Le logiciel Broadcom montre pourquoi Zero Trust est important partout

Par Andy Nallappan, directeur de la technologie et responsable des opérations commerciales logicielles, Broadcom Software

En décembre dernier,Logiciel Broadcom publié notre blog:Prévisions pour 2022 . Nous allons maintenant explorer chacun d'entre eux plus en profondeur dans notre prochaine série de blogs. Tout d'abord, Zero Trust.

Prédiction : Zero Trust devient un enjeu de table

Les acteurs malveillants multiplient les attaques et les entreprises ont de nouveaux problèmes à résoudre.

Par exemple, avec près de la moitié (47%) des chefs d'entreprise prévoyant de permettre aux employés de travailler à distance à plein temps dans l'ère post-Covid, davantage de personnel de l'entreprise utilise ses propres appareils ou des appareils partagés, parfois sur des réseaux non sécurisés.

Pendant ce temps, les conflits géopolitiques menacent de provoquer des effets d'entraînement sur les réseaux d'entreprise. Une spécificitéexemple de ceciétait une nouvelle forme de logiciel malveillant d'effacement de disque (Trojan.Killdisk) utilisé pour attaquer des organisations en Ukraine peu avant le lancement d'une invasion russe le 24 février. Symantec, une division deLogiciel Broadcomont également trouvé des preuves d'attaques par essuie-glace contre des machines en Lituanie, qui ciblaient des secteurs des services financiers, de la défense, de l'aviation et des services informatiques.

Et le plus récentRapport de sécurité Verizonont constaté que plus de 80 % des violations impliquent la force brute ou l'utilisation d'informations d'identification perdues ou volées.

Les défenses périmétriques sont une relique du passé, et il est temps pour les DSI de réexaminer les hypothèses obsolètes, notamment une dépendance excessive aux VPN pour protéger la sécurité de l'entreprise. Même avant que la pandémie n'oblige les entreprises, apparemment du jour au lendemain, à passer au travail à distance, la migration des entreprises vers le cloud a soulevé de nouvelles questions sur la capacité des défenses conventionnelles basées sur le périmètre à protéger les systèmes et les données critiques. Ces questions ne peuvent plus être repoussées.

De nouvelles menaces appellent une nouvelle réflexion

Lorsque Forrester a inventé leModèle de sécurité Zero Trust en 2010, ils cherchaient à représenter une méthodologie pour effectuer des transactions en toute sécurité, basée sur le principe « ne jamais faire confiance, toujours vérifier ». C'était un modèle centré sur les données où vous ne faites confiance à rien qui se passe à l'intérieur ou à l'extérieur du périmètre. Cela signifiait vérifier en permanence chaque utilisateur et appareil et toujours supposer que votre organisation serait piratée.

Je peux comprendre pourquoi certains pourraient se méfier du Zero Trust, car il constitue une philosophie très différente de la manière dont nous devrions sécuriser notre infrastructure, nos réseaux et nos données. Mais il y a une raison pour laquelle c'est la bonne idée.

Le modèle Zero Trust repose sur un principe fondamental : ne faites pas confiancequelconque acteur, système, réseau ou service opérant à l'extérieur ou à l'intérieur du périmètre de sécurité. Point final. Cela signifie vérifier tout le monde et tout ce qui tente d'établir l'accès. Et cela ne s'arrête pas à une seule vérification au périmètre ; cela implique également une vérification continue de chaque utilisateur, appareil, application et transaction.

Le contexte devient essentiel pour établir la confiance. Dans certains contextes, vous aurez très peu de confiance, et dans d'autres contextes, plus de confiance – le tout basé sur des politiques basées sur les risques. Cela signifie trouver des réponses à différentes questions, telles que celles qui traitent de la santé de l'appareil et de sa sécurité. Par exemple : est-ce sur un réseau connu ou inconnu ? Est-il situé dans une géolocalisation spécifique ? Quelles sont les conditions de gouvernance ?

En fin de compte, tout se résume au contexte et à la détermination du niveau de risque qu'une organisation est prête à prendre. Ensuite, il s'agit de mettre en place les bons contrôles et de déterminer le niveau de risque lorsque l'entreprise décide ce qu'elle autorise, ce qu'elle bloque et ce qui est nécessaire pour permettre aux identités d'accéder aux ressources.

Le monde "comprend"

Il n'est donc peut-être pas surprenant qu'en janvier de cette année,

Le Bureau de la gestion et du budgeta publié une stratégie d'architecture Federal Zero Trust , décrivant les normes et les objectifs spécifiques en matière de cybersécurité que les agences fédérales doivent atteindre d'ici la fin de l'exercice 2024. Cela reflète également le sentiment d'urgence accru du gouvernement en matière de cybersécurité. Au printemps dernier, la Maison Blanchea annoncé un décret exécutif pour moderniser l'infrastructure informatique du gouvernement et renforcer sa capacité à résister aux cyberattaques. (Vous pouvez en savoir plus sur ce que cela signifieici.)

Entre-temps,Remarques Forresterque les deux tiers de ces agences prévoient d'augmenter leur investissement dans les déploiements de la technologie Zero Trust cette année.

Mais cette transition reste inégale. Seul un peu plus d'un tiers des organisations interrogées par Forrester ont entamé les travaux de déploiement d'une stratégie Zero Trust. Seuls 6 % ont déclaré avoir entièrement déployé leur déploiement. La nouvelle encourageante est que ce n'est qu'une question de temps avant que les choses ne changent nettement pour le mieux. Ce même rapport Forrester a révélé que 68 % des organisations ont l'intention d'augmenter leur investissement Zero Trust cette année.

C'est donc désormais une course contre la montre. Nous savons ce qui existe – les soi-disant « inconnues connues » – et ce n'est pas bon. La question est la suivante : dans combien de temps pouvons-nous mettre en pratique une stratégie Zero Trust pour nous assurer que nous pouvons atténuer ces menaces ? L'horloge tourne.

Contactez Broadcom Software maintenantpour voir comment nous pouvons vous aider à atteindre Zero Trust à grande échelle.

À propos d'Andy Nallappan:

Logiciel Broadcom

Andy est directeur de la technologie et responsable des opérations commerciales logicielles pour Broadcom Software. Il supervise le DevOps, la plate-forme et les opérations SaaS et le marketing pour les divisions commerciales des logiciels au sein de Broadcom.