La nouvelle devise de la cybersécurité : la confiance n’est pas une option

La découverte de la Vulnérabilité Log4j en décembre 2021 est l’un des rappels les plus récents et les plus importants de la raison pour laquelle les équipes de cybersécurité doivent mettre en œuvre une architecture de sécurité zéro confiance.

Non pas qu’ils aient besoin de rappels. Des incidents se produisent chaque jour, et certains d’entre eux, tels que les attaques de ransomwares qui affectent l’ensemble des chaînes d’approvisionnement, font la une des journaux. Dans le cas de Log4j, un utilitaire de journalisation basé sur Java qui fait partie des services de journalisation Apache, les chercheurs en sécurité ont découvert une vulnérabilité de sécurité de type « zero-day » impliquant l’exécution de code arbitraire.

Ce n’était pas la vulnérabilité des variétés de jardin. Les experts en sécurité ont décrit la faille comme étant l’une des plus importantes et des plus critiques découvertes ces dernières années. Et cela fournit un exemple flagrant de la façon dont les organisations à risque peuvent être. De nouvelles vulnérabilités logicielles sont découvertes en permanence, certaines d’entre elles entraînant de graves failles de sécurité et la perte de données.

Comme les responsables de la cybersécurité et de l’informatique le savent très bien, la complexité de la sécurité a considérablement augmenté ces dernières années. Non seulement les attaques deviennent de plus en plus sophistiquées, mais les cybercriminels sont plus organisés qu’auparavant, dans certains cas bien financés par les États-nations.

De plus, le vecteur d’attaque s’est considérablement élargi ces dernières années. Les modèles de travail hybrides et à distance signifient que davantage de personnes travaillent à distance et, dans de nombreux cas, utilisent leurs propres appareils et réseaux pour accéder aux données critiques de l’entreprise.

De plus, l’utilisation des services cloud et des stratégies multi-cloud continue d’augmenter. Parfois, les déploiements cloud ne sont même pas sur le radar de l’informatique centrale et ne sont donc pas gérés comme d’autres actifs informatiques pourraient l’être. Compte tenu de l’essor des services cloud, du travail à distance et des environnements mobiles, le concept de défense du périmètre a été oblitéré. Il n’y a plus vraiment de périmètre ou de périmètre de défense.

Le besoin de confiance zéro

Tous ces développements fournissent de bonnes raisons pour les organisations de passer à un modèle de cybersécurité de confiance zéro. L’idée de la confiance zéro est assez simple : ne faites confiance à aucun utilisateur ou appareil, et vérifiez toujours. Une approche zéro confiance réussie tient compte de trois éléments : les informations d’identification d’un utilisateur, les données auxquelles l’utilisateur tente d’accéder et l’appareil que l’individu utilise.

En combinant le principe du moindre privilège avec une approche moderne d’accès contextuel, d’authentification multi-facteurs (MFA) et d’accès au réseau, les organisations peuvent maintenir un modèle de sécurité plus agile, bien adapté à un environnement axé sur le cloud et le mobile.

Le résultat de l’approche zéro confiance est que les organisations peuvent réduire leur surface d’attaque et garantir que les données sensibles ne sont accessibles qu’aux utilisateurs qui en ont besoin dans un contexte approuvé et validé. Cela permet de réduire considérablement les risques.

Les pratiques traditionnelles de confiance zéro se sont généralement concentrées sur l’accès au réseau et la gestion des identités et des accès (IAM) via l’authentification unique (SSO). Cependant, le travail à distance englobant désormais une si grande partie de l’accès des utilisateurs finaux, la position des appareils est de plus en plus importante, car les appareils agissent comme le nouveau périmètre dans un monde sans périmètre.

En ajoutant la validation des appareils à leur protocole de sécurité, les entreprises peuvent se défendre contre les criminels qui volent des informations d’identification ou des appareils et les utilisent avec MFA pour accéder aux réseaux et aux données.

Si un environnement réseau est surveillé pour la non-conformité ou les vulnérabilités critiques, la sécurisation de l’appareil est la dernière défense contre la compromission des données sensibles. C’est pourquoi il est si important d’adopter un solution convergée de gestion des terminaux dans le cadre de l’approche zéro confiance.

Voici quelques-uns des éléments clés d’une pratique de confiance zéro que les organisations devraient prendre en compte :

• Surveillance et application de la conformité des appareils. Cela confirme la posture de sécurité des appareils et donne aux équipes de sécurité le contrôle nécessaire pour prendre des mesures si quelque chose ne va pas.

