À grands pas vers une confiance zéro

0:00:04.4 Raghu Nandakumara : Bienvenue sur The Segment, un podcast Zero Trust Leadership. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation. Aujourd'hui, je suis rejoint par Ryan Fried, ingénieur principal en sécurité de l'information chez Brooks Running. Chez Brooks, Ryan est chargé de superviser les projets de sécurité à l'échelle de l'organisation, de la conception à la réalisation. Avant de rejoindre Brooks, il a travaillé comme analyste de sécurité, ingénieur réseau, responsable de l'évaluation des risques et architecte de sécurité dans des organisations telles que Coverys et BlueSnap. Aujourd'hui, Ryan se joint à nous pour discuter du rôle de la cybersécurité dans les secteurs de la fabrication et de la vente au détail, de la mise en place d'un programme Zero Trust réussi et de la différence entre conformité et sécurité.

0:00:50.3 Raghu Nandakumara : Salut, Ryan, c'est super de t'avoir parmi nous aujourd'hui, merci de t'être joint à nous. Comment allez-vous ?

0:00:55.5 Ryan Fried : Bien, j'apprécie vraiment cette opportunité. C'est toujours un plaisir de discuter avec vous.

0:01:00.1 Raghu Nandakumara : Cela nous fait plaisir. Je dois dire tout d'abord que les chaussures de course Brooks que j'utilise depuis un mois environ sont de loin les chaussures de course les plus confortables, les plus légères et les meilleures que j'ai jamais possédées. Je n'arrive pas à croire que je ne les avais pas essayés jusqu'à présent. C'est donc doublement excitant de vous avoir à bord. J'aime entamer ces conversations avec nos clients et leur demander comment ils se sont retrouvés dans le cyberespace. Quel a été ton parcours alors ?

0:01:27.5 Ryan Fried : Sûr. Je dirais que je suis l'une des voies les plus traditionnelles vers le cyberespace. J'ai étudié les systèmes d'information de gestion, donc un croisement entre les affaires et la technologie. J'ai fini par décrocher un emploi dans une grande compagnie d'assurance maladie dans le cadre d'un programme de rotation informatique. Tous les six à huit mois, nous passions à un autre secteur informatique. Je me suis lancé en pensant que je voulais devenir chef de projet et, au bout de six mois, j'ai rapidement découvert que ce n'était pas le cas. J'aime davantage le travail pratique. Donc, après ma deuxième année, la compagnie d'assurance maladie a recruté son, au moins l'un de ses premiers, CISO. Il a simplement introduit cette incroyable culture au sein de l'entreprise au point que tous les jours à 16 heures, le travail de tout le monde s'arrêtait pratiquement dans les domaines de la sécurité et de l'infrastructure, et il parlait des dernières menaces et vulnérabilités que les gens lisaient ou signalaient, puis il en discutait. Et je n'ai entendu aucune autre entreprise où le responsable de la sécurité en parle au responsable de l'infrastructure sur appel et qui élabore un plan pour y remédier, peut-être en quelques jours. Ensuite, différents ingénieurs ont parlé de leur activité sur le dark web et de leur capacité à rester à l'écoute. J'étais donc fascinée et je n'ai jamais vraiment regardé en arrière depuis.

0:02:42.5 Raghu Nandakumara : C'est très intéressant d'entendre tout d'abord ce commentaire sur le fait que vous avez fait de la gestion de projet pendant un an, puis que vous en avez changé. Cela me rappelle clairement une conversation que j'ai eue avant mon premier emploi à la sortie de l'université dans le cadre du programme d'analyste et que j'ai essentiellement eue sur... Dans la main gauche, il y avait : « Hé, tu pourrais accepter un poste dans la gestion de projets informatiques, dans la main droite, tu pourrais accepter un emploi dans le domaine de la cybersécurité ». Je lui dis : « Il n'y a qu'un seul choix, ce n'est pas la main gauche. » Mais cette culture de l'apprentissage est tellement agréable à entendre parce que vous avez tout à fait raison. Cette opportunité de simplement utiliser des outils et de consacrer une demi-heure de votre journée à apprendre, à discuter et à partager des idées est une opportunité incroyable. Quoi, dès les premiers jours où vous en avez fait l'expérience, quelles sont les choses que vous en êtes ressorties ?

0:03:37.3 Ryan Fried : J'ai juste cet état d'esprit de croissance. Il y a 10 ans, nous avons commencé à parler un peu de cloud public, mais plutôt de machines virtuelles. Même au cours des deux dernières années, j'ai dû en apprendre davantage sur les conteneurs et DevSecOps en partant de zéro, et en savoir juste assez pour répondre aux exigences des personnes qui le font depuis cinq ans en toute confiance mais aussi d'un commun accord. Nous n'allons pas leur donner des exigences et leur dire que vous devez les faire, mais en leur demandant, ils s'y connaissent un peu en matière de sécurité. Donc, juste au moment où vous pensez que la technologie progresse, vous devez apprendre la suivante, mais il est très important d'être ouvert à l'idée d'en apprendre davantage.

0:04:19.8 Raghu Nandakumara : Oui, absolument. Donc, dans cette découverte initiale de la cybersécurité et des menaces, pouvez-vous partager une capacité de sécurité particulière ou peut-être s'agit-il d'une menace qui a attiré votre attention et vous a dit : « Mon Dieu, c'est vraiment passionnant, c'est ce que je veux poursuivre ».

