Comment les agences fédérales peuvent créer un projet pilote Zero Trust
J'ai parlé à un chef de la Direction fédérale des opérations de sécurité d'une agence civile la semaine dernière. Zero Trust continue d'attirer son attention, en particulier au niveau du terminal. Il souhaite s'immerger dans les principes Zero Trust lorsque le jour inévitable viendra du bureau du CIO où il devra mettre en œuvre un Architecture Zero Trust. Il a également indiqué que son CIO subissait des pressions en matière de conformité sur les HVA (actifs de grande valeur) de l'agence. Même ce chef de succursale possède son propre sous-ensemble de HVA. Je suis sûr que cette pression est liée à leur volonté d'améliorer leur score global à la FISMA, puisqu'une partie du tableau de bord fait spécifiquement référence aux HVA.
Bien que Zero Trust suscite un véritable engouement au sein de cette agence, il peut être difficile de choisir un événement ou un cas d'utilisation clairement défini pour démarrer un projet. Cela me fait penser à quelqu'un qui voulait écrire un roman sans savoir par où ni comment commencer. S'il est toujours bon d'apprendre les principes de l'écriture, cela ne suffira jamais, tout comme il ne suffira jamais de connaître uniquement les principes de Zero Trust. C'est dans l'écriture elle-même que l'on commence à développer l'habitude et la cohérence de l'écriture. Si vous souhaitez écrire un roman, tenez un journal pour plus de cohérence et recherchez l'opportunité d'écrire des articles ou même des nouvelles pour développer vos compétences en écriture.
Si vous souhaitez implémenter Zero Trust dans votre organisation, commencez par déterminer les priorités de sécurité critiques et les fonctionnalités Zero Trust actuelles. Définissez à quoi ressemblerait l'état final Zero Trust que vous souhaitez atteindre. Lorsque vous avez un problème Zero Trust à portée limitée, que vous avez des objectifs et que le résultat souhaité est limité, il est plus facile de solliciter le soutien de vos principales parties prenantes.
C'est ce qu'affirme le NIST 800-207 lorsqu'il affirme que Zero Trust est un parcours, et que l'objectif devrait être de mettre en œuvre Zero Trust de manière progressive. Vous ne voulez pas être dépassé plus tard en essayant d'écrire ce roman sans une ou deux nouvelles à votre actif. Pourquoi attendre un événement externe irréfutable, tel qu'une faille de sécurité, un logiciel malveillant ou une attaque de type « jour zéro » ? Démarrez votre projet pilote Zero Trust dès aujourd'hui.
Afin de recommander un bon point de départ pour le projet pilote Zero Trust du directeur de la succursale de l'agence, je voulais en savoir plus sur ses HVA et sur l'importance d'améliorer la visibilité des HVA, de leurs composants et de leurs connexions légitimes. Voici quelques questions clés :
- Quelles applications sont considérées comme des systèmes HVA ?
- Quels sont les composants d'application de ces systèmes HVA ?
- À quoi ressemblent le niveau applicatif, le réseau et l'infrastructure informatique ?
- Utilisez-vous des applications conteneurisées ?
- Quelles sont les connexions légitimes entre les applications et les charges de travail et le HVA ?
- Quelles sont les connexions légitimes des utilisateurs finaux et des terminaux au HVA ?
La visibilité et des données précises sur les composants et les connexions aux systèmes HVA sont essentielles. Les réponses à ces questions aideront à répondre à la question « par où commencer ? »
Une fois qu'ils ont restreint les applications HVA, l'étape suivante consiste à évaluer les fonctionnalités Zero Trust existantes.
L'approche actuelle de l'agence en matière de sécurisation de ses systèmes HVA révèle ses angles morts et indique des opportunités pour activer Zero Trust.
En raison de la transition rapide vers le télétravail, il était également important de comprendre l'évolution de leur posture de sécurité HVA.
J'ai demandé au chef de la succursale de m'en dire plus sur ses terminaux. La succursale met actuellement en œuvre Carbon Black EDR pour la détection des menaces. Comme vous le savez peut-être, Carbon Black enregistre et stocke en permanence les données des terminaux afin que opérations de sécurité les professionnels peuvent visualiser les menaces en temps réel pour créer une « chaîne d'attaques meurtrières ». Dans la plupart des cas, une fois que l'attaque a déjà eu lieu, il est peut-être trop tard. Votre mission pourrait être compromise ou vos données déjà exfiltrées.
Pour réellement implémenter Zero Trust sur les terminaux, vous devez arrêter les malwares avant qu'ils ne s'exécutent et, surtout, empêcher leur propagation latérale. L'agence peut augmenter ses investissements dans les terminaux et l'EDR en contrôlant de manière proactive les connexions peer-to-peer entrantes vers les terminaux en utilisant une « liste autorisée » de connexions légitimes et en refusant tout le reste. C'est le cœur de Zero Trust au niveau des terminaux. Il a certainement l'occasion de lancer un projet pilote Zero Trust sur les terminaux de la succursale.
