Comment Zero Trust permet aux organisations d'aborder chaque étape de la chaîne des cyberattaques

Dans cet article de blog, nous examinons la Cyber Kill Chain, comment les modèles de sécurité qui supposent la confiance ne font que contribuer à atténuer les étapes 1 à 6 de la chaîne, c'est-à-dire tout ce qui se passe jusqu'au point de compromission initiale, et comment Confiance zéro L'approche de la sécurité améliore considérablement les contrôles existants qui se concentrent sur la pré-compromission, tout en fournissant les fonctionnalités clés nécessaires pour prendre en charge la détection et la réponse après la compromission. Par conséquent, les organisations qui adoptent Zero Trust seront probablement mieux préparées pour détecter et contenir les intrus malveillants.

Nous sommes tous conscients de l'importance d'une défense en profondeur pour empêcher les attaques de s'installer. Bien entendu, c'est pourquoi nous avons investi dans pare-feux de nouvelle génération (NGFW) pour protéger le périmètre, sécurité des terminaux pour les appareils des employés et les outils de sécurité du courrier électronique et du Web pour protéger la productivité, parmi les nombreux autres investissements que nous réalisons en matière de sécurité.

La valeur de ces outils de prévention et de défense en profondeur est capturée dans la Cyber Kill Chain, destinée à identifier et à prévenir les cyberintrusions. Formalisé par Lockheed Martin en 2011, le Cyber Kill Chain a défini, au cours de la dernière décennie, la manière dont les organisations cartographient leurs contrôles de sécurité et, par conséquent, déterminent comment elles mesurent leur cyber-résilience. Voici les sept étapes :

1. Reconnaissance : un attaquant recueille des informations sur la cible avant l'attaque.
2. Armement : le cyberattaquant crée son attaque, par exemple un document Microsoft Office infecté et un e-mail de phishing ou un logiciel malveillant.
3. Livraison : transmission de l'attaque, comme l'envoi d'un véritable e-mail de phishing
4. Exploitation : la véritable « détonation » de l'attaque, telle qu'un exploit exécuté sur un système.
5. Installation : l'attaquant installe un logiciel malveillant sur la victime (les attaques ne nécessitent pas toutes un logiciel malveillant).
6. Commande et contrôle : le système désormais compromis « appelle son domicile » à un système de commande et de contrôle (C&C) pour que le cyberattaquant prenne le contrôle.
7. Actions relatives aux objectifs : l'attaquant a désormais accès et peut passer à ses actions pour atteindre ses objectifs.

Reprenant les vieux adages selon lesquels « une chaîne est aussi solide que son maillon le plus faible » et « la défense est la meilleure forme d'attaque », la Cyber Kill Chain met l'accent sur le fait de contrecarrer les attaquants qui progressent de gauche à droite, ou autrement dit, avant qu'ils ne soient infectés ou n'accèdent à un environnement. L'hypothèse selon laquelle si vous parvenez à arrêter un acteur malveillant à tout moment avant l'étape 7 (Actions relatives aux objectifs), vous avez réussi à déjouer une attaque.

Le résultat net a été une forte (et peut-être trop) importance accordée aux contrôles préventifs jusqu'à récemment (pare-feux, antivirus, passerelles Web) qui ne supposer une violation; ils supposent plutôt que toutes les attaques peuvent être détectées et bloquées. Pourtant, tous ces outils présentent les mêmes limites : ils permettent, dans le meilleur des cas, de prévenir le « mal connu ». Ils reposent sur les hypothèses suivantes :

1. Le bâtiment qui abrite mon bureau et mon personnel est digne de confiance.
2. Le périmètre du réseau est robuste et fiable.
3. Le réseau situé à l'intérieur de ce périmètre sécurisé est fiable.
4. Les appareils connectés à ce réseau sécurisé sont fiables.
5. Les applications exécutées sur ces appareils fiables sont fiables.
6. Les utilisateurs qui accèdent à ces applications fiables sont fiables.
7. Les attaquants sont prévisibles et adoptent les mêmes comportements.

L'objectif des contrôles préventifs est d'empêcher les acteurs malveillants d'entrer et de maintenir ainsi le niveau de confiance implicite. Mais que se passe-t-il si un attaquant passe du statut de « méchant connu » à celui de « méchant inconnu » ? Comment se situent alors ces lignes de défense ? Attaques modernes et sophistiquées (de la faille de sécurité de Target à Cloud Hopper et tout ce qui se trouve entre les deux et au-delà) sont conçus pour exploiter spécifiquement ce faux sentiment de confiance afin de passer rapidement aux étapes 6 et 7 de la Kill Chain, en contournant les contrôles visant à empêcher les étapes 1 à 5. Et ces contrôles préventifs sont toujours en train de rattraper leur retard.