0:04:37.9 Ryan Fried : Oui, je pense qu'il y a 10 ans, la technologie la plus intéressante était CrowdStrike dans le domaine de l'EDR. J'ai grandi en connaissant les bases de Sophos ou Vera et en leur faisant effectuer des scans de base. Mais quand j'ai vu la visibilité qu'un outil comme CrowdStrike peut apporter ou que n'importe quel autre fournisseur d'EDR peut réellement apporter en examinant cet arbre de processus et en utilisant cette approche basée sur le comportement, j'ai trouvé cela vraiment cool.

0:05:05.8 Raghu Nandakumara : Ce passage de la détection heuristique à la détection comportementale a donc évidemment constitué un changement radical dans la manière dont nous avons mis en place une protection basée sur les terminaux. Et cela s'est considérablement développé au cours des 10 dernières années avec l'évolution des technologies basées sur le ML et l'IA. Alors, et je sais que vous avez travaillé chez RSA récemment, qu'y a-t-il de particulièrement intéressant dans ce que vous avez vu de la part des fournisseurs ?

0:05:34.4 Ryan Fried : Ouais. En ce qui concerne RSA, j'ai trouvé que l'une des technologies les plus intéressantes était la protection de la sécurité de votre cloud, en recherchant une configuration cloud vraiment utile. Mais en ce qui me concerne, je veux savoir ce que font les acteurs de la menace et les associer aux contrôles, généralement des erreurs de configuration des plateformes cloud. Il existe de nombreuses plateformes de configuration cloud qui vous enverront 300 alertes élevées, ce qui n'est pas utile pour moi. Je commence donc à voir des fournisseurs adopter une approche davantage basée sur les risques, qui leur permettrait peut-être de détecter qu'une adresse IP publique leur est associée et qu'un accès Internet est ouvert ou qu'il s'agit d'une mauvaise configuration exploitée dans la nature. Je commence à envisager une approche des erreurs de configuration du cloud public basée sur les menaces, ce qui est très utile en tant qu'ingénieur.

0:06:31.7 Raghu Nandakumara : Et vous utilisez les mots ou les termes « basé sur les risques » et « basé sur les menaces » et nous les entendons souvent, en particulier sur le marché des fournisseurs. En tant que praticien et praticien très expérimenté, lorsque vous dites basé sur les risques et lorsque vous dites basé sur les menaces, que voulez-vous dire très précisément ?

0:06:54.2 Ryan Fried : Ainsi, lorsque j'utilise ces deux termes, je pense généralement à la gestion des vulnérabilités. Vous ne pouvez donc pas tout patcher. Vous devez disposer librement d'un haut niveau de fidélité quant à l'importance que cela devrait revêtir lorsque vous vous adressez à votre équipe chargée de l'infrastructure. Donc, certaines choses que j'examine, et que certains outils de gestion des vulnérabilités font mieux que d'autres, sont les ressources auxquelles le public est confronté ? S'agit-il d'une vulnérabilité ou d'une preuve de concept, telle qu'un code d'exploitation ? Est-il activement exploité ? La CISA fait un très bon travail avec la liste des vulnérabilités exploitées connues à l'heure actuelle. Quel est le niveau de complexité requis pour un hacker ? Peuvent-ils simplement taper une ligne de commande en une ligne à l'aide de Metasploit, ou cela nécessite-t-il un niveau de complexité élevé ? Et puis quel est le niveau d'interaction des utilisateurs ? Est-ce qu'ils envoient un e-mail alors qu'ils n'ont même pas besoin de l'ouvrir ? Ou est-ce que l'utilisateur doit cliquer plusieurs fois ? Ce sont donc généralement les éléments qui, en plus du score CVSS, nous aident à vraiment hiérarchiser les problèmes que nous devrions chercher à corriger en premier lieu.

0:08:01.8 Raghu Nandakumara : Et je pense que tu as utilisé le terme exposition. Quelle est l'exposition réelle, le risque d'exposition aux vulnérabilités ? Comment, en tant que praticien, pouvez-vous vous faire une idée de la visibilité de vos actifs pour votre organisation ?

0:08:20.0 Ryan Fried : Oui, c'est vraiment difficile. La gestion d'actifs dans la plupart des entreprises dans lesquelles j'ai travaillé a certainement représenté un défi. Vous avez des actifs un peu partout. Vous avez des personnes qui vont et viennent jusqu'aux postes de travail. Vous avez de nouveaux serveurs en cours de création. Vous avez DevSecOps où des serveurs éphémères sont installés au-dessus de votre cloud public. Et j'ai déjà été victime de Pentest, où nous avions un boîtier Windows 2008 piraté, qui ne contenait pas d'agent EDR, le testeur de stylet l'a trouvé, l'a exploité, puis s'est déplacé latéralement pour obtenir un accès au domaine et à un accès administrateur. Les meilleures méthodes que j'ai découvertes récemment sont donc l'accès par API à votre stack VMware, la présence dans le cloud public quel que soit votre usage, votre solution MDM. Ainsi, vous ne comptez pas sur l'installation d'un agent ou sur la prise de mesures.

0:09:14.0 Ryan Fried : Il y a donc quelques fournisseurs qui font du très bon travail en ce qui concerne l'utilisation de la connexion API à différentes plateformes. Mais en tant que praticien, un défi consiste également à s'assurer que tous vos agents sont partout, ce qui... Je n'ai jamais obtenu une conformité à 100 % de la part de tous les agents, de tous les serveurs et de tous les postes de travail. Ainsi, au lieu de passer manuellement en revue et de consulter votre fournisseur d'EDR et votre fournisseur de gestion de coffres-forts, il existe des outils qui exécuteront des appels d'API. Ils obtiendront ce nom d'hôte et indiqueront que nous voyons EDR, nous voyons la gestion du coffre-fort, mais nous ne voyons pas l'outil qui extrait vos journaux et les envoie à la carte SIM. Cela facilite donc les choses, sinon vous le faites vous-même, ce que vous n'obtiendrez pas toujours à 100 %.

