comme tel, même si les composants individuels sous-jacents sont totalement différents.

Lors de la mise en œuvre de la segmentation de leurs réseaux, les clients souhaitent souvent créer une clôture autour d'une application. Il est donc essentiel de connaître l'identité de l'application et de tous ses membres. Les algorithmes de clustering ML et d'autres approches sont utiles à cet égard.

Pour les changements d'identité du système au fil du temps

Le troisième aspect du problème est une question de temps : les identités ne restent pas fluides au niveau du système individuel ou au niveau du groupe.

Un problème classique est que les systèmes sont essentiels à certaines fonctions de l'entreprise le jour où ils sont créés, mais au fil du temps, les priorités changent, les gens partent, des choses se produisent, et le même système qui était essentiel n'est plus pertinent aujourd'hui. Au fur et à mesure que son objectif change, son identité change avec lui. Il n'est peut-être plus maintenu à jour avec les correctifs les plus récents, ce qui signifie qu'il est plus risqué et constitue une cible plus intéressante pour un attaquant qui souhaite s'implanter de manière persistante dans l'environnement (voir Sony Pictures Hack). Ou peut-être qu'elle remplissait une fonction critique pour l'entreprise, mais qu'une nouvelle génération d'applications attire de nouveaux clients et que le nombre d'utilisateurs de cette application diminue.

Les identités se transforment au fil du temps. Cependant, la politique de segmentation doit suivre ces changements. Les algorithmes ML/AI ne sont pas uniquement destinés à une analyse ponctuelle ; ils doivent être exécutés en permanence, comprendre l'évolution des environnements et formuler des recommandations pour synchroniser les politiques.

Les politiques de sécurité deviennent fragiles si elles ne sont pas adaptées lorsque l'identité et la finalité du système changent. Le fait de demander en permanence si vos politiques sont complètes et correctes, et de fournir des informations prédictives sur les endroits où des risques ou des fissures apparaîtront, aidera les opérateurs à assurer la sécurité.

La place de l'IA et du ML dans la segmentation Zero Trust

Donc, le point idéal pour l'IA et le ML dans Segmentation Zero Trust les systèmes doivent :

• Fournir des suggestions d'identité multidimensionnelle pour les systèmes
• Fournir un niveau supérieur de regroupement, d'appartenance et d'identité de groupe
• Suivez en permanence l'évolution de l'identité au fil du temps pour vérifier l'exhaustivité et l'exactitude d'une politique de segmentation Zero Trust

Les innovations en matière d'IA et de machine learning peuvent constituer de puissants outils pour les précieux agents de sécurité à qui nous confions chaque jour la tâche de sécuriser nos données critiques et de nous défendre contre les attaques. Laissez ces systèmes de segmentation alimentés par l'IA et le ML devenir un multiplicateur de force dans cette bataille sans fin.

Vous souhaitez en savoir plus sur Segmentation Zero Trust d'Illumio? Contactez-nous dès aujourd'hui.