Une note fédérale de l'OMB Zero Trust met les agences en garde avec des délais

En mai 2021, l'administration Biden a publié Décret exécutif 14028, Améliorer la cybersécurité du pays à la suite des attaques contre SolarWinds et Colonial Pipeline. L'ordonnance visait à accroître la cyberrésilience et à réduire les risques pour les agences gouvernementales. Il leur a demandé d'élaborer, en seulement 60 jours, un plan de mise en œuvre d'une architecture Zero Trust. Écrire en réponse à la commande, le directeur fédéral d'Illumio, Mark Sincevich, a noté que les agences avaient besoin d'une feuille de route opérationnelle pour créer et mettre en œuvre l'architecture dans les systèmes fédéraux.

C'est cette feuille de route Mémorandum M-22-09, sorti le 26 janvier^th du Bureau de la gestion et du budget (OMB), présente une directive stratégique fédérale sur l'architecture Zero Trust avec des délais fermes.

Il demande aux agences de soumettre à l'OMB et à la CISA un plan de mise en œuvre pour les exercices 22 et 24 dans les 60 jours suivant la publication de la note. La note décrit clairement ce que les agences sont censées réaliser sur le plan technique, ce qui doit être fait dans les délais et la planification budgétaire requise. Certains jalons ont une durée de 12 mois, d'autres 24 mois. La note fournit des indications essentielles sur la position que les agences devraient atteindre en termes de Zero Trust d'ici la fin de l'exercice 2024.

Le mémo offre un point de vue direct entre ce que l'OMB attend des agences et ce qu'une plateforme ou une solution peut apporter. Il n'est pas nécessaire de faire un saut de foi entre une exigence mal définie et ce qu'un fournisseur peut proposer.

Les exigences du mémo sont ambitieuses. Mais les agences ont près de trois ans pour mettre en œuvre leur approche Zero Trust, et j'imagine que d'ici décembre 2024, la majorité d'entre elles auront atteint un pourcentage important de ce qui est requis ou disposeront d'un plan définitif pour y parvenir. Cependant, la note ne précise pas comment les progrès seront mesurés et le succès évalué. La définition et le suivi de ces indicateurs seront essentiels pour favoriser l'adoption.

Les cinq piliers Zero Trust de la CISA

Les objectifs stratégiques décrits dans le mémorandum s'alignent sur le modèle de maturité Zero Trust de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), qui repose sur cinq piliers :

1. Identité
2. Appareils
3. Réseaux
4. Applications et charges de travail
5. Données

Comme Mark l'a noté sur son blog, il n'existe aucune technologie que les agences peuvent mettre en œuvre pour atteindre Zero Trust. Mais Illumio peut contribuer et soutenir directement bon nombre des objectifs abordés dans le mémorandum. Par exemple, dans le cadre du pilier de l'identité, le gouvernement fédéral devrait disposer « d'un inventaire complet de tous les appareils qui fonctionnent dans le cadre d'une utilisation autorisée par le gouvernement et qui peuvent prévenir et détecter les incidents sur ces appareils et y répondre ».

Illumio peut renforcer les capacités de détection et de réponse (EDR) des terminaux d'une agence en fournissant une visibilité complète et contextuelle permettant de comprendre les risques et les relations entre les appareils. Les outils EDR peuvent vous indiquer ce qui se passe sur un appareil individuel. Grâce aux fonctionnalités de cartographie d'Illumio, vous pouvez voir les interactions et les relations entre les appareils et avoir une idée plus claire de ce qui doit être autorisé et de ce qui ne doit pas être autorisé.

Et, bien entendu, certains systèmes tels que les ordinateurs centraux ne sont pas compatibles avec les outils EDR car ces outils sont conçus pour être installés sur un système d'exploitation. Mais Illumio peut ingérer des données de flux provenant de ces systèmes et les représenter, ainsi que leurs interactions, sur la même carte de dépendance. Et cette carte de dépendance détaillée en temps réel constitue une première étape essentielle vers la segmentation Zero Trust.

Protection des réseaux et des charges de travail applicatives

La phrase clé du mémorandum concernant les réseaux affirme que « les agences doivent abandonner la pratique consistant à maintenir un vaste réseau à l'échelle de l'entreprise qui permet une visibilité accrue ou un accès à de nombreuses applications et fonctions d'entreprise distinctes ». L'objectif général de la section réseau est de décomposer les périmètres du réseau en environnements isolés. Donc, en d'autres termes : implémentez la segmentation.