Avant d'aller plus loin, il est important de souligner que les mesures préventives constituent un élément important et essentiel de la cyberdéfenses, mais elles ne sont plus la solution ultime. En fait, ce n'est qu'un début. Et cela s'explique par le fait que les hypothèses sur lesquelles ils étaient fondés ne sont plus valables, en particulier en 2020, lorsque la pandémie mondiale a entraîné une révolution complète dans la façon dont les organisations travaillent dans tous les secteurs, donnant naissance à une nouvelle normalité :

1. Mon entreprise n'est plus située à des endroits spécifiques.
2. Un périmètre existe mais il n'est pas exhaustif.
3. Le réseau n'est souvent pas exclusif à mon organisation.
4. Des appareils que je ne contrôle pas existent sur mon réseau.
5. Souvent, les applications utilisées par l'entreprise ne sont pas hébergées, détenues et gérées par moi.
6. Les utilisateurs sont partout.
7. Les attaquants sont imprévisibles et recherchent toujours de nouvelles voies d'attaque.

Ces nouvelles hypothèses montrant que l'on ne peut se fier qu'à peu de choses, nous nous trouvons dans une situation où la probabilité de prévenir une violation est faible. Nous devons donc nous concentrer sur la détection, la réponse et le confinement. Et c'est là que nous introduisons Zero Trust.

Il est important de diviser Zero Trust en 3 domaines clés :

1. Contrôles
2. Surveillance
3. Automatisation et orchestration

Contrôles Zero Trust

Les contrôles Zero Trust peuvent théoriquement correspondre aux contrôles préventifs issus du modèle de périmètre d'antan, mais le point de départ est différent :

• Le modèle de périmètre part du principe que tout ce qui se trouve à l'intérieur est fiable et met donc l'accent sur la solidité du périmètre. Il s'agit d'une approche universelle.
• Avec Zero Trust, cette hypothèse de confiance implicite n'existe tout simplement pas. Nous sommes donc obligés d'être plus intelligents :
• Qu'est-ce qui a le plus besoin de protection ?
• Qui a besoin d'y accéder ?
• D'où ?
• Quand ?
• Pourquoi ?
• Quelles sont les interdépendances ?

Ce sont les points de données que nous utilisons pour élaborer une politique Zero Trust.

Si nous considérons cela du point de vue d'un attaquant, nous pouvons constater que sa capacité à réussir une violation est nettement plus exigeante. Il ne peut plus partir du principe que le simple fait d'accéder au réseau est suffisant, que ce soit pour effectuer un mouvement latéral, augmenter ses privilèges ou rappeler son domicile. Comme nous l'avons vu dans Rapport de Bishop Fox sur l'efficacité de la microsegmentation, les contrôles Zero Trust tels que celui-ci obligent les attaquants à modifier leur comportement et à tirer parti d'autres techniques, ce qui augmente les chances de détection des défenseurs. Une approche Zero Trust en matière de contrôles permet de réduire la surface d'attaque disponible pour les exploits. Le modèle de contrôle Zero Trust est une mise à jour de la défense en profondeur, avec des couches qui protègent les données vitales, ce qui empêche les attaquants de se déplacer librement, même s'ils contournent les technologies préventives.

Cadre MITRE ATT&CK

Avant de parler de surveillance et d'automatisation/orchestration dans le contexte de Zero Trust, passons au Cadre MITRE ATT&CK. Le point de départ du cadre repose sur l'hypothèse d'une violation et met l'accent sur la compréhension du comportement d'un attaquant entre le moment de la compromission initiale et la réussite de la mission. Cette compréhension nous aide à définir des capacités de détection qui surveillent des événements spécifiques qui, isolément ou lorsqu'ils sont corrélés, nous fournissent un indicateur de comportement anormal qui peut justifier une enquête plus approfondie.

Surveillance Zero Trust

Le framework MITRE ATT&CK met l'accent sur la visibilité : événements de haute fidélité provenant du plus grand nombre de sources de données possible (réseau, pare-feu, proxy, AV, EDR, IAM, OS, fournisseur de services cloud, application, base de données, IoT, etc.) pour permettre aux équipes défensives de modéliser une gamme de comportements qu'elles associent à des attaques connues, et de continuer à les faire évoluer au fur et à mesure des connaissances sur les adversaires et leurs méthodes. L'approche Zero Trust met l'accent sur la visibilité, ce que les approches précédentes n'offraient pas. En fait, une devise de Zero Trust pourrait être « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». Ainsi, en commençant par améliorer la visibilité dans le cadre d'un programme Zero Trust et en utilisant le framework MITRE ATT&CK pour modéliser les comportements contradictoires auxquels l'organisation peut être soumise, il est possible de tirer parti de la partie défensive de la Cyber Kill Chain en utilisant des fonctionnalités déjà existantes.

L'excellent podcast de la BBC »13 minutes avant la lune» couvre la tristement célèbre expédition Apollo 13 dans sa deuxième série et la conception de la sonde Apollo et l'ensemble de l'équipe opérationnelle qui la soutient constituent une bonne analogie pour souligner l'importance de la détection et de la réponse, malgré les meilleures tentatives de prévention. Le vaisseau spatial conçu pour la mission Apollo était doté d'une résilience incroyable et de dispositifs de sécurité intégrés à chaque composant, avec de nombreux scénarios de défaillance testés pour garantir la possibilité de récupérer tous les résultats escomptés. Avec Apollo 13, la perte d'un moteur d'appoint a été compensée par la mise à feu des 4 autres, mais rien dans la conception n'aurait pu empêcher l'usure de l'isolation des câbles qui a provoqué l'explosion qui a mis en danger la mission. Une fois que cela s'est produit (comme une brèche), l'équipage et le contrôle de mission étaient entièrement dépendants de la télémétrie du vaisseau spatial, des observations des astronautes et des experts au sol pour détecter le problème, l'isoler et le résoudre à partir de celui-ci. Il s'agit d'un excellent exemple de la manière dont les données d'une fidélité correcte étant mises à disposition à partir des sources de données pertinentes, associées à la capacité d'analyser efficacement ces données, les équipes chargées des opérations de sécurité sont bien mieux préparées à trier les incidents avec plus de précision, ce qui leur permet de prendre de meilleures décisions (et plus rapidement) sur les événements (ou combinaisons d'événements) qui doivent faire l'objet d'une enquête plus approfondie et ceux qui peuvent être ignorés en toute sécurité.

Automatisation Zero Trust

L'essor des plateformes SOAR (Security Orchestration, Automation and Response) vise à prendre en charge toute la phase post-détection d'une attaque et à fournir l'ensemble des technologies nécessaires pour passer efficacement de la détection à la réponse. Pour les modèles de comportement malveillants courants, toute cette séquence pourrait même être automatisée afin de libérer du temps aux analystes pour l'investigation d'attaques plus sophistiquées. Pour atteindre ces gains d'efficacité, les plateformes SOAR dépendent de leur capacité à s'intégrer à des solutions technologiques fournissant les données pertinentes ou à prendre les mesures de réactivité nécessaires. C'est pourquoi l'orchestration et l'automatisation constituent un pilier essentiel (mais souvent négligé) de Zero Trust. Si la possibilité d'orchestrer, par le biais de l'automatisation, une nouvelle configuration ou de modifier une configuration existante dans le cadre d'un changement planifié offre des avantages opérationnels importants, le véritable avantage en matière de sécurité est obtenu lorsque les mêmes plateformes peuvent être orchestrées rapidement et de manière cohérente pour réagir à un incident de sécurité.

Revenons donc à notre point de départ :

• L'approche traditionnelle de la sécurité par périmètre ne concerne qu'une partie de la Cyber Kill Chain et nous laisse largement aveugles aux étapes qui suivent la compromission.
• Zero Trust améliore considérablement la prévention en commençant par un audit de ce qui est protégé (par exemple, des données critiques ou une application clé) et en veillant à ce que les contrôles à ce sujet soient élaborés selon une approche de moindre privilège appropriée.
• Zero Trust commence par une position de « supposition d'une violation » et met l'accent sur les solutions fournissant des journaux de haute qualité pour faciliter la détection après compromission.
• En outre, le fait que les technologies visant à aider les clients à atteindre le niveau Zero Trust doivent être bien orchestrées et automatisées signifie qu'elles peuvent prendre en charge les plateformes SOAR dans la réponse automatisée aux incidents.

Ainsi, l'adoption d'une approche Zero Trust renforce l'approche périmétrique traditionnelle qui visait à contrecarrer les 6 premières étapes de la Cyber Kill Chain, et donne également aux organisations les capacités nécessaires pour se concentrer sur la détection et la neutralisation des attaquants s'ils atteignaient le stade 7 et tentaient de prendre les mesures prévues.

Pour plus d'informations sur l'approche Zero Trust d'Illumio, rendez-vous sur : https://www.illumio.com/solutions/zero-trust