Lorsque j'ai étudié de manière un peu plus approfondie les HVA dans le contexte des attaques par mouvements latéraux au sein de son centre de données et de son environnement cloud, le chef de la succursale a remarqué qu'une perte ou une corruption auraient un impact sérieux sur la capacité de la succursale à accomplir sa mission. Les HVA sont une combinaison d'années de données accumulées. Les applications concernées concernent l'analyse et la visualisation de ces données. À ce jour, la majorité de leurs investissements dans Zero Trust se sont concentrés sur le périmètre segmentation du réseau et sur l'identité des utilisateurs et la gouvernance des accès. Ces solutions ne remédient pas aux faiblesses d'un réseau interne ouvert et plat.
Si vous adhérez à une véritable architecture Zero Trust, vous devez partir du principe qu'une faille s'est déjà produite. Une fois que le paquet est à l'intérieur du périmètre de votre réseau, les acteurs malveillants se dirigent directement vers vos HVA sans que rien ne s'y oppose. De toute évidence, la sécurisation du trafic est-ouest des HVA est un autre domaine dans lequel un projet pilote Zero Trust peut démarrer dès maintenant.
Nous avons identifié les terminaux et les HVA de sa succursale comme deux domaines dans lesquels démarrer un projet pilote Zero Trust.
L'étape suivante consiste à compter le nombre de terminaux et le nombre de charges de travail et d'applications qui feront partie du projet pilote. Un petit projet pilote peut comporter aussi peu que 50 charges de travail et points de terminaison, voire quelques centaines, et le projet pilote impliquera la segmentation et la microsegmentation de ces éléments. L'essentiel est de ne pas se laisser submerger par une complexité potentielle.
Prochaine étape : microsegmentation basée sur l'hôte
L'étape suivante consiste à charger ce que le NIST 800-207, section 3.1.2, appelle « la microsegmentation basée sur l'hôte à l'aide d'agents logiciels ». Avec Illumio's solution, vous chargez un appareil léger agent logiciel sur chaque charge de travail, application ou serveur. L'agent se contente de signaler le contexte et la télémétrie de votre réseau à un « cerveau central » qui crée une carte de référence en temps réel des dépendances des applications. Cette carte est d'une importance capitale du point de vue de la surveillance car elle correspond au NIST 800-53 et au RMF (cadre de gestion des risques). Le premier « compartiment » RMF est identifier, fournissant un mappage des dépendances des applications en temps réel pour appliquer microsegmentation politique. Vous devez suivre ce qui se passe sur votre réseau, du point de vue des applications et de la charge de travail, avant de pouvoir améliorer ou appliquer une politique Zero Trust.
Le déploiement d'un projet pilote Zero Trust utilisant la microsegmentation basée sur l'hôte peut prendre moins de cinq jours, en particulier si la portée et les résultats souhaités sont bien définis et qu'une formation est dispensée pour montrer à la personne chargée de ce projet pilote les moyens les plus efficaces de procéder.
La seule hésitation du chef de succursale était due à des contraintes de ressources. Il n'avait personne à consacrer à cet effort. Un investissement de trois à cinq jours en vaut-il la peine pour développer votre habitude d'écrire, pour approfondir vos connaissances sur Zero Trust, de l'étude à la mise en œuvre ?
Outre un périmètre bien défini, il est important de disposer d'un résultat clairement défini et mesurable pour vendre votre projet pilote Zero Trust en interne. Les améliorations apportées à des domaines spécifiques des scores FISMA CIO ne sont que l'un des résultats souhaités et des mesures de la réussite des projets que l'agence pourrait envisager d'envisager. Par exemple, la succursale de l'agence peut utiliser l'Illumio rapports sur le trafic pour valider l'identité et la portée des composants et des connexions de l'application HVA et utiliser la microsegmentation comme contrôle compensateur, améliorant ainsi ses scores de protection. Il peut également utiliser Illumio cartes de vulnérabilité pour valider si un système vulnérable peut être utilisé comme voie d'attaque latérale, améliorant ainsi ses scores FISMA. Ces indicateurs et cette visibilité sont d'autant plus importants avec les récents piratages des réseaux du gouvernement américain.
Une fois que vous avez mis en œuvre votre projet pilote Zero Trust et démontré les résultats escomptés mesurables, son extension est très simple : vous pouvez ajouter des applications, des charges de travail et des points de terminaison supplémentaires jusqu'à ce que vous ayez écrit votre roman : une architecture Zero Trust à l'échelle de l'agence.
Pour en savoir plus sur la manière dont Illumio peut aider les agences fédérales à sécuriser des actifs de grande valeur et à accélérer le Zero Trust, visitez le page des solutions fédérales.