Fermer

juin 5, 2021

Adopter une approche Zero Trust en matière de sécurité – Partie 1


Zero Trust est devenu en quelque sorte un mot à la mode au cours des deux dernières années et est devenu le nouvel étalon-or des modèles de sécurité à mesure que la technologie a évolué. Alors, que signifie exactement « Zero Trust » et votre organisation devrait-elle commencer à envisager d'adopter ce modèle ? Dans ce blog, nous discuterons du modèle de sécurité Zero Trust à un niveau élevé afin que vous puissiez déterminer si ce voyage vaut la peine d'être enduré. Ensuite, dans les blogs suivants, nous couvrirons plus en détail chacun de ces composants de base de Zero Trust afin que vous puissiez apprendre comment commencer à implémenter ces composants de base au sein de votre organisation !

Qu'est-ce que Zero Trust ?

Avant que les données ne résident dans le cloud, les organisations ont structuré leur modèle de sécurité autour d'une confiance implicite en supposant que tout ce qui se trouve derrière le pare-feu de l'entreprise serait sûr. Le modèle Zero Trust renverse cet ancien modèle. Le nouveau modèle Zero Trust suppose une violation et à la place vérifiera explicitement chaque demande comme si elle provenait d'un réseau non contrôlé/non fiable. Ce nouveau modèle suit la mentalité « ne jamais faire confiance, toujours vérifier », ce qui signifie que quelle que soit la provenance de la demande ou les ressources auxquelles on accède, nous devons vérifier avant l'accès est accordé au réseau. Cela dit, nous pouvons décomposer Zero Trust en 3 principes de base :

  1. Vérifier explicitement
  2. Utiliser l'accès le moins privilégié
  3. Assume violation

Vérifier explicitement

Ce premier principe de base transforme le modèle de confiance de sécurité en celui qui vérifiera les demandes explicitement en fonction des points de données, y compris les informations d'identification/identité, l'emplacement, l'état de l'appareil, le niveau de risque, le service ou la charge de travail, la classification des données et d'autres anomalies. Si nous regardons réellement combien d'attaquants compromettent les environnements, cela peut être attribué à trois vecteurs principaux :

  • Comptes d'utilisateurs compromis
    • Utilisation de techniques telles que la pulvérisation de mots de passe, l'hameçonnage ou les logiciels malveillants
      • Les systèmes d'identité sur site sont également plus vulnérables car ils manquent de protections « alimentées par le cloud » telles que la protection par mot de passe, la détection par pulvérisation de mot de passe et l'IA pour la prévention de la compromission des comptes
        • Les comptes de fournisseur qui manquaient d'éléments tels que l'authentification multifacteur (MFA), les restrictions de plage d'adresses IP, la conformité des appareils et les examens d'accès étaient de grandes cibles pour les attaquants.
          • Les cas où des comptes d'utilisateurs sont utilisés avec le logiciel d'un fournisseur dépourvu de MFA ou d'autres restrictions de politique, peuvent également ouvrir des failles dans la posture de sécurité dont les attaquants peuvent tirer parti. En traitant les comptes des fournisseurs de la même manière que nous gérons nos comptes d'utilisateurs finaux habituels, bon nombre de ces attaques pourraient être stoppées net.

        Dans les trois cas ci-dessus, celles-ci peuvent être considérées comme des lacunes majeures dans la vérification explicite. . En vous assurant d'étendre cette vérification à toutes les demandes d'accès, même celles des fournisseurs et en particulier celles des environnements sur site, vous vous rapprochez un peu plus d'un environnement plus sécurisé.

        Utilisez l'accès le moins privilégié[19659008]Pour ce deuxième principe de base, nous pouvons utiliser l'accès au moindre privilège pour nous assurer que nous accordons les autorisations nécessaires à cet utilisateur pour atteindre un objectif spécifique et rien au-delà de ce qui est réellement nécessaire. Cela peut être accompli en limitant l'accès des utilisateurs avec Just-In-Time et Just-Enough-Access (JIT/JEA), des politiques adaptatives basées sur les risques et la protection des données. En accordant le moins de privilèges d'accès, cela peut réduire considérablement la possibilité pour un attaquant de se déplacer latéralement dans votre environnement si une violation devait se produire. L'objectif global de l'accès au moindre privilège est de distinguer les attaques en limitant la quantité de ressource (utilisateur, appareil ou réseau) à laquelle l'attaquant peut accéder.

