La vision zéro confiance proposée par les fournisseurs de cybersécurité n’est pas la réalité que vivent les entreprises. Le détachement commence tout au long des cycles de vente initiaux, où les garanties de facilité d’utilisation, d’intégration simplifiée de l’API et de service réactif poussent les entreprises à acheter des options qui ne fonctionnent pas. Malheureusement, les entreprises rencontrent plus d’obstacles que les fournisseurs de vision proposés.
« Les fournisseurs ont une bonne intention, mais une mauvaise habitude, d’essayer de présenter tout ce qu’ils ont coûté des années comme » aucune confiance « », a déclaré David Holmes, expert senior chez Forrester. « Nous l’avons vu maintes et maintes fois. En réalité, il existe quelques précieuses innovations spécifiques à ZT : l’accès réseau sans confiance (ZTNA), la microsegmentation et le PIM/PAM [gestion des identités privilégiées/gestion des accès privilégiés]. De nombreuses autres technologies, comme la gestion des identités et des accès [IAM], l’automatisation du réseau et le chiffrement des fichiers des terminaux peuvent être utilisés sans confiance, mais ils ne sont pas ZT, par eux-mêmes. ZT, ce n’est pas le cas. »
Les préoccupations des RSSI en matière de confiance zéro
Pour maintenir le financement sur place et persuader la haute direction d’investir davantage dans absolument aucune confiance , les RSSI aiment rechercher des gains rapides et visibles qui révèlent de la valeur. L’IAM et le PAM sont souvent les tout premiers grands travaux zéro confiance entrepris. Les RSSI ne souhaitent également aucune confiance dans leurs applications, leurs piles technologiques et leurs cours de négociation. Ils recherchent des approches plus efficaces pour renforcer leurs piles technologiques dans le cadre d’une structure ZTNA. Beaucoup découvrent que l’intégration et la protection des piles technologiques sont beaucoup plus complexes et coûteuses que prévu.
Les principales priorités des RSSI sont la manière dont ils peuvent utiliser les outils existants pour sécuriser les actifs hors réseau sans aucune confiance. Compte tenu de la violation de SolarWinds, l’intégration du zéro confiance dans les cycles devops suscite des inquiétudes. Rendre possible un partenariat plus protégé et plus efficace sur des réseaux absolument sans confiance est également une priorité absolue.
Une autre aggravation du RSSI est l’affirmation des fournisseurs selon laquelle leurs options peuvent offrir une protection totale de confiance zéro pour les piles et les installations technologiques. Absolument aucune réclamation de confiance dans une boîte ne doit être consultée avec suspicion et diligence raisonnable pour voir ce qui est réellement livré. « Tout le monde essaie de résoudre le même problème, à savoir comment aider le client à se défendre contre les violations », a déclaré Kapil Raina, vice-président du marketing anti-confiance, identité et sécurité des informations chez CrowdStrike.
« Pour soyez juste, chaque fournisseur essaie de le faire », a-t-il déclaré. « La fausse déclaration, si vous voulez, c’est qu’aucune confiance n’est un ensemble de capacités, en particulier la maturité et la pile technologique. Vous ne pouvez raisonnablement pas aller chez un fournisseur et dire : ‘Offrez-moi une confiance zéro, un produit, un UGS.’ Je ne vais pas chez Walmart en disant : « Hé, proposez-moi une boîte de confiance zéro et je suis prêt à y aller. »
Les taux de croissance élevés du marché sont un aimant à battage médiatique
La confiance zéro fait partie des secteurs de la cybersécurité qui connaissent la croissance la plus rapide aujourd’hui, et ses taux de croissance vertigineux à deux chiffres et son évaluation du marché attirent l’attention des fournisseurs. Les fournisseurs doivent se débarrasser de la confiance implicite de toutes les solutions qu’ils vendent s’ils veulent aider les entreprises à atteindre leurs initiatives de confiance zéro.
Bien qu’il soit très difficile de se débarrasser de la confiance implicite d’une pile technologique, les fournisseurs doivent se consacrer à la personnalisation de leurs systèmes et plates-formes pour refléter les principes de confiance zéro. « La confiance implicite est endémique dans toute l’infrastructure informatique. Alors, par où allez-vous commencer ? Comment allez-vous faire cela ? C’est ce qu’ils demandent. Et donc finalement, vous allez intégrer cela dans votre ensemble d’efforts comme une entreprise », a déclaré Neil MacDonald, analyste chez Gartner VP, lors d’un récent webinaire, Cut Through No Trust Buzz and Get Genuine Security Method Advice.
