Définition des indicateurs pour gérer avec succès votre plan de mise en œuvre Zero Trust

Le État d'esprit Zero Trust part du principe que les défenses périmétriques d'une personne ont été violées et que les priorités sont orientées vers la limitation du mouvement latéral des acteurs malveillants. Illumio a publié le plan Zero Trust en 3 étapes, que les individus utilisent pour planifier et mettre en œuvre leur parcours Zero Trust.

Dans la série de blogs, Zero Trust n'est pas difficile... si vous êtes pragmatique, mon collègue Raghu Nandakumara décompose ces concepts en six étapes pratiques.

Les métriques jouent un rôle précieux en aidant les organisations à mettre en œuvre et à atteindre le Zero Trust (ZT). Nos clients utilisent des indicateurs pour identifier par où commencer, définir les étapes clés, améliorer leurs capacités Zero Trust et décrire à quoi ressemble le succès. Double-cliquez sur certains de ces indicateurs dans le contexte de notre plan en trois étapes pour la mise en œuvre de Zero Trust.

Étape 1 : Découvrez

Au cours de cette phase initiale, nos clients se concentrent sur l'identification des éléments à protéger, sur quels piliers ZT se concentrer et sur la conception de la feuille de route initiale pour étendre la portée et la maturité de leur mise en œuvre ZT. Conformité, telle que Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) et SWIFT CSF, ou gestion des risques à l'aide du NIST CSF ou du Les 20 meilleurs contrôles de sécurité de la CEI sont des moteurs commerciaux typiques. Nos clients utilisent ces moteurs pour restreindre la portée de leur plan ZT initial à des applications et à des processus métier spécifiques, rendant ainsi leurs plans plus consommables. Les sponsors exécutifs et la haute direction chercheront à mesurer les avantages commerciaux stratégiques, tels que la réduction du nombre de violations nécessitant une notification au cours des 12 derniers mois. L'équipe opérationnelle se concentrera sur les indicateurs qui améliorent la visibilité et la planification.

L'architecture ZT de Forrester repose sur de multiples piliers ou compétences, et il serait ridiculement coûteux et risqué de tout faire en même temps. Il peut être difficile d'obtenir l'adhésion des différentes parties prenantes clés. L'approche intelligente et efficace pour inciter tout le monde à soutenir ZT consiste à utiliser un cadre sectoriel soutenu par des indicateurs internes pour identifier les compétences de sécurité à aborder en premier et comment procéder à cette progression.

De nombreux praticiens ont utilisé Outil d'auto-évaluation de la sécurité eXtended Zero Trust Maturity de Forrester pour ce faire (abonnement requis). Les résultats ont suscité des discussions internes sur l'endroit et la manière de développer leurs compétences Zero Trust. Par exemple, le résultat de l'évaluation des capacités ZT d'un client peut suggérer la mise en œuvre d'une segmentation fine du trafic sur les systèmes connectés au PCI. Voici des exemples de mesures clés que l'organisation pourrait vouloir suivre en tant qu'indicateurs de l'efficacité du programme :

• Combien de systèmes connectés PCI entrent dans le champ d'application avec précision ?
• Quelle a été l'amélioration de la précision par rapport aux périodes précédentes (avant l'activation de la visibilité en temps réel) ?
• Quel pourcentage du trafic des systèmes connectés au PCI est sécurisé par microsegmentation?

Étape 2 : définir

Une fois que nos clients auront réduit leur champ d'application initial et hiérarchisé les compétences Zero Trust, leurs activités seront orientées vers les politiques, les contrôles, puis vers la prescription des données spécifiques dont ils ont besoin pour appliquer en permanence la ZT et maintenir leurs positions de sécurité. Dans de nombreux cas, cette phase est étroitement liée à des programmes GRC (gouvernance, risque et conformité) plus larges. Les indicateurs opérationnels et tactiques les aident à décrire objectivement à quoi ressemble le succès à chaque étape de leur feuille de route ZT, et les indicateurs qu'ils utiliseront comme indicateurs pour mesurer leurs progrès et identifier les principales lacunes. Un grand nombre de ces indicateurs sont souvent utilisés comme données probantes pour leurs tests de conformité et leurs rapports d'audit. Si un client dispose d'un programme de gestion des risques et de surveillance continue, il utilisera également ces indicateurs pour identifier sa base de sécurité et suivre les performances de l'organisation par rapport à ses indicateurs de sécurité cibles. Lorsque vous regardez Conformité à la norme PCI, par exemple, les métriques ZT à cette phase répondront à des questions telles que :

• Quel pourcentage de nos applications critiques et de nos connexions d'entreprise sont soumises à des règles de pare-feu trop générales et/ou obsolètes avant la segmentation ?
• Quel a été le pourcentage de réduction des règles de pare-feu obsolètes et trop générales après la microsegmentation ?
• Alors que nous passons à un modèle opérationnel de travail à distance,
• Quel pourcentage des terminaux disposent de connexions légitimes avec les applications de paiement ?
• Quel pourcentage des terminaux légitimes sont gérés par rapport aux terminaux non gérés/BYOD ?
• Quel pourcentage des terminaux sont surveillés pour détecter les connexions suspectes et les violations des politiques ?
• Quel pourcentage des connexions légitimes des utilisateurs à distance (via des ordinateurs portables fournis par l'entreprise ou BYOD) aux applications de paiement sont microsegmentées ?