0:10:01.2 Raghu Nandakumara : Ce truc, tu n'arriveras jamais à 100 % et tu es toujours en train de rattraper ton retard. Et je ne dis pas cela dans le contexte de ce que nous disons souvent : « oh, les attaquants ont toujours une longueur d'avance ». Je n'en parle pas de ce point de vue, mais comme vous l'avez dit, sur les bases, nous sommes toujours en train de rattraper notre retard, qu'il s'agisse de patchs ou de découverte d'actifs, etc. Comment déterminez-vous ce qui est suffisant ? Ce qui constitue un niveau acceptable et au-delà, c'est un avantage, mais le coût de l'amélioration est également potentiellement prohibitif. Comment le paramètrez-vous ? Parce que, et ce n'est pas pour vous couper la parole, pour en revenir à cet exemple de serveur Windows 2008 que vous ne connaissiez tout simplement pas. C'est la vulnérabilité qui finit par être exploitée. Comment parvenez-vous à atteindre cet équilibre ?

0:10:46.1 Ryan Fried : Ouais. Je suis vraiment heureuse que vous ayez parlé de l'expression « assez bien », car c'est un principe qui me tient à cœur dans le domaine de la sécurité. J'ai travaillé dans des entreprises très réglementées comme l'assurance maladie, la Fintech et les données des titulaires de cartes, où tout est assez prescriptif quant à ce que vous devez faire, mais aucune entreprise pour laquelle j'ai travaillé n'est spécialisée dans la sécurité. Brooks vend des chaussures et nous essayons de minimiser notre surface d'attaque. Et si et quand nous sommes victimes d'un ransomware, cela ne nous éliminera pas en tant qu'entreprise. Pour travailler dans le secteur de la vente au détail, pour le meilleur ou pour le pire, il n'existe aucun cadre de conformité que nous devons vraiment respecter d'un point de vue holistique. Nous utiliserons donc des éléments tels que le cadre de cybersécurité du NIST ou CIS Top, ce qui était 20, je crois, fait 18 maintenant.

0:11:34.5 Ryan Fried : Ensuite, nous examinons généralement, une fois par an, les différents contrôles et nous nous évaluons, par exemple la gestion d'actifs. C'est important pour nous. Et si nous nous plaçons sur une échelle de un à cinq, peut-être que nous sommes sur deux ou trois, mais peut-être que nous n'arrivons pas à cinq. Quel est le niveau d'effort requis pour passer de deux à trois, de trois à quatre et de quatre à cinq ? À quel moment pouvons-nous le qualifier d'assez bon en fonction de notre taille, de notre personnel, pour passer ensuite à l'étape suivante ? Nous examinons donc ce qui est le plus important pour nous. La gestion d'actifs est évidemment très importante. Ensuite, nous déterminons quel est un score acceptable pour cela et nous l'améliorons.

0:12:16.5 Raghu Nandakumara : C'est vraiment intéressant. Et vous y avez dit des choses très intéressantes à propos du contraste entre les secteurs fortement réglementés tels que la finance, comme la santé, et un secteur beaucoup moins réglementé, en particulier en ce qui concerne les exigences de cybersécurité, comme la fabrication et la vente au détail. Et quand je pense à ces secteurs hautement réglementés, ils disposent généralement de trois leviers. Le premier est la réglementation, l'autre en donne une idée très claire, c'est quelque chose que je dois absolument protéger, sinon il y a une perte de réputation, une perte de revenus commerciaux, etc. Et puis il y a souvent un événement sismique qui touche cette industrie, ce secteur, ce qui signifie que personne d'autre ne veut faire la une des journaux. Mais maintenant, dans les secteurs non pas non réglementés, mais les moins réglementés, comment pouvez-vous essentiellement créer ces leviers pour faire avancer votre programme ?

0:13:12.7 Ryan Fried : Oui, je pense que la chose la plus importante que nous ayons faite chez Brooks, et que j'ai constatée dans d'autres entreprises, c'est d'avoir ce comité directeur. Mon patron rencontre donc le directeur des opérations, le directeur financier, le responsable de la confidentialité et le responsable des affaires juridiques, et pour qu'ils comprennent l'importance de la sécurité, cela nous donne une énorme influence. Je pense donc que c'est vraiment la chose la plus importante, vous avez besoin de l'adhésion de la haute direction et être en mesure de définir où nous en sommes, où nous devons être et ce qu'il faut, qu'il s'agisse d'argent ou de personnel, c'est vraiment la façon dont j'ai trouvé le moyen le plus efficace de le faire.

0:13:48.0 Raghu Nandakumara : Et comment contrastez-vous le rôle que vous occupez aujourd'hui chez Brooks avec certains des rôles que vous avez occupés chez vos anciens employeurs dans ces secteurs réglementés ? Quels sont les défis de l'un par rapport aux défis de l'autre ? Et donc, parce que c'est vraiment intéressant que vous ayez évolué dans ces différents secteurs en occupant ce rôle.

