Blogue
/
Cyber-résilience

Tester en permanence l'efficacité de vos contrôles Zero Trust

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
August 3, 2020
23 min. de lecture

Lorsque nous entendons les professionnels de la sécurité, les fournisseurs et leurs clients parler de Confiance zéro framework, nous constatons qu'une grande attention est accordée à cinq des principaux piliers : les appareils, les données, les charges de travail, le réseau et les personnes, tous des « actifs » très tangibles qui doivent être protégés et pour lesquels une grande variété de fonctionnalités existent pour aider à atteindre cette protection.

Zero Trust diagram

La « ceinture et bretelles » de Zero Trust

Une stratégie Zero Trust holistique devrait prendre en compte chacun de ces cinq piliers et fournir une couverture pour chacun de ces cinq piliers. Mais votre stratégie n'est pas complète, et pourrait même ne pas démarrer, si vous n'avez pas d'histoire sur l'automatisation et l'orchestration et la visibilité et l'analyse, qui sont au sens figuré (et littéralement si vous regardez le schéma ci-dessus !) la « ceinture et bretelles » qui maintiennent ensemble les 5 piliers Zero Trust. Malheureusement, ils ont souvent tendance à être les plus négligés dans les parcours Zero Trust réels.

Pourquoi ? L'automatisation et la visibilité peuvent être les domaines les plus coûteux et les plus complexes que les fournisseurs doivent intégrer dans leurs offres de sécurité et les clients n'ont souvent pas l'expertise nécessaire pour automatiser ou analyser correctement.

Vous ne pouvez pas segmenter ce que vous ne pouvez pas voir

Chez Illumio, nous considérons ces deux domaines (automatisation et visibilité) comme des piliers fondamentaux à part entière plutôt que comme des éléments secondaires. Le parcours que nous avons eu le privilège d'aider nos clients à réaliser leurs objectifs de microsegmentation commence par « Visibilité et analyse ». Nous construisons un carte des dépendances des applications, en tirant parti de la télémétrie des charges de travail et des métadonnées d'une CMDB, pour fournir des rapports de trafic exploitables à partir desquels les clients peuvent commencer à élaborer leurs politiques de segmentation afin d'établir des micropérimètres autour de leurs applications. Dans ce cas, la visibilité n'est pas la cerise sur le gâteau. C'est le gâteau.

Aucun fournisseur ne peut à lui seul vous apporter une « confiance zéro »

Reconnaissant le fait que toutes les entreprises, même les plus simples en apparence, sont des organismes complexes dotés d'une infrastructure technologique tout aussi complexe et diversifiée, « Automatisation et orchestration » est devenue un élément essentiel de notre produit dès le départ. Notre produit est conçu pour être intégré dans d'autres systèmes et accessibles par programmation via nos API ouvertes et documentées. En fait, l'interface utilisateur du produit est un habillage au-dessus de nos API REST. Nous irions même jusqu'à affirmer qu'il n'y a pas de Zero Trust sans automatisation et orchestration.

Comment savoir si ce truc fonctionne ?

Notre parcours client type suit les étapes suivantes :

  1. Obtenez des données télémétriques et des métadonnées pour créer une carte
  2. Utilisez la carte pour élaborer une politique de microsegmentation
  3. Tester la politique avant de l'appliquer
  4. Appliquer la politique

Et grâce à la surveillance permanente, nous savons en cas de violation d'une politique définie et les utilisateurs peuvent prendre les mesures correctives nécessaires.

Alors, quel est l'intérêt de tout ça ? Il est extrêmement utile de comprendre comment fonctionne un contrôle Zero Trust spécifique (par exemple, les concordances ou les violations de la politique de microsegmentation), mais qu'en est-il de l'efficacité du contrôle dans le contexte plus large de la stratégie Zero Trust globale d'une organisation ?

En cette ère de »supposer une violation», en cas d'incident de sécurité, dans quel délai votre organisation peut-elle répondre à la questionquoi, quand, qui, comment et wpourquoi des questions ? Et surtout, quels systèmes de votre arsenal actuel peuvent fonctionner à l'unisson pour vous aider à obtenir les réponses à ces questions automatiquement et avec précision ?

MITRE Je prends un moment pour faire une digression ?

Faisons une brève parenthèse et parlons de Cadre MITRE ATT&CK pendant une seconde.