• JE SUIS. Fournit des vérifications d’authentification pour confirmer l’identité d’un individu et compare l’accès de l’utilisateur aux règles basées sur les rôles.

• L’accès au réseau. Les organisations peuvent contrôler l’accès aux ressources et aux segments de réseau en fonction de la personnalité d’un utilisateur et de l’appareil utilisé.

Poser les fondamentaux de la sécurité

Parallèlement au déploiement de l’approche zéro confiance, les organisations doivent s’assurer de respecter les fondamentaux de la sécurité. Par exemple, ils doivent corriger les vulnérabilités dès qu’elles sont identifiées. Le développement de Log4j a montré pourquoi c’est important.

Les correctifs doivent être installés et mis à jour, mais pas au hasard. Complet programmes de gestion des correctifs doit englober tous les appareils utilisés dans l’organisation connectés à Internet et aux réseaux d’entreprise.

Une autre bonne pratique consiste à réévaluer tous les endpoints où les systèmes sont vulnérables aux attaques. Cela comprend la réalisation d’un audit de tous les systèmes et appareils qui ont un accès administratif aux systèmes de réseau, et une évaluation des protections de sécurité sur tous les capteurs ou autres appareils de l’Internet des objets (IoT) liés aux réseaux.

À plus long terme, les entreprises doivent réévaluer la manière dont elles collectent, stockent et catégorisent les volumes croissants de données qu’elles gèrent. Cela peut signifier segmenter les données afin que des contrôles de sécurité plus stricts soient placés sur l’accès aux données les plus sensibles telles que les informations personnelles ou la propriété intellectuelle.

De plus, les organisations doivent être vigilantes quant à l’utilisation de MFA et de mots de passe forts. Les réseaux ont été compromis parce que les pirates ont deviné les mots de passe des utilisateurs, ce qui suggère un besoin de politiques qui nécessitent des mots de passe plus complexes ou l’utilisation de MFA.

Les utilisateurs peuvent être négligents en ce qui concerne les pratiques de cybersécurité, donc fournir de bons programmes de formation et mener des campagnes de sensibilisation sont également de bonnes idées pour éduquer tout le monde dans l’organisation. Ces programmes doivent couvrir les signes à rechercher qui indiquent le phishing et d’autres attaques ainsi que les techniques d’ingénierie sociale fréquemment utilisées par les acteurs malveillants pour obtenir des informations sensibles ou un accès au réseau.

En déployant un modèle de confiance zéro et en prenant soin des « bases » de la cybersécurité, les organisations peuvent se mettre en position de se défendre contre les dernières menaces, y compris les ransomwares.

Aujourd’hui, la sécurité nécessite plus que la simple gestion des identités et l’authentification des utilisateurs. Il doit supposer que quiconque ou quoi que ce soit essayant d’entrer dans le réseau est un intrus jusqu’à preuve du contraire.

Adopter l’ère de la sécurité zéro confiance

C’est une confluence parfaite d’événements pour zéro confiance pour occuper le devant de la scène dans le monde de la cybersécurité : l’essor du travail hybride et à distance, le passage continu aux services cloud, la croissance continue des appareils mobiles sur le lieu de travail et une avalanche d’attaques sophistiquées qui peuvent avoir un impact sur des chaînes d’approvisionnement entières.

Jamais les organisations n’ont été confrontées à autant de défis pour protéger leurs ressources de données et jamais elles n’ont eu besoin de se méfier davantage des utilisateurs et des appareils essayant d’accéder à leurs réseaux. Le modèle de confiance zéro, avec son concept principal selon lequel les utilisateurs, les appareils, les applications et même les réseaux ne doivent pas être approuvés par défaut, même s’ils sont connectés à un réseau vérifié et même s’ils ont déjà été vérifiés, est bien adapté aux environnements typiques d’aujourd’hui. environnement informatique.

Il y a tout simplement trop de risques qu’une entité extérieure essayant d’y accéder ait une intention malveillante. Il y a trop en jeu pour faire confiance à qui que ce soit ou à quoi que ce soit. L’un des effets les plus notables du passage à la confiance zéro est la prise de conscience que les réseaux privés virtuels (VPN) traditionnels ne sont plus entièrement capables de sécuriser l’accès à distance aux réseaux d’entreprise.

La main-d’œuvre distribuée d’une organisation peut avoir accès à des données client hautement réglementées via des systèmes de gestion de la relation client et de planification des ressources d’entreprise sur site ou basés sur le cloud. Ils peuvent également avoir besoin d’accéder à la propriété intellectuelle commercialement sensible, tout cela à partir d’appareils personnels.