0:14:09.1 Ryan Fried : Oui, je pense que notre étoile polaire est un peu différente. Alors que nous travaillions dans un secteur hautement réglementé pour le HIPAA pour les assurances, nous étions beaucoup plus axés sur les données. Nous avons utilisé des outils pour trouver des données confidentielles restreintes. Nous avons fait davantage en matière de prévention des pertes de données. Cela ne veut pas dire que nous ne le faisons pas chez Brooks, mais nous ne disposons pas de données hautement réglementées. Chez Brooks, nous nous concentrons beaucoup plus sur la disponibilité. L'examen des rançongiciels détermine donc une grande partie de nos activités. Alors oui, je dirais que même si nous réfléchissons à un type de données propriétaire en matière de propriété intellectuelle, nous nous concentrons beaucoup plus sur la disponibilité face à différentes menaces.

0:14:52.2 Raghu Nandakumara : Et je trouve cela vraiment fascinant parce que nous pensons à ce triangle de sécurité traditionnel de la CIA. Le C obtient généralement beaucoup de concentration. Et le I reçoit une bonne dose d'attention et le A n'est souvent pas ignoré, mais c'est la partie que tout le monde est prêt à sacrifier pour protéger le C et le I. Mais encore une fois, je pense que, compte tenu du fait que le terme cyber-résilience est devenu vraiment à la mode ces dernières années, l'accent est mis de plus en plus sur le A et les organisations accordent de plus en plus d'importance au pilier de disponibilité du triangle de la CIA en plus du C et du I. Est-ce ainsi que vous voyez ça ?

0:15:37.3 Ryan Fried : Je le sais vraiment. Ouais. Nous réfléchissons à la disponibilité de notre système ERP. Une chose que j'ai remarquée, c'est que de plus en plus d'entreprises testent, d'après mon expérience, la récupération de ce ransomware. C'est une chose de le mettre en place, mais il est très important de savoir combien de temps cela prend réellement, puis de les récupérer et de permettre à cet utilisateur professionnel d'obtenir les données dont il a besoin, car vous ne voulez pas le faire pour la première fois avec un ransomware. Et puis c'est super intéressant de découvrir... J'ai participé aux efforts de continuité des activités et supposons que quelqu'un ait besoin de l'application XYZ, vous lui demandez à quelle vitesse et il répond dans une heure. Parce que pourquoi pas ? Pourquoi ne pas dire une heure ? Alors qu'en réalité, cela peut prendre huit heures à notre équipe chargée de l'infrastructure pour corriger cet écart, elle peut dire : « Nous pouvons le faire en une heure, mais vous devrez payer pour un autre centre de données actif et en écriture, qui coûtera, disons, un million de dollars, puis ils se disent : « Huit heures, c'est plutôt bien ». » Il est donc important de gérer ces attentes quant au temps qu'il faut réellement pour ces applications critiques pour établir un niveau, car cela prend plus de temps que vous ne le pensez.

0:16:52.5 Raghu Nandakumara : Oui, absolument. Et tu l'as dit... Juste deux ou trois choses. Désolée, je suis vraiment excitée quand nos invités, juste ce flux de pensées et tout le reste, ont envie de double-cliquer sur toutes ces choses. Commençons donc par le début de cette réflexion et vous avez parlé de l'efficacité et de l'efficacité de mes contrôles. Donc, une question un peu complexe, de votre point de vue, qui remonte à l'époque où vous travailliez dans des secteurs plus réglementés, est la suivante : quelle est selon vous la différence entre la conformité et la sécurité ?

0:17:27.9 Ryan Fried : Oui, c'est une énorme différence. La conformité peut donc être utilisée de manière positive. En ce qui concerne les données de cartes de crédit, le PCI est très prescriptif et comporte de nombreux avantages, mais il recommande également des mots de passe à huit caractères, ce que j'ai du mal à accepter. C'est donc une bonne base de référence que vous pouvez utiliser pour faire avancer les choses. Je pense qu'en adoptant cette approche basée sur les menaces qui permet de déterminer dans quel secteur d'activité vous évoluez, comment les attaquants s'y prennent-ils ? Par exemple, en ce qui concerne le cloud, Gartner indique que 90 à 95 % des violations du cloud sont dues à une mauvaise configuration. Je ne sais pas si les audits en parlent, mais c'est important car nous sommes présents dans le cloud. La conformité est donc une bonne chose, elle peut être votre amie, mais vous ne pouvez pas vous contenter de cela.

0:18:18.4 Raghu Nandakumara : D'après les rôles précédents, je constate que la conformité et les audits consistent souvent à vérifier la conformité par rapport à une liste de contrôle ou à un ensemble de normes que vous avez définies, par rapport à la véritable menace et à la manière dont elle pourrait exploiter cette configuration actuelle. Cela m'amène à la question qui fait suite à ce genre de réflexions que vous avez partagées, à savoir comment testez-vous l'efficacité de vos contrôles ?

0:18:52.0 Ryan Fried : Maintenant, vous parlez de mon projet de passion lors de mes deux derniers jobs.

0:18:57.6 Raghu Nandakumara : Très bien, allons-y.

0:18:57,8 Ryan Fried : Oui, quand j'ai commencé, parlez de l'évolution sur 10 ans. Vous paieriez un testeur de stylos, quel que soit le montant, et il lancerait simplement un scan Nessus et vous dirait que toutes vos vulnérabilités sont présentes et c'est tout. La partie suivante que j'ai vue, c'est que maintenant vous payez un testeur de stylet, peut-être que vous lui donnez accès dans votre environnement, peut-être que vous ne le faites pas. Probablement pas. Ils essaient d'entrer, ils peuvent entrer, ils y auront accès, puis vous réglerez ces problèmes. Au cours des deux dernières années, vous avez commencé à assister à l'évolution du « purple teaming » et d'outils tels qu'Atomic Red Team, qui permet désormais à une personne qui n'a pas la formation de testeur de stylos officiel de simuler ce que les pirates utilisent.