Les approximations du marché de confiance zéro révèlent toutes une forte croissance sur plusieurs années. Les dernières prévisions de Gartner [abonnement nécessaire] prévoient que les dépenses des utilisateurs finaux sans confiance passeront de 891,9 millions de dollars cette année à plus de 2 milliards de dollars d’ici 2026. Les dernières cotations des prix du marché de Gartner prévoient également que les dépenses des utilisateurs finaux pour le marché de la sécurité de l’information et de la gestion des risques atteindre 172,5 milliards de dollars cette année, avec une croissance continue des devises de 12,2 %. Le marché devrait atteindre 267,3 milliards de dollars en 2026, avec un TCAC de 11 % entre 2022 et 2026.
Analyse comparative des fournisseurs de confiance zéro
Les équipes informatiques et de sécurité des entreprises comprennent qu’aucune la confiance se développera à mesure que leur infrastructure informatique s’adaptera à l’évolution des exigences en matière de risques. La multiplication des identités d’appareils, les nouveaux points de terminaison hors réseau et la combinaison des systèmes informatiques font des initiatives ZTNA une opération continue en cours. Se débarrasser de la confiance implicite des piles technologiques, obtenir l’accès le moins privilégié à l’ensemble des utilisateurs et remplacer les VPN est un processus lent, défiant les affirmations univoques des fournisseurs déformant l’absence de confiance.
« On voudrait que les erreurs de confiance zéro soient limitées à une poignée de technologies, mais malheureusement, la pratique est plutôt omniprésente, et il semble qu’aucun fournisseur n’est à l’abri de la tentation de laver tous les produits avec ZT sur leur camion », a déclaré Holmes.
Des normes sont nécessaires pour examiner les allégations de défiance des vendeurs du point de vue du consommateur. Une série d’entre eux sont proposés ici :
Standard 1 : L’IAM et le PAM sont-ils au cœur de la plate-forme du fournisseur ?
IAM et PAM sont des enjeux de table pour activer ZTNA dans n’importe quelle entreprise. Les organisations qui commencent leurs structures ZTNA avec IAM et PAM ont généralement les meilleures chances de succès, car il s’agit d’une victoire rapide et notable dans toute l’entreprise. Déterminer quels fournisseurs ont des clients exécutant IAM et PAM pour les identités machine et humaine est un bon test de réalité.
Les meilleures plates-formes ZTNA protègent les magasins d’appareils, d’humains et d’identité (site Active Directory) contre les cyberattaquants qui souhaitent violer les systèmes IAM et PAM et prendre le contrôle des installations et des serveurs. « C’est ce qui s’est passé avec SolarWinds. Ils [les cyberattaquants] attaquent les systèmes d’identité, et il est difficile de découvrir les mauvaises personnes qui créent des qualifications », a déclaré MacDonald de Gartner.
Les équipes cloud, devops, de sécurité, des installations et des opérations ont également des exigences particulières en matière d’application de gestion de l’identité des machines. Malheureusement, les fournisseurs ont déformé l’utilité de leurs approches de gestion de l’identité des fabricants dans un environnement de cloud hybride. Deux sessions à Black Hat 2022 ont discuté des raisons pour lesquelles les identités des machines sont les plus sensibles.
Les principaux fournisseurs de systèmes IAM et PAM pour la gestion de l’identité des personnes et des appareils incluent Amazon Web Provider (AWS), CrowdStrike, Delinea, Ivanti, Keyfactor, Microsoft, Venafi et d’autres.
Les principaux fournisseurs de ZTNA ont en fait fourni des systèmes IAM qui sécurisent les identités des gadgets et des machines de travail, les identités humaines et les magasins d’identité, composés d’Active Directory.
Critère 2 : dans quelle mesure leur plate-forme de confiance zéro aide-t-elle les investissements existants en matière de cybersécurité ?
Les plates-formes de confiance zéro les plus avancées peuvent s’intégrer aux plates-formes de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réaction de la sécurité (SOAR) au niveau de l’API. Pour cette raison, il s’agit d’une référence précieuse pour voir quels fournisseurs ont des API et des pré-intégrations avec les principaux fournisseurs SIEM, comprenant Splunk Phantom et Demisto de Palo Alto Network.