Les organisations ont besoin d’un moyen efficace pour sécuriser et authentifier ces utilisateurs, et malheureusement, les VPN traditionnels ont du mal à suivre les charges de travail générées par le travail à domicile.

Les recherches de Tanium ont révélé que les VPN surchargés étaient le deuxième plus grand défi de sécurité pour les organisations en transition vers une main-d’œuvre distribuée. Les problèmes avec les anciens VPN ont non seulement mis en péril la sécurité des flux de trafic, mais ils contribuent également à un risque croissant de menaces de sécurité liées aux terminaux.

Lorsque la pandémie a frappé et que les organisations ont été contraintes d’autoriser de nombreux employés à travailler à domicile, elles se sont appuyées sur les VPN pour soutenir leur main-d’œuvre distribuée, mais avec des résultats moins que stellaires. Bien que les VPN soient familiers à de nombreux utilisateurs et déjà utilisés pour l’accès à distance, ils ne sont pas les outils idéaux pour fournir un accès sécurisé à tant d’utilisateurs qui dépendent d’appareils qui, dans de nombreux cas, ne sont pas aussi sécurisés qu’ils devraient l’être.

Les VPN ne fourniront pas une défense adéquate contre les menaces visant les réseaux domestiques sur lesquels de nombreux utilisateurs comptent lorsqu’ils travaillent à distance. De plus, le grand nombre de VPN dont une entreprise peut avoir besoin pour prendre en charge une énorme main-d’œuvre mobile ou hybride signifie que les charges de gestion et de maintenance peuvent être écrasantes.

Se concentrer sur la confiance zéro

Pour vraiment fournir un accès sécurisé à un grand nombre de télétravailleurs, les entreprises doivent penser au-delà des VPN et adopter pleinement le modèle de cybersécurité de confiance zéro.

Avec une stratégie et des outils de confiance zéro, il est plus facile pour les équipes de sécurité de fournir un accès sécurisé aux applications, car elles disposent de contrôles d’accès plus granulaires et les utilisateurs n’obtiennent pas d’autorisations générales. Les droits d’accès sont très spécifiques et nécessitent une vérification continue.

La validation des appareils constitue également un principe clé d’une stratégie de confiance zéro réussie, et avec le travail à distance qui représente une grande partie de l’accès des utilisateurs finaux aujourd’hui, la posture de l’appareil est extrêmement importante. Dans de nombreux cas, les appareils constituent le nouveau « périmètre » au sein des organisations, et la validation des appareils permet aux organisations de se protéger contre le vol d’informations d’identification ou même contre le vol d’appareils que les cybercriminels peuvent utiliser pour accéder aux réseaux.

C’est pourquoi la pratique d’une gestion solide des terminaux est un élément si important d’une approche de confiance zéro. Sans une gestion précise et en temps réel des terminaux, les entreprises ne peuvent pas appliquer la conformité ou valider la position des appareils comme condition préalable à l’accès. L’authentification seule ne peut pas garantir qu’un appareil est sécurisé.

Les bons outils peuvent permettre aux équipes de sécurité de vérifier en permanence la position des appareils par rapport aux politiques, afin de s’assurer que l’approche zéro confiance ne fait vraiment confiance à personne, même après la mise en place des politiques d’identité et d’accès. Idéalement, les organisations devraient être en mesure d’intégrer de nouvelles solutions zéro confiance aux outils qu’elles utilisent déjà, afin de ne pas avoir à repartir de zéro.

Le concept de confiance zéro peut sembler négatif, voire paranoïaque : ne faites confiance à rien, qu’il s’agisse d’appareils et d’autres terminaux, d’applications, de réseaux ou d’individus. Mais ce que le modèle indique vraiment, c’est que les organisations opèrent à une époque particulièrement difficile, et que les enjeux sont importants lorsqu’une violation de données ou une attaque de ransomware se produit.

De plus en plus de personnes travaillent à distance, dans de nombreux cas en utilisant leurs propres appareils et réseaux. Les entreprises comptent plus que jamais sur les services cloud. Les attaques sont devenues plus sophistiquées et peuvent impactent des chaînes d’approvisionnement entières.

Les organisations doivent prendre l’initiative de s’assurer que les précieuses ressources de données sont toujours protégées et être certaines que les utilisateurs et les appareils essayant d’accéder à leurs réseaux ne causeront aucun dommage. Mise en place d’un stratégie de confiance zéro est un moyen vraiment efficace d’atteindre ce niveau de sécurité.

Découvrez comment migrer vers une architecture zéro confiance avec une visibilité et un contrôle en temps réel de vos points de terminaison ici.