Comment offrir des fonctionnalités de visibilité et de sécurité « Zero Trust » ?
Claire Loffler, Security Engineer, Chez Vectra AI
Le point de contact initial lors d’une cyberattaque est rarement la cible souhaitée. Les hackers accèdent souvent aux réseaux à partir d’un poste de travail moins sécurisé ou d’un actif IoT et se fraient un chemin à partir de là, en accédant à des hôtes et des comptes dotés de privilèges plus élevés.
Le concept de Zero Trust s’est considérablement développé au cours des deux dernières années, les applications cloud et la flotte mobile ayant redéfini le périmètre de sécurité. Les ressources et les services des entreprises contournent désormais souvent les modèles de sécurité périmétrique sur site, qui se reposent sur des pares-feux et des réseaux privés virtuels (VPN) et qui sont devenus obsolètes. Une architecture Zero Trust considère fondamentalement toutes les entités d’un réseau comme hostiles et ne permet aucun accès aux ressources tant que le compte et la machine n’ont pas été individuellement authentifiés et autorisés à utiliser cette ressource spécifique.
Les failles des approches à accès unique
Cependant, cette approche Zero Trust, que l’on retrouve couramment dans les solutions de gestion des accès à privilèges et des identités, repose sur des décisions de sécurité à un seul moment dans le temps et qui utilisent une liste prédéfinie d’identités privilégiées. Cette approche a quelques limitations à connaître.
L’un des problèmes est lié à de simples erreurs de configuration. Cette situation est particulièrement fréquente dans les environnements cloud en raison de la complexité des ressources dans le cloud qui changent constamment et des compétences différentes nécessaires pour gérer les environnements cloud par rapport aux ressources traditionnelles sur site.
Un autre problème est qu’une fois l’accès accordé, il peut être manipulé par les attaquants à l’aide de méthodes telles que l’abus d’identifiants et l’escalade de privilèges. Ces deux méthodes sont particulièrement difficiles à détecter pour les professionnels de la sécurité.
Visibilité et évaluation permanentes des privilèges
Pour combler cette lacune, il faut compléter la méthode d’authentification et d’autorisation initiale avec une surveillance permanente des comptes et des identités utilisés pour accéder au réseau et au cloud. C’est pourquoi la visibilité et l’analyse ont été les éléments moteurs de l’écosystème Zero Trust de Forrester. Grâce à la surveillance, il est possible d’observer si les comportements s’écartent des attentes de manière risquée, et de le faire savoir à temps aux professionnels de la sécurité.
Utiliser l’intelligence artificielle (IA) pour parvenir à une approche Zero Trust
L’IA est utilisée pour trouver et prioriser efficacement les attaques cachées au sein des services cloud tels que Microsoft Office 365, Azure AD, le cloud, les centres de données, l’IoT et les réseaux d’entreprise avant que les attaquants ne causent des dommages irréparables à l’organisation. Une plateforme basée sur l’IA permet aux équipes de sécurité de stopper les attaques au plus tôt, dès les premières phases de la kill chain, permettant de s’assurer que les applications essentielles à la continuité des activités soient disponibles et accessibles à l’ensemble du personnel. En tant qu’élément clé du cadre Zero Trust, une plateforme basée sur l’IA contribuera à fournir une visibilité et des analyses sur trois principes directeurs :
- Vérifier explicitement : toujours authentifier et autoriser en se basant sur tous les points de données disponibles, notamment l’identité de l’utilisateur, la localisation, les caractéristiques de l’appareil, le service accédé etc.
- Appliquer le principe du moindre privilège : limiter l’accès des utilisateurs via des politiques adaptatives basées sur le risque et la protection des données afin de protéger à la fois les données et la productivité.
- Prendre l’hypothèse que votre environnement a été compromis : réduire l’impact des brèches et empêcher les mouvements latéraux en segmentant l’accès au réseau et aux applications. Analyser les données pour gagner en visibilité, détecter les menaces et améliorer les défenses.
Pour atteindre cette visibilité, les entités doivent être toujours observées qu’il s’agisse des machines utilisateurs, des serveurs, des services accédés ou des comptes d’utilisateurs ou de service. Les comportements des comptes, machines et services doivent être surveillés en permanence, et des modèles d’IA supervisés et non supervisés doivent être appliqués pour noter ces comportements en fonction de la menace, de la certitude et de la hiérarchisation des risques. Il en résulte une évaluation continue des privilèges en temps réel. Cela permet aux équipes de sécurité de disposer des bonnes informations pour anticiper les actifs qui seront ciblés par les attaquants, et de prendre rapidement des mesures contre l’utilisation malveillante des privilèges dans les environnements cloud et hybrides.
Analyse des accès à privilège
L’analyse des accès à privilège commence tout d’abord par analyser et regrouper les identités observées dans des clusters en fonction de la similitude de leurs accès. Ce regroupement constitue la base de référence pour déterminer ce qui constitue des patterns d’accès normaux et anormaux. Un compte, comme celui d’un administrateur de domaine par exemple, peut avoir le droit d’accéder à n’importe quel système dans l’ensemble du réseau. Cependant, il est probable qu’il ne le fasse pas habituellement, et donc que son privilège observé soit inférieur à celui d’un compte de service qui est utilisé pour déployer des mises à jour logicielles sur des milliers de systèmes du réseau.
Basé sur cette notion dynamique de privilèges observés et non de simples privilèges attribués statiquement, Vectra peut identifier l’utilisation abusive d’identifiants à privilèges volés sur des réseaux et des environnements cloud, en tenant en compte des interactions entre les comptes, les machines, les services et les opérations cloud.
Les cybermenaces sont omniprésentes dans l’entreprise moderne. L’authentification des utilisateurs est, et restera, un élément clé de la sécurité pour se protéger contre l’usurpation d’identité et l’accès non autorisé aux réseaux et aux données. En complément, chaque organisation doit avoir une stratégie pour s’assurer que tous les utilisateurs, tant à l’intérieur qu’à l’extérieur de son réseau, accèdent aux applications et aux données de façon légitime et doit se donner les moyens de gagner en visibilité sur des actions malveillantes. La bonne nouvelle est que les analystes de sécurité disposent désormais des outils nécessaires pour hiérarchiser les privilèges observés sur leurs réseaux, et identifient les cas anormaux d’utilisation abusive des privilèges.