        Assume Breach

        Avez-vous déjà entendu le terme « sécurité par l'obscurité » ? Si c'est le cas, jetez cette méthodologie par la porte, car Microsoft ne veut rien avoir à faire avec ça ! Cependant, si vous n'êtes pas familier avec le terme, la sécurité par l'obscurité (STO) tourne essentiellement autour de l'idée qu'une organisation sera moins ouverte aux attaques si elle cache des informations importantes et/ou applique le secret comme principale technique de sécurité. Cela équivaut à cacher la clé de votre porte d'entrée sous le tapis de bienvenue en pensant que personne ne serait assez intelligent pour regarder en dessous et trouver les «clés du château». Malheureusement, c'est bien trop courant, et dès que cette clé est trouvée, vous et toute votre maison êtes devenus vulnérables ! Dans le monde de la sécurité, cela pourrait impliquer de cacher des mots de passe à l'intérieur d'un code binaire ou d'un script ou de changer un port démon pour réduire les attaques par force brute. Le principal problème avec STO est que cela est considéré comme la principale méthode de sécurité au sein d'une organisation, et jeter tous les œufs dans le même panier est une très mauvaise idée. Au lieu de cela, l'un des meilleurs moyens de protéger votre environnement est de supposer qu'un attaquant a déjà violé votre réseau. Ce dernier principe de base tourne autour de la minimisation du rayon d'explosion et de la segmentation de l'accès. Construire vos systèmes autour de l'idée qu'une violation s'est déjà produite ou se produira bientôt vous donnera plus de confiance en sachant que des mesures d'atténuation sont déjà en place si/quand une intrusion se produit. Alors qu'est-ce que cela implique? Cela implique de collecter des données système et de la télémétrie, de les utiliser pour détecter les anomalies, puis d'utiliser ces informations pour automatiser les tactiques de prévention afin que vous puissiez de préférence empêcher complètement. Cependant, si cela n'est pas possible, vous pourrez toujours détecter, répondre et corriger rapidement en temps quasi réel. Microsoft 365 Defender vous permettra d'évaluer rapidement le comportement de l'attaquant et de commencer immédiatement à résoudre le problème.

        En mettant en pratique ces trois principes clés Zero Trust, vous mettrez en œuvre une stratégie de bout en bout qui s'étend sur l'ensemble de votre domaine numérique ! Maintenant que nous connaissons le concept de Zero Trust, parlons de l'approche de mise en œuvre de Zero Trust à travers ses sept piliers principaux :

        1. Secure Identity
        2. Secure Endpoints
        3. Secure Applications
        4. Secure Data
        5. Secure Infrastructure
        6. Réseaux sécurisés
        7. Visibilité, automatisation et orchestration

        Identité sécurisée

        Cela implique de vérifier que seuls les personnes, les appareils et les processus qui ont obtenu l'accès à vos ressources peuvent y accéder. Lorsque l'une de ces identités essaie d'accéder à une ressource, cela implique de vérifier son identité avec une authentification forte et de s'assurer également que l'identité est conforme et typique pour cette identité. Par exemple, "typique" pourrait signifier accéder à une ressource depuis les États-Unis de manière cohérente, puis tout d'un coup voir cette même identité tenter d'accéder à la ressource depuis la Russie le même jour. Lors de la sécurisation de l'identité, vous devez suivre les principes d'accès aux moindres privilèges mentionnés précédemment.

        Points de terminaison sécurisés

        Maintenant que l'identité a obtenu l'accès à la ressource, cela signifie que les données peuvent circuler à travers une variété de points de terminaison différents (c'est-à-dire les appareils BYOD , l'entreprise émet des appareils, des charges de travail sur site, des serveurs hébergés dans le cloud, des appareils IoT, etc.). Avec tous ces appareils dans la nature, il y a une surface d'attaque massive. Heureusement, nous pouvons appliquer des éléments tels que la conformité et la santé des appareils pour sécuriser notre accès.