En termes de charge de travail, le mémorandum demande aux agences de rendre « les applications accessibles à Internet de manière sécurisée, sans recourir à un réseau privé virtuel (VPN) ou à un autre tunnel réseau ». Ils doivent identifier au moins une application modérée de la Loi fédérale sur la gestion de la sécurité de l'information (FISMA) orientée vers l'interne et la rendre pleinement opérationnelle et accessible sur l'Internet public.

Dans l'ensemble, voici le message : vous ne pouvez pas partir du principe que vous pouvez faire confiance à quoi que ce soit sur votre réseau, et vous devez protéger chaque application comme si tout ce qui l'entoure n'était pas fiable. Adoptez plutôt une mentalité de violation dans laquelle n'importe quelle ressource de votre réseau pourrait être compromise par un acteur malveillant. Que pouvez-vous faire pour qu'il leur soit vraiment difficile d'atteindre leurs objectifs ?

Et c'est exactement là qu'Illumio et Zero Trust Segmentation entrent en jeu. La segmentation Zero Trust, qui inclut la microsegmentation basée sur l'hôte, est fondamentale pour Architecture Zero Trust dans le but de contrôler avec précision mouvement latéral sur l'ensemble du réseau.

L'adoption d'une approche de la sécurité des bâtiments basée sur l'hôte permet un contrôle granulaire au niveau du application et charge de travail niveau exigé par le mémo, ce qu'une approche de segmentation basée sur le réseau n'est pas en mesure de fournir de manière directe. La technologie Zero Trust Segmentation d'Illumio aide directement les agences à répondre aux exigences de protection des applications et des charges de travail énoncées dans le mémo.

Rendre les applications internes accessibles en toute sécurité depuis Internet

Lorsque vous rendez une application qui est généralement interne accessible en toute sécurité depuis Internet, cela signifie que toute personne ayant réussi à s'authentifier pourra y accéder directement sur votre réseau interne. Mais si cette application est compromise, cela ne devrait pas signifier que l'ensemble de votre organisation est compromise. Vous devez adopter une micro-segmentation autour de cette application afin de limiter l'impact d'une violation. Essentiellement, chaque application a besoin d'un « micro-périmètre », une « enclave » Zero Trust. Illumio peut jouer un rôle clé pour rendre cela possible.

Visibilité et surveillance basées sur les risques

Bien entendu, la visibilité et la surveillance sont des éléments essentiels de toute stratégie de sécurité Zero Trust. ceux d'Illumio carte des dépendances des applications vous permet d'observer les flux de trafic entre les applications et les charges de travail dans les centres de données et les plateformes cloud en temps réel, ce qui vous permet de comprendre les dépendances et la connectivité afin de pouvoir segmenter de manière appropriée.

Illumio rassemble de nombreuses informations utiles que les plateformes de surveillance peuvent exploiter sans les frais généraux (et les risques souvent sous-estimés) liés à l'inspection du réseau. Par exemple, Illumio superpose les données de vulnérabilité de tiers à la carte des dépendances des applications pour une approche basée sur les risques permettant de prioriser les décisions en matière de sécurité et de correctifs, ce qui, si vous examinez le modèle de maturité Zero Trust de la CISA, dépend en grande partie de ce que vous faites en premier.

L'intégration des données issues des flux de vulnérabilités et de menaces permet une visibilité basée sur les risques. Illumio ingère les données d'analyse des vulnérabilités de votre scanner préféré dans notre Policy Compute Engine (PCE). Cela fournit des métadonnées de vulnérabilité sur chaque charge de travail que vous pouvez superposer avec une vue de la connectivité de la charge de travail. Vous obtenez ainsi une exposition quantitative ou un score de risque, ce qui vous permet de comprendre facilement le niveau de risque généré par les vulnérabilités et les applications qui se connectent à des ports vulnérables.

En général, un analyseur de vulnérabilités ne sait pas à quel point une charge de travail est exposée. Mais c'est exactement ce que propose Illumio. Les deux forment une puissante combinaison. Prenons un exemple.