Étape 3 : Faire appliquer

C'est l'étape où vous allez passer aux choses sérieuses. Une fois le déploiement et la mise en œuvre initiaux terminés, l'accent est mis sur la surveillance et la validation continues de leur posture Zero Trust cible. Zero Trust n'est pas une activité « une seule fois » car les environnements individuels sont dynamiques. Au cours de la phase d'application, les organisations voudront s'assurer qu'elles sont en mesure de suivre l'évolution de leur environnement.

Grâce à la capacité d'Illumio à surveiller en permanence les connexions et les flux entre les environnements (connexions poste à poste entre terminaux, connexions utilisateur aux applications d'entreprise et connexions entre charges de travail et charges de travail) permettent aux organisations d'obtenir facilement des informations contextuelles. Ils utilisent ces informations pour automatiser et orchestrer les politiques, la réponse aux incidents et la remédiation, qui sont souvent cités par nos clients comme principaux avantages de la solution. Une fois de plus, les mesures opérationnelles et tactiques aident les organisations à identifier les indicateurs clés pour leur faire savoir que leurs programmes Zero Trust fonctionnent comme prévu. Voici des exemples de questions et de mesures pertinentes :

• Quel a été le délai moyen de détection des nouveautés et des modifications de la connectivité IP dans les applications de paiement et les systèmes connectés PCI ?
• Quel a été le délai moyen de mise à jour des règles de pare-feu applicables en réponse à des modifications des connexions IP aux applications de paiement ?
• Quelle a été la réduction du nombre de vulnérabilités de gravité élevée et moyenne dans les applications de paiement, qui ont dépassé la fenêtre de correction de l'entreprise ?
• Quel était le nombre d'applications non corrigées (en raison de contraintes opérationnelles) mais critiques utilisant la microsegmentation ?

Mesurer la valeur de la microsegmentation pour une confiance zéro

La microsegmentation est un élément essentiel pour contenir les attaques par mouvements latéraux, ce qui constitue l'objectif ultime de Zero Trust. Un client type d'Illumio est confronté à de nombreuses priorités de sécurité concurrentes. Dans certains cas, les parties prenantes voudront donc savoir « dans quelle mesure ». Disposer d'une méthodologie qui documente et démontre quantitativement l'efficacité de la microsegmentation aidera un défenseur de la microsegmentation à vendre son initiative à ses parties prenantes internes.

Nous avons récemment établi un partenariat avec les spécialistes de l'équipe rouge, Bishop Fox, pour développer une approche permettant de mesurer l'efficacité de la microsegmentation sur la base des principaux composants du framework MITRE ATT&CK®. Le résultat de cette collaboration est le suivant : »Rapport d'évaluation de l'efficacité de la microsegmentation». Le rapport décrit une méthodologie reproductible que les clients peuvent utiliser pour effectuer des tests dans leur propre environnement.

L'équipe a découvert que des politiques de microsegmentation correctement appliquées empêchaient les acteurs malveillants de se déplacer latéralement, ce qui augmentait le temps nécessaire pour faire des compromis. L'équipe de Bishop Fox constate également que la microsegmentation augmente le nombre d'événements détectables permettant à l'attaquant d'atteindre les systèmes ciblés.

Le rapport indique que l'augmentation de la couverture des capacités de microsegmentation, tout en maintenant le même état politique, se traduit par des gains mesurables en termes de retard de l'attaquant. Cela oblige l'attaquant à changer de technique afin de traverser le réseau plus efficacement. Les clients peuvent donc utiliser la microsegmentation, non seulement pour contenir le mouvement latéral, mais également pour forcer l'attaquant à se comporter de manière à optimiser les capacités de surveillance et de détection des menaces du client. Cette conclusion laisse entrevoir une opportunité d'étudier et de développer des métriques Zero Trust qui répondent à des questions sur :

• Nombre d'événements détectables et d'indicateurs de compromission
• Amélioration des délais de détection d'une attaque grâce à l'amélioration des capacités de traque des menaces
• Amélioration du temps nécessaire pour contenir une attaque (telle qu'un rançongiciel)

Visitez notre Page des solutions Zero Trust pour en savoir plus sur les capacités d'Illumio à rendre Zero Trust opérationnel.

Si vous souhaitez en savoir plus sur l'efficacité de la microsegmentation, veuillez consulter le webinaire à la demande.