        Applications sécurisées

        Une autre zone de surface d'attaque massive concerne vos applications. Cela pourrait inclure à la fois des applications héritées sur site, ainsi que des applications basées sur le cloud. Les applications sont les points d'entrée logiciels de vos informations, donc la sécurisation doit être une priorité ! Nous pouvons le faire en appliquant des contrôles et des technologies pour découvrir le shadow IT, ce qui vous permet de vous assurer que les gens n'utilisent pas des applications qu'ils ne devraient pas utiliser. Nous pouvons également appliquer des contrôles pour les autorisations dans l'application, surveiller les comportements anormaux, contrôler les actions spécifiques des utilisateurs et bien plus encore !

        Réseau sécurisé

        Il est sûr de dire que presque toutes les données utilisées par votre organisation seront accessibles via le réseau. Cela signifie que des contrôles réseau appropriés doivent être mis en place pour améliorer la visibilité de ces données et également aider à empêcher les attaquants de se déplacer latéralement s'ils compromettent le réseau. Les principaux domaines sur lesquels se concentrer sont la segmentation du réseau et la micro-segmentation en réseau, la protection contre les menaces en temps réel, le chiffrement de bout en bout, la surveillance, puis l'examen des analyses.

        Infrastructure sécurisée

        Cela inclut les éléments suivants : serveurs prem, machines virtuelles basées sur le cloud, conteneurs, microservices et systèmes d'exploitation et micrologiciels sous-jacents. Tout cela peut présenter un grand vecteur d'attaque. Cependant, en évaluant les versions et la configuration, vous pouvez réduire considérablement le risque en renforçant votre défense. De plus, utilisez la télémétrie pour détecter les attaques et les anomalies et les stopper net en bloquant ou en signalant automatiquement le comportement comme risqué et en prenant des mesures de protection en conséquence.

        Données sécurisées

        Les données sont partout ! Les données résident dans tous vos fichiers et contenus et incluent à la fois des données structurées et non structurées. Quel que soit l'endroit où se trouvent les données, vous voudrez vous assurer qu'elles restent en sécurité, surtout une fois qu'elles quittent vos appareils, applications, infrastructure ou réseau. Heureusement, les données peuvent être sécurisées grâce à des éléments tels que la classification, l'étiquetage et le cryptage, et l'accès peut être restreint en conséquence.

        Visibilité, automatisation et orchestration

        Bien que ce ne soit pas techniquement un pilier central de Zero Trust, il est devenu un aspect important dans la façon dont vous gérez vos données et vous aide finalement à prendre des décisions plus fiables, ce qui renforce encore plus votre sécurité. Avec chacun des piliers mis en évidence ci-dessus, vous verrez diverses alertes générées en cours de route, ce qui entraînera probablement des analystes de votre centre d'opérations de sécurité (SOC) plus occupés que jamais et peut entraîner l'absence d'alertes pour certaines d'entre elles. Heureusement, Microsoft vous offre les outils appropriés pour gérer ces menaces grâce à une détection proactive et réactive afin que votre SOC puisse se concentrer sur les menaces réelles les plus importantes et laisser les outils gérer le reste !

        Cela conclut notre premier blog sur l'adoption d'un Stratégie Zéro Confiance ! J'espère que vous comprenez maintenant à un niveau élevé ce que signifie exactement Zero Trust et que vous comprenez également chaque pilier de la stratégie Zero Trust. Dans les blogs suivants, nous plongerons dans chacune de ces couches dans notre parcours de bout en bout de Zero Trust ! J'espère que vous avez trouvé ce blog utile, et je vous encourage à revenir bientôt lorsque nous couvrirons notre premier pilier de la sécurisation de l'identité.

        À propos de l'auteur

        Brian est un consultant technique pour la pratique Communications unifiées de Perficient, qui se concentre principalement sur les charges de travail Skype Entreprise et Microsoft Teams. Il occupe ce poste depuis décembre 2017 et a une présence active dans les blogs sur tout ce qui concerne les équipes. Actuellement, Brian réside dans la banlieue de Chicago et aime courir, nager, faire de l'haltérophilie et jouer au football pendant son temps libre.

        En savoir plus sur cet auteur

Le meilleur outil 2023 pour ta croissance Instagram !



Source link