Le framework MITRE ATT&CK cartographie les tactiques, techniques et procédures contradictoires (TTP) que les acteurs malveillants utilisent pour lancer une attaque, par exemple une attaque basée sur une menace persistante avancée (APT) contre une cible. En utilisant ces informations et les connaissances communes partagées sur le comportement d'un attaquant lorsqu'il exploite ces TTP, une organisation peut développer des stratégies défensives pour limiter (et idéalement prévenir) l'impact négatif de ces activités malveillantes. De plus, le cadre part d'une position d'hypothèse de violation et repose donc entièrement sur la défense après la compromission : « Supposez que vous allez être victime d'une violation, alors concentrez-vous sur le fait qu'il est vraiment difficile de vous faire payer ». Du point de vue de l'équipe bleue, le cadre ATT&CK, qui met l'accent sur l'accès à autant de données sur les événements provenant de sources pertinentes que possible, oriente le processus par lequel ces données peuvent être agrégées et corrélées afin d'identifier correctement les comportements malveillants et, par conséquent, de susciter les réponses nécessaires. Le propre de MITRE Article de blog sur ATT&CK 101 est un excellent point de départ pour tout ce qui concerne ATT&CK.

Mesurer l'efficacité de la microsegmentation

Au cours des récents travaux sur Tester l'efficacité de la microsegmentation, spécialistes de l'équipe rouge Évêque Fox a commencé par associer les parties pertinentes du framework MITRE ATT&CK aux techniques qu'ils chercheraient à exploiter pour tenter de « capturer les drapeaux ».

BishopFoxMITRE

Cette identification de techniques contradictoires leur a ensuite permis de déterminer l'efficacité de l'Illumio. Plateforme de sécurité adaptative avait pour but d'aider à détecter et à neutraliser ces attaques. MITRE a un excellent écrire sur la manière dont le framework ATT&CK peut être utilisé pour détecter efficacement les cybermenaces.

Ainsi, grâce à un ensemble d'outils de sécurité offrant une visibilité haute fidélité, un accès complet via son API et proposant un cadre de modélisation tel que MITRE ATT&CK, les organisations sont en mesure de créer des outils capables de surveiller les contrôles Zero Trust, d'analyser la télémétrie et de réagir automatiquement pour prendre les mesures appropriées. Mais comment contrôler l'efficacité de cet outillage ?

Intégrer les tests continus à votre ADN Zero Trust

L'une des options consiste, bien entendu, à engager un spécialiste indépendant de l'équipe rouge pour jouer le rôle d'un attaquant, tandis que l'équipe bleue de l'organisation tire parti de ses analyses et de ses contrôles de sécurité soigneusement conçus pour surveiller et réagir. Ceci est extrêmement utile et recommandé périodiquement. Et s'il existait un moyen d'automatiser à la fois l'activité de l'équipe rouge et la réponse de l'équipe bleue ? Les organisations pourraient tester en permanence l'efficacité de leur modélisation et de leurs contrôles et adopter une approche d'amélioration constante. Et c'est exactement ce que les fournisseurs aiment QI d'attaque rendent désormais possible. Grâce à leur technologie, les clients peuvent à la fois valider l'efficacité d'un contrôle de sécurité spécifique et, ce qui est peut-être plus intéressant encore, déterminer comment leurs défenses se situent face à des adversaires sophistiqués.

Chez Illumio, nous sommes ravis de nous associer à AttackIQ pour le lancement de leur Exchange de sécurité préactif car nous comprenons que les clients doivent être en mesure de mesurer et de valoriser leurs investissements Zero Trust. La plateforme de test hautement configurable, automatisée et reproductible fournie par AttackIQ fait de la mesure de l'efficacité des contrôles Zero Trust un objectif réalisable pour les organisations. Et comme nous le savons, une fois que vous pouvez mesurer quelque chose, vous pouvez commencer à l'améliorer.

Consultez notre Sécurité Zero Trust page pour en savoir plus sur la façon dont Illumio peut vous aider dans votre parcours Zero Trust.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Optimisation de vos huit efforts essentiels de gestion des vulnérabilités
Cyber-résilience

Optimisation de vos huit efforts essentiels de gestion des vulnérabilités

Des systèmes interconnectés disparates et désormais des employés travaillant à distance dans le monde entier augmentent notre exposition et nos opportunités en matière de cybercriminalité.

En savoir plus
3 prévisions en matière de cybersécurité pour 2020
Cyber-résilience

3 prévisions en matière de cybersécurité pour 2020

Informations concernant la convergence entre l'infiltration physique et les cyberattaques et ce que cela signifie pour la cybersécurité.

En savoir plus
Dix ans après la pire année de son histoire en matière de cybersécurité, qu'est-ce qui a changé ?
Cyber-résilience

Dix ans après la pire année de son histoire en matière de cybersécurité, qu'est-ce qui a changé ?

Découvrez comment la cybersécurité a évolué et est restée la même au cours de la dernière décennie et pourquoi cela est important pour l'avenir de la cybersécurité.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus