Le SOC moderne repose sur des fondations brisées. La confiance zéro peut y remédier.

En 2003, Gartner a publié un document connu sous le nom de " IDS is Dead". L'industrie a réagi à la disparition des systèmes de détection d'intrusion (IDS) en créant des outils de gestion des informations et des événements de sécurité (SIEM).  

Au milieu des années 2010, le SIEM a été considéré comme un outil de conformité, et l'industrie a donc mis au point un système de détection et de réponse des points d'accès (EDR). Lorsque l'EDR n'a pas pu tout couvrir, la détection et la réponse en réseau (NDR) ont fait leur apparition.  

Puis la détection et la réponse étendues (XDR) sont arrivées, ont généré une énorme confusion et ont depuis été déclarées mortes par le même Gartner qui a assisté à la fin de l'IDS.  

Chaque transition a été présentée comme un progrès. Anton Chuvakin, conseiller en sécurité pour l'Office of the CISO de Google Cloud, et Erik Bloch, vice-président de la sécurité de l'information chez Illumio, m'ont expliqué dans le dernier épisode du podcast The Segment que la plupart des environnements d'entreprise n'ont jamais été conçus de manière à rendre la détection fiable.  

Les outils SOC construits à partir de ces environnements ont hérité de ce défaut, et la plupart des nouveaux outils construits depuis l'ont contourné au lieu de le corriger. Tant que les responsables de la sécurité ne s'attaqueront pas à l'architecture sous-jacente, le cycle d'investissement dans les outils sans amélioration des résultats se poursuivra.  

Zero Trust rompt ce cycle en considérant l'architecture comme un problème à résoudre plutôt que comme une hypothèse à contourner.

L'économie des pansements, et pourquoi elle est si lucrative

Lorsque j'ai demandé à Erik pourquoi les résultats de la détection et de la réaction n'avaient pas changé de manière significative malgré des milliards d'investissement et des décennies d'innovation, il a attribué cela au fait que l'industrie essayait de traiter les symptômes plutôt que la cause première.

"J'observe beaucoup de start-ups spécialisées dans la sécurité aujourd'hui, et elles construisent des pansements", a-t-il déclaré. "Les investisseurs savent qu'ils peuvent investir dans des pansements, qu'ils savent que ces pansements fonctionneront pendant un certain temps jusqu'à ce qu'ils ne fonctionnent plus, et qu'ils peuvent alors investir dans le prochain pansement, plutôt que de s'attaquer aux problèmes fondamentaux qui sont à l'origine de ces problèmes".

Le paysage des fournisseurs de sécurité se nourrit d'améliorations progressives de la capacité de détection. Chaque vague de technologie de détection et de réponse promet d'être celle qui fera enfin pencher la balance. Et chaque vague, lorsqu'elle est mesurée par rapport aux résultats, est largement décevante.

Erik poursuit : "Il y a des choses que nous pourrions faire sur le plan architectural qui résoudraient un grand nombre des problèmes auxquels nous répondons aujourd'hui. Le faisons-nous ? Non. Nous achetons davantage de pansements pour masquer les problèmes architecturaux, puis nous répondons également à toutes ces alertes".

Le problème de l'"aiguille dans la botte de foin" - trouver les menaces réelles dans un océan d'alertes - ne s'est pas amélioré malgré des décennies d'investissement dans les outils. Erik a noté que le rapport entre les menaces réelles et le bruit total est resté obstinément compris entre 4% et 7%.  

L'augmentation du nombre d'outils n'a pas fait évoluer ce chiffre, et elle ne le fera pas, car les outils se situent en aval du problème.

Ce que les "problèmes architecturaux" signifient pour un RSSI

Lorsque Erik et Anton parlent de problèmes architecturaux, ils décrivent un mode d'échec spécifique que la plupart des responsables de la sécurité vivent au quotidien, mais qu'ils nomment rarement de manière explicite.

La plupart des environnements d'entreprise ont été construits sur la base d'une confiance implicite, avec des réseaux plats, de larges autorisations de mouvement latéral et des périmètres supposés propres. Lorsque vous développez une capacité de détection dans un environnement plat et sur-autorisé, vous demandez à votre SOC de trouver des aiguilles dans une botte de foin que vous avez délibérément agrandie et rendue plus difficile à fouiller.

Un réseau plat et sur-permis génère un volume d'alertes qu'aucun SOC ne peut gérer de manière réaliste. Le mouvement latéral ressemble à un trafic normal parce que l'architecture le traite de cette manière. Les informations d'identification compromises ne sont pas détectées parce que l'accès interne n'a jamais été conçu pour être vérifié.  

Le SOC nettoie un désordre que l'environnement a été conçu pour créer.

La confiance zéro modifie ce que votre SOC doit détecter en premier lieu. Lorsque vous appliquez l'accès au moindre privilège, que vous vérifiez l'identité en permanence et que vous segmentez les charges de travail de manière à ce que les mouvements d'est en ouest nécessitent une autorisation explicite, vous réduisez fondamentalement la surface d'attaque que vos outils de détection doivent couvrir.  

Vous cessez d'agrandir la botte de foin et commencez à la réduire.

La solution architecturale décrite par Erik et Anton au cours de notre conversation consiste à reconstruire les hypothèses de base sur la manière dont l'accès et la connectivité devraient fonctionner.

Un SOC des années 1990 doté d'une IA reste un SOC des années 1990

Tous deux sont d'accord pour dire que l'IA a une valeur réelle dans les opérations de sécurité. Mais l'application de l'IA à un SOC structurellement défaillant produit une version plus rapide des mêmes résultats défaillants.

Selon M. Anton, trop d'organisations utilisent l'investissement dans l'IA pour éviter une refonte en profondeur. L'IA a détourné de nombreuses équipes de sécurité de ce travail fondamental et pourtant essentiel.

Lorsque le modèle SOC lui-même est vieux de 30 ans, l'IA ne fait qu'accélérer les anciens processus sans se préoccuper des raisons pour lesquelles le processus produit si peu de signaux. L'environnement que le SOC surveille n'a jamais été conçu pour faire remonter les bonnes informations de manière fiable, et une analyse plus rapide d'un signal peu fiable reste peu fiable.

"Avec l'IA, certains maillons peuvent aller beaucoup plus vite, peut-être beaucoup mieux, mais l'ensemble de la chaîne reste en grande partie là où elle était", a déclaré M. Anton.

Une architecture de confiance zéro modifie la chaîne elle-même.  

Lorsque votre réseau est segmenté et que les charges de travail ne peuvent communiquer que par des voies explicitement autorisées, votre SOC dispose d'une surface de détection considérablement réduite.  

Cela signifie que l'IA que vous appliquez à cet environnement peut réellement fonctionner comme prévu, car le problème du rapport signal/bruit se réduit avec la surface d'attaque. Zero Trust rend l'IA utile dans le SOC.

Toute transformation réussie du SOC commence par une architecture

Au cours de notre conversation, Anton a décrit la poignée d'organisations qui ont véritablement brisé le cycle.  

Netflix est devenu "sans SOC" en 2018. Google utilise un modèle de détection basé sur l'ingénierie. Anton a même mentionné une grande banque européenne qui a entièrement reconstruit son SOC en partant des principes de base.

Ce que ces organisations ont fait différemment, c'est s'attaquer de front à l'architecture. Cela signifie qu'il faut reconstruire le fonctionnement de l'accès, la confiance accordée au trafic et la structure de l'environnement.  

C'est un travail lent et coûteux. La plupart des organisations choisissent d'acheter des outils à la place, et le cycle se poursuit.

Pour sortir de l'impasse, il faut une volonté organisationnelle, l'adhésion de la direction et la volonté d'arrêter de rafistoler et de commencer à reconstruire. Elle nécessite également un objectif architectural clair.  

Zero Trust fournit cet objectif sous la forme d'un ensemble de principes de conception qui, lorsqu'ils sont appliqués à l'environnement que votre SOC surveille, modifient l'économie fondamentale de la détection.

La confiance zéro est la seule réponse à une surface d'attaque qui ne cesse de croître.

L'IA élargit la surface d'attaque plus rapidement que toute autre vague technologique antérieure, et la plupart des SOC ne sont pas conçus pour y faire face.  

L'hypothèse du périmètre était déjà rompue avant l'arrivée de l'IA. L'ajout d'outils d'IA sur cette base défaillante produit le même résultat que toutes les vagues précédentes d'investissement dans l'outillage : des processus plus rapides, mais les mêmes résultats.

Erik et Anton étaient tous deux d'accord sur deux points. Les problèmes architecturaux fondamentaux à l'origine des mauvais résultats en matière de détection sont bien compris et largement ignorés. Et les équipes qui choisissent de s'en occuper s'en sortent manifestement mieux.

La confiance zéro est le point de départ de ce travail. Il recadre l'architecture en la faisant passer d'une contrainte fixe à un problème central à résoudre. Ce recadrage est accessible à tous les responsables de la sécurité, quels que soient la taille de l'organisation, le budget ou la dette héritée.  

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.