Le Vulnérabilité Log4j a permis aux pirates informatiques de prendre le contrôle de millions de serveurs, de les arrêter ou de les forcer à diffuser des logiciels malveillants en raison d'un code défectueux largement utilisé. Log4j a obtenu un score CVSS (Common Vulnerability Scoring System) de 10.

Mais imaginons que vous n'ayez qu'une seule charge de travail exécutant Log4j et qu'elle soit enfouie au plus profond de votre centre de données avec peu de connexions aux autres charges de travail. Par ailleurs, une autre vulnérabilité avec un score de 5 réside dans 10 serveurs hautement connectés.

Maintenant, si vous examinez simplement les données de votre scanner de vulnérabilités, vous pourriez conclure que vous feriez mieux de patcher immédiatement le serveur Log4j. Mais si vous considérez votre exposition réelle, vous vous rendez compte que ces 10 serveurs présentant la vulnérabilité 5, qui sont densément connectés, sont les plus exposés et devraient être corrigés en premier lieu.

C'est ce que la visibilité basée sur les risques d'Illumio vous permet de voir. La gestion des vulnérabilités manque souvent de priorités, et Illumio aide à hiérarchiser les vulnérabilités les plus exposées et les plus susceptibles d'être exploitées en premier.

Mettre en place un plan de segmentation Zero Trust avec Illumio

Alors, réfléchissez à cela en fonction des exigences du mémo de l'OMB. Dans 60 jours (fin mars), les agences devront disposer d'un plan de mise en œuvre de l'architecture Zero Trust détaillant la manière dont elles atteindront les objectifs du mémo. Cela inclut la manière dont ils budgétiseront les objectifs du plan qui doivent être achevés d'ici la fin de l'exercice 2024 et ceux qui doivent être achevés au cours des exercices 2022 et 2023, une tâche ardue d'autant plus ardue en raison des contraintes de temps. Le meilleur moyen est de commencer modestement et de s'étendre sur trois ans.

Une grande partie du plan de 60 jours doit montrer comment votre agence peut arrêter le mouvement latéral d'un adversaire. Cela devrait figurer en haut de la liste des priorités. Avant de déployer la segmentation Zero Trust, vous avez besoin d'une carte de dépendance des applications et des charges de travail en temps réel.

Vous devez voir ce que vous voulez segmenter. La visibilité est donc essentielle, tout comme verrouillage des ports inutilement ouverts. Vous pouvez y parvenir avec ce qu'Illumio appelle un « commutateur de confinement », qui est en fait un micro-segment autour d'un port particulier. Illumio peut ingérer des données de vulnérabilité pour hiérarchiser les ports les plus risqués, ce qui réduit le vecteur d'attaque. Votre agence peut également proposer un plan visant à microsegmenter les actifs de grande valeur (HVA) tels que les applications critiques ou les charges de travail.

Voici à quoi pourrait ressembler un déploiement sur trois ans :

• EXERCICE FISCAL 22 : Bénéficiez d'une visibilité sur le réseau, déployez des commutateurs de confinement avec des cartes de vulnérabilité, microsegmentez les HVA et intégrez-les à votre SIEM
• EXERCICE FISCAL 23 : Élargir les efforts de segmentation pour inclure de plus grands domaines de l'agence (par exemple, séparer la production du développement), poursuivre l'intégration au SIEM, ajouter Limites d'application, et étendez-la aux réseaux classifiés
• EXERCICE FISCAL 24 : Terminez le déploiement de la microsegmentation pour les réseaux non classifiés/classifiés, poursuivez l'application spécifique à l'application et intégrez-la dans les nouvelles versions de serveurs

La segmentation Illumio Zero Trust peut permettre chacun de ces résultats. Et certaines parties d'une agence peuvent se trouver simultanément à différents endroits lors du déploiement sur une période de trois ans. Illumio est flexible et, comme il est découplé de l'architecture réseau, il peut s'adapter à un nombre illimité de charges de travail sous gestion.

Illumio arrête le mouvement latéral des malwares et des cyberattaques afin que votre agence puisse accomplir sa mission plus efficacement. Pour plus d'informations :

• Contactez-nous pour discutez avec nos experts fédéraux Zero Trust.
• Visitez notre page des solutions fédérales pour en savoir plus sur la manière dont Illumio aide les agences et les commandes à créer une architecture Zero Trust avec une visibilité basée sur les risques et une segmentation Zero Trust.