0:19:38.7 Ryan Fried : Je vais donc examiner différents rapports de Mandiant ou Red Canary et ils indiqueront que ce sont les 10 meilleures techniques de piratage que nous avons vues au cours de l'année écoulée. Ensuite, j'utiliserai un outil pour exécuter ces techniques sur mon ordinateur portable de notre réseau. Nous verrons ce que notre EDR ou nos pare-feux détectent. S'ils en attrapent la majeure partie, tant mieux. Et s'ils ne détectent rien, j'écrirai une détection à partir de notre SEM ou EDR, afin que nous la détections la prochaine fois. Un exemple rapide est que la plupart des pirates informatiques, lorsqu'ils entrent, lancent quelque chose comme : « Qui suis-je ? » Pour savoir exactement où ils se trouvent, quel compte ils possèdent. Nous avons constaté que notre outil EDR ne le détectait pas. Nous avons donc créé un système de détection rapide chaque fois que nous voyons cela. Nous avons détecté des testeurs de stylos comme ça avec quelque chose d'aussi simple et si tôt. Oui, je pense juste qu'utiliser des éléments comme l'émulation d'un adversaire ou même exécuter des éléments dans les invites de commande, comme who am I, sysinfo ou net group admin, est vraiment efficace et gratuit.

0:20:46.3 Raghu Nandakumara : Je voudrais donc poser cette question. Absolument, et je pense que c'est vraiment l'évolution des tests de sécurité. Je pense que nous sommes arrivés à un stade où nous sommes beaucoup plus réalistes lorsqu'il s'agit de tester nos défenses de sécurité. Et bien entendu, les exercices en équipe permettent une boucle de feedback rapide pour améliorer cela. Mais si vous êtes sur place et que vous recherchez la prochaine fonctionnalité de sécurité que vous souhaitez intégrer pour protéger, en l'occurrence Brooks, comment pouvez-vous vous assurer que tout ce que ce fournisseur essaie de vous vendre vous apportera réellement le renforcement de la sécurité que vous attendez ? Comment vous y prenez-vous ?

0:21:30.1 Ryan Fried : Oui, je pense qu'il est très important de définir des critères de réussite vraiment prescriptifs. Alors, quel cas d'utilisation essayez-vous de trouver ? Parce que vous ne passerez pas un bon moment si vous vous contentez de chercher un fournisseur et que vous dites : « Je veux avoir la capacité de le faire ». Pourquoi ? Contre quoi essayez-vous de vous défendre ? Et peux-tu imiter ça ? Si vous recherchez une solution de gestion de la posture de sécurité dans le cloud, vous pouvez peut-être effectuer un POC rapide, puis ouvrir un compartiment S3 au monde entier sans aucune donnée et voir à quelle vitesse il les détecte. Ou pour la microsegmentation, vous avez peut-être un ordinateur portable et vous effectuez un scan Nmap de l'ensemble de l'environnement pour voir ce qu'il peut communiquer en retour. Ensuite, vous mettez l'outil en mode d'exécution et vous voyez ce que vous pouvez encore atteindre. Je pense donc que vous devez comprendre le cas d'utilisation et le problème que vous essayez de résoudre avant même de penser à rechercher des fournisseurs.

0:22:30.2 Raghu Nandakumara : Oui, absolument. Je suis d'accord, parce que c'est le cas, et je pense que, du point de vue du client, il faut avoir une idée claire du cas d'utilisation que vous essayez de résoudre par rapport à un général : « Hé, j'ai besoin de cette fonctionnalité ». Il faut que ce soit lié pour bénéficier des avantages. Et puis, du point de vue du fournisseur, je pense qu'il est possible de se connecter clairement à ce cas d'utilisation au lieu de dire à nouveau : « Hé, nous vous vendons cette fonctionnalité », et cela fonctionne comme ça. Et le fait de pouvoir le dire, je pense que c'est très important. Et je voudrais passer à la prochaine étape, car il s'agit d'un podcast Zero Trust Leadership. Nous allons donc parler un peu de Zero Trust. Et je sais que vous êtes un fervent adepte du Zero Trust. Vous avez mis en place au moins deux programmes Zero Trust auprès de différents employeurs. Tout d'abord, que pensez-vous de Zero Trust et pourquoi cela vous tient à cœur ?

0:23:23.4 Ryan Fried : Ouais. Je pense donc toujours à la violation de Target survenue il y a une dizaine d'années, lorsqu'un fournisseur de CVC a eu accès au réseau et a ensuite pu accéder aux données du titulaire de la carte. C'est l'une des raisons pour lesquelles nous essayons de le faire. Ou, en gros, je me demande si et quand un utilisateur est infecté, comment minimiser ce rayon d'explosion en lui donnant l'accès le moins privilégié possible afin qu'il ne puisse pas faire trop de dégâts ?

0:23:52.4 Raghu Nandakumara : Donc, lorsque vous appliquez cela, et bien sûr... Cela correspond parfaitement à l'approche Zero Trust en matière de sécurité, alors comment créer un programme pour aider votre organisation à adopter cette approche ? Parce que l'on entend souvent dire que Zero Trust est une bonne idée, mais difficile à réaliser dans la pratique, et pourtant vous l'avez fait deux fois avec succès. Alors, quelle est la sauce secrète que vous avez et que les autres devraient connaître ?

0:24:23,0 Ryan Fried : Sûr. Zero Trust est plutôt un principe que j'ai pu appliquer de différentes manières. Dans presque tout ce que nous faisons, nous réfléchissons à la manière dont nous pouvons atteindre Zero et Zero-ish Trust. Actual Zero Trust est vraiment difficile à réaliser, et je trouve que c'est vraiment intimidant. Quand j'ai pensé à Zero Trust pour la première fois, j'ai pensé à la possibilité de réduire les communications de serveur à serveur, ce qui me fait vraiment peur et cela a vraiment un impact sur la production. Mais par exemple, nous parlons de microsegmentation du point de vue Zero Trust. Quel est le meilleur rapport qualité-prix que nous allons obtenir en étant le moins perturbateur possible ? Parce que comme vous, et je suis sûr que vos auditeurs le savent, j'ai perdu ma crédibilité à cause d'un outil ou d'une technologie, d'une sorte d'outil de sécurité qui bloquait quelque chose, peut-être que c'était un blocage légitime, peut-être pas, mais il est vraiment difficile de regagner cette confiance.

0:25:22.3 Ryan Fried : J'ai eu des outils où, chaque fois que quelque chose se cassait, ils me demandaient : « Est-ce cet outil ? » Je lui réponds : « Non ». À partir de là, nous avons examiné la communication poste de travail à poste de travail, qui devrait être nulle. Et puis l'interaction entre l'utilisateur et le serveur, car plus de 90 % de nos employés ne travaillent pas dans le secteur informatique. Ils n'accèdent donc pas vraiment aux serveurs à moins que ce ne soit via HTTPS, ils n'y accèdent pas à distance. Du point de vue des menaces, la plupart des intrusions commencent par un e-mail de phishing sur un poste de travail, alors que les utilisateurs n'accèdent pas normalement au courrier électronique sur un serveur et ne devraient pas le faire. Comment puis-je m'y prendre ? J'ai entendu dire que quelqu'un a été touché par un ransomware alors que nous ne passons pas une mauvaise journée, qui ne peut affecter aucun autre poste de travail et la plupart des autres serveurs. Pour moi, c'est le Zero-ish Trust du point de vue de la microsegmentation.

0:26:19.2 Raghu Nandakumara : J'aime bien la façon dont vous avez dit que c'était zéro. Parce que je pense que cela revient à quelque chose dont nous parlions tout à l'heure, c'est suffisant. Et c'est tracer la ligne entre ça... Je sais que c'est ici que... Et je pense que pour paraphraser ce que vous venez de dire, je sais que ce sont les plus grands risques liés à un accès trop permissif au sein de mon réseau. C'est donc sur cet accès que je vais me concentrer sur la réduction de cette confiance implicite. Je vais donc vers plus de confiance implicite zéro, mais je trace la limite car, au-delà de cela, le retour que j'obtiens pour les efforts que je déploie est négligeable ou je pense qu'il est possible de revenir en arrière... Et c'était un point très important à propos de... Cela peut souvent définir une carrière. Les contrôles de sécurité sont déterminants pour votre carrière, car s'ils fonctionnent bien et que vous êtes en mesure de démontrer que vous avez réduit les risques et votre exposition, alors tout le monde vous loue. Mais il y a bien plus de chances qu'une candidature critique échoue et qu'ils disent : « Hé Ryan, salut Raghu, discutons de la question que tu viens de postuler ». Et comme vous l'avez dit, vous devez passer des heures, des jours, à expliquer pourquoi ce n'est pas votre produit qui a causé le problème. Encore une fois, je pense que c'est peut-être pour le répéter, quelle est cette mesure qui indique que, jusqu'à présent, l'effort en vaut la peine ? C'est suffisant. Et puis au-delà de cela, le coût est élevé pour obtenir plus d'avantages. Comment tracer cette ligne dans le sable ?

0:27:56,8 Ryan Fried : Bien sûr, cela peut être subjectif, mais pour moi, je pense aux frais administratifs, puis à l'impact de la production sur les applications. Dans leur description de poste, les personnes autres que nous ne disent pas qu'il faut faire preuve de sécurité. Ils ont besoin de leurs applications pour fonctionner. Je peux donc donner un bon exemple de quelque chose que nous n'avons pas fait parce que je ne pensais pas que cela en valait la peine. Supposons donc qu'un serveur soit infecté, qu'il visite un domaine commandé et contrôlé, qu'il télécharge un logiciel malveillant et qu'il soit infecté. Directement depuis le serveur, il n'était pas nécessaire qu'un utilisateur s'y connecte. Maintenant, une chose que nous pourrions faire est de faire du Zero Trust en autorisant uniquement les applications ou les serveurs à accéder à des domaines spécifiques, à certains sites Web. En réalité, les serveurs ne renvoient pas à de nombreux sites Web, mais le travail qui les sous-tend est incroyable. Et je ne le sais que parce que nous l'avons essayé. Il y a tellement de domaines sur un site Web que les choses peuvent atteindre. Ce serait donc un cauchemar administratif et aurait un impact sur la production si, disons qu'ils téléchargent une nouvelle application, elle ne fonctionne pas. Et disons que c'est quelqu'un en Asie ou en Europe et que c'est moi qui le fais. Donc, en fait, je pense à quel est le risque ? Le risque est que notre DNS ne capte pas ce domaine, que notre EDR ne capte pas ce domaine, que notre pare-feu ne capte pas ce domaine et qu'il s'agisse d'un serveur C2. Un acteur étatique peut-il le faire ? Sûr. Mais pour moi, cela n'en vaut pas la peine à cause de l'impact que cela peut avoir sur la production. Nous l'avons donc fait d'une autre manière.

0:29:45.1 Raghu Nandakumara : Ouaip Et j'ai une expérience similaire, donc je le comprends parfaitement. Quel est donc l'avenir de votre programme Zero Trust et que pensez-vous de cette évolution continue ? À quoi cela ressemble-t-il ?

0:30:01.1 Ryan Fried : Oui, je pense à la microsegmentation, pour s'assurer qu'elle est appliquée partout. En examinant différents cas d'utilisation, peut-être davantage du point de vue de la visibilité, afin de déterminer ce qui se rapporte à ce que nous considérons comme le cloud public et de nous assurer que nous utilisons le moins de privilèges possible en matière de rôles, d'accès, etc. Et en termes de moindre privilège, accès en général à tous nos comptes Active Directory, à la fois dans Azure et sur site. Ce sont là quelques-unes des grandes choses sur lesquelles nous travaillons.

0:30:29.6 Raghu Nandakumara : Et vous avez parlé du cloud à quelques reprises. De plus, les organisations et les professionnels font souvent la différence entre la sécurité du cloud et la sécurité traditionnelle des campus et des centres de données. En fait, j'ai assisté à un événement plus tôt cette semaine et sur scène se trouvait essentiellement une personne qui dirigeait DevOps ou DevSecOps dans une grande organisation financière. Et il a dit que le problème que nous avons créé est en disant : « D'accord, je fais une distinction différente entre la sécurité ou la façon dont je pense la sécurité différemment pour le cloud par rapport à l'héritage, traditionnel, quel que soit le nom que vous voulez. » Qu'en penses-tu ? Parce que son point de vue était que vous deviez y penser de la même manière afin d'avoir une sécurité constante.

0:31:18.0 Ryan Fried : Je suis tout à fait d'accord. Le dicton que je dis toujours est que le cloud n'est qu'une extension de votre centre de données. Qu'il s'agisse d'une machine virtuelle, d'une machine virtuelle Windows dans le cloud, dans votre centre de données ou sous votre bureau. Il doit encore être corrigé, certains agents sont toujours nécessaires et il est très dangereux de les visualiser séparément. Et je pense qu'il faut un certain temps pour s'y habituer, tant du point de vue de la sécurité que de l'infrastructure. Mais comme vous l'avez dit, les contrôles doivent être similaires. Maintenant, lorsqu'il s'agit de certaines choses, comme les services et les conteneurs de stockage, elles peuvent être différentes. Une machine virtuelle est une machine virtuelle, qu'elle soit éphémère ou non. Vous avez donc toujours besoin de cette visibilité et de ces correctifs, comme vous le feriez dans votre centre de données.

0:32:04.6 Raghu Nandakumara : Alors, quel genre de chose vous envisagez dans le futur, maintenant ? Quelles sont les tendances, les technologies qui vous passionnent vraiment ? Je sais que vous avez parlé un peu de votre projet passionné, mais qu'attendez-vous vraiment de voir se passer dans le monde de la cybersécurité ?

0:32:24.8 Ryan Fried : Oui, je pense que ce ne sont que des améliorations dans la gestion des actifs, comme nous en avons parlé, davantage de cette approche basée sur les API pour déterminer le nombre total de vos actifs. C'est difficile à découvrir, mais je pense également que dans les années à venir, nous verrons de nouvelles technologies liées à la sécurité des API. Je pense que les entreprises sont probablement plus exposées qu'elles ne le pensent, en particulier si elles ont des applications, des applications d'appel sur votre réseau ou, plus probablement, sur d'autres applications ou réseaux destinés au personnel. Et vous n'avez peut-être aucune idée du type de sécurité dont vous disposez pour cela. Je suis donc très heureuse de découvrir cette technologie qui permettra de savoir où se trouvent vos API et quel type de sécurité les entoure. Et puis avoir cette approche basée sur les développeurs où ce n'est pas mon expertise, mais j'adorerais un outil qui le mettrait dans le langage du développeur et avec le niveau de criticité approprié pour qu'il puisse y remédier.

0:33:19.3 Raghu Nandakumara : En fait, vous avez fait allusion à « développeur » et nous entendons beaucoup de termes tels que DevSecOps et « shift left » et « sécurisé par conception » ou « sécurisé par défaut ». Je ne suis en aucun cas un expert en ces termes, mais je suis... Je suis suffisamment dangereux pour les avoir lus et pouvoir les laisser échapper. Qu'est-ce que cela signifie pour vous et pour ce que vous faites en tant que praticien ?

0:33:46.1 Ryan Fried : Oui, je pense que Shift-left est très important. J'ai vu des développeurs dire des deux côtés : « Hé, nous avons cette application qui sera mise en production dans deux semaines. Peux-tu simplement donner ton approbation ? » Je lui dis : « Quoi ? » Ensuite, nous utilisons différents outils pour essayer d'examiner les vulnérabilités des applications, etc. Et nous trouverons une solution. Il sera probablement mis en ligne de toute façon. Idéalement, nous nous impliquons dès le début et je n'ai pas beaucoup d'expérience en développement d'applications, mais parfois, je trouve que le simple fait d'avoir des agents de sécurité dans la pièce les incite à parler ou à se comporter différemment lors de la discussion initiale. Mais je pense aussi que c'est très important car il existe des outils d'analyse de code statique, des outils d'analyse de code dynamique. Laissez le développeur choisir ce qu'il aime. Parce que je ne vais probablement pas y participer au quotidien, je veux quelque chose qui soit convivial pour les développeurs. Nous avons donc eu beaucoup de succès dans ce domaine. De toute évidence, nous voulons l'examiner pour voir s'il comporte le minimum de base en matière de contrôles de sécurité, mais nous voulons qu'il soit rédigé dans une langue qu'ils comprennent et nous jouons plutôt un rôle consultatif.

0:34:56.1 Raghu Nandakumara : Je suis en quelque sorte en train de jouer avec l'idée que l'adoption d'une approche Zero Trust en matière de sécurité correspond vraiment à un shift vers la gauche. Et prendre cela plutôt que d'essayer de bloquer les mauvaises choses, être explicite en disant « ce sont les bonnes choses que je veux autoriser » correspond tout à fait à, disons, au développement d'une application où vous êtes presque en train de dire, d'accord, je sais que ce sont les choses que j'ai besoin que l'application fasse et je veux écrire les règles de sécurité qui me permettent de le faire. Pensez-vous donc qu'il est vrai que lorsque nous voyons la sécurité se déplacer vers la gauche, cela va... Pour rendre cela pratique, il s'agira d'une adoption accrue de Zero Trust ou, pour le dire différemment, de se concentrer davantage sur la définition d'une sécurité basée sur des listes d'autorisation ?

0:35:48.4 Ryan Fried : Oui, je pense que le décalage vers la gauche joue vraiment un rôle. Je pense qu'à l'heure où nous intégrons de nouveaux serveurs ou applications, nous nous impliquons plus tôt, car cela sera intégré à notre environnement de microsegmentation et nous voulons comprendre de quelle communication cet outil a réellement besoin. Et je peux donner un exemple rapide. Nous avons eu une application dans laquelle le fournisseur a demandé que les ports 1 à 65 000 soient ouverts, ce qui est fou et extrêmement paresseux de la part de ce fournisseur.

0:36:16.7 Raghu Nandakumara : Qu'en est-il des quelques centaines d'autres à la fin ? Ils ne les voulaient pas ?

0:36:20.6 Ryan Fried : Ouais. Ils essayaient, le moindre privilège ou la confiance zéro. Si nous nous impliquons tôt, nous pouvons le laisser fonctionner pendant un mois et voir s'il ne s'agit peut-être que d'une gamme de 100 ou 1 000 ports. Mais si nous n'intervenons pas rapidement et qu'ils installent l'application à notre insu alors qu'elle est déjà en production, nous devrons probablement limiter cette application à 65 000, à moins d'avoir beaucoup de travail et d'une boucle de feedback rapide. Être impliqué dès le début de cette phase d'exigence et examiner les données qui vous aideront à réussir dans le cadre d'une stratégie Zero-ish Trust.

0:36:58.1 Raghu Nandakumara : Absolument Et je pense que cela revient à la maturité dont vous parliez : à mesure que ce programme mûrit, l'engagement de la sécurité se déplace naturellement de plus en plus vers la gauche. Et encore une fois, la distance à gauche dépend vraiment de la distance que vous voulez parcourir pour ce programme. Je veux dire, comme nous l'avons dit, il y a encore tant de choses dont nous pouvons discuter, mais je suis conscient du temps dont vous disposez. Qu'est-ce qui vous enthousiasme en termes d'avenir ? Quelles sont les choses que vous voudriez que les auditeurs entendent, retiennent et mettent peut-être en pratique ?

0:37:37.3 Ryan Fried : Oui, j'ai parlé de la validation des contrôles. J'ai été très heureuse de voir l'évolution de la sécurité en matière de collaboration et de renseignement sur les menaces exploitable. Je pense que MITRE ATT&CK a été très positif pour le secteur en codifiant essentiellement ce que font les attaquants à un niveau élevé. Donc, pour pouvoir faire partie d'un groupe de partage d'informations, assister à une conférence ou simplement lire des articles et voir ce que les pirates utilisent, puis vous donner la valeur ou la commande à exécuter. De cette façon, vous pouvez l'exécuter dans votre environnement pour voir si vous êtes concerné. Parce qu'auparavant, vous faisiez un test de stylet une fois par an, puis vous deviez attendre l'année prochaine et il devient obsolète très rapidement à cause de l'adaptation des environnements. Je suis donc très heureuse de continuer à voir cela se produire et peut-être même de modifier le cloud pour voir quels sont les journaux que je devrais consulter. Que font les attaquants ? Comment puis-je l'imiter ? Comment puis-je savoir si cela fonctionnerait ou non ?

0:38:40.2 Raghu Nandakumara : Génial. L'autre point, Ryan, est-il vrai que chez Brooks Running, vous participez à toutes vos réunions de sécurité importantes pendant que vous courez avec des entraîneurs Brooks ? Est-ce vrai ? Il suffit de nous le faire savoir.

0:38:49.0 Ryan Fried : Oui, je crois que je vous disais tout à l'heure, lors de mon entretien, que vous devez envoyer votre temps de 5 km et prendre moins de 20 minutes.

0:38:55.1 Raghu Nandakumara : Après avoir couru avec vous, je suis certain que vous pourriez faire une note de moins de 20 ans si vous essayiez. Je sais que tu as été indulgente avec moi ce jour-là. Ryan, ça a été un plaisir de t'avoir avec moi. C'est toujours un plaisir de discuter avec un professionnel de la sécurité aussi formidable que vous. Merci beaucoup pour le temps que vous m'avez accordé.

0:39:14.0 Ryan Fried : Oui, merci pour cette opportunité. Ça s'est bien passé.

0:39:16.6 Raghu Nandakumara : Et oui, et si vous souhaitez en savoir plus sur la manière dont Illumio aide des organisations comme Brooks Running à réduire les risques et à neutraliser les cyberattaques, vous pouvez visiter notre site web illumio.com et consulter cette étude de cas client et bien d'autres. Merci beaucoup.

0:39:37.5 Raghu Nandakumara : Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à l'adresse @illumio. Et si vous avez aimé la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.

‍