Un autre facteur à prendre en compte est la capacité d’une plate-forme de confiance zéro à prendre en charge Microsoft ADFS, Azure Active Directory, Okta, Ping Identity et Single Sign-On (SSO). Il doit également y avoir une intégration disponible pour les fournisseurs CASB (cloud gain access to security broker) pour la défense SaaS (software-as-a-service), comprenant Netskope et Zscaler.
Critère 3 : Prend-il en charge une méthode de politique basée sur les risques pour une confiance zéro ?
Les fournisseurs de confiance zéro les plus sophistiqués ont en fait conçu des architectures et des plates-formes avec des conceptions de danger dynamiques. Ils contestent simplement les connexions et les transactions des utilisateurs lorsque le risque change au niveau de l’identité de l’utilisateur et du fabricant. L’objectif est d’assurer une validation continue sans compromettre l’expérience des utilisateurs.
Les meilleurs systèmes de gestion des vulnérabilités basés sur les risques ont intégré des informations sur les dangers, peuvent produire des évaluations de danger complètes et s’appuient fortement sur l’intelligence artificielle (IA) et l’automatisation basée sur l’apprentissage automatique pour simplifier les évaluations des menaces. Par exemple, Falcon Spotlight, qui fait partie de la plate-forme CrowdStrike Falcon, se distingue comme la seule plate-forme qui intègre des données de renseignement sur les menaces provenant des chasseurs de risques, des chercheurs et des spécialistes du renseignement de l’entreprise.
Les chasseurs de dangers professionnels relient les idées et les connaissances qu’ils créent à des CVE particuliers, fournissant aux entreprises les informations dont elles ont besoin pour protéger leur infrastructure contre les attaques. Delinea, IBM, Microsoft, Palo Alto Networks et d’autres adoptent une technique basée sur le risque pour une confiance zéro.
Norme 4 : leurs architectures et plates-formes sont-elles conformes à la norme NIST 800 ?
Les fournisseurs qui ont réussi à établir et à publier des applications et des plates-formes de confiance zéro seront en mesure de démontrer comment ils adhèrent au cadre NIST. La conformité NIST SP 800-207 est une sorte de couverture d’assurance pour toute entreprise adoptant une solution de confiance zéro, ce qui implique que l’architecture n’a pas besoin d’être modifiée si un CIO ou CISO décide de changer de fournisseur. Il est préférable de demander des recommandations de clients à ceux qui ont migré sur et hors de leurs plates-formes ZTNA pour obtenir des informations supplémentaires.
« En ce qui concerne le fait que le NIST est un enjeu de table, c’est tout à fait exact », a déclaré Raina de CrowdStrike. « C’est la structure de nombreuses autres étapes ultérieures. CrowdStrike est l’un des fondateurs du ZTAC de Cloud Security Alliances, le Zero-Trust Advancement. L’idée était de prendre quelque chose comme un NIST et de l’intégrer ensuite dans [plus d’un] guide du praticien. »
Critère 5 : n’intègrent-ils absolument aucune confiance dans les devops et les cycles SDLC ?
Une autre référence intéressante est la qualité de l’intégration d’un fournisseur prétendant offrir une confiance zéro dans les cycles de développement et d’avancement des systèmes (SDLC). La sécurité contribue souvent à l’achèvement d’une tâche de développement lorsqu’elle doit être intégrée dès le départ. les plates-formes de confiance sont nécessaires pour protéger les devops et le SDLC au niveau de l’identité humaine et du fabricant. Les fournisseurs qui prétendent ne fournir aucune confiance au niveau de progression du SDLC et du CI/CD doivent montrer comment leurs API peuvent évoluer et s’adapter à l’évolution rapide de la configuration, des devops et Exigences SDLC. Les principaux fournisseurs de confiance zéro sur ce marché incluent Checkmarx, Qualys, Rapid7, Synopsys et Veracode.
La sécurité des frameworks ZTNA dépend des terminaux
Les terminaux ne représentent qu’une petite partie de un cadre ZTNA, pourtant le plus imprévisible et difficile à gérer. Les RSSI savent que les points de terminaison restent en constante évolution et que les entreprises ne suivent pas jusqu’à 40 % d’entre eux à un moment donné. Selon le rapport 2022 d’IBM sur les violations d’informations, les violations où le travail à distance était considéré comme déclenchant la violation coûtent près d’un million de dollars de plus que la moyenne. L’obstacle est de sécuriser les gadgets BYOD et les ordinateurs portables, ordinateurs de bureau, tablettes, téléphones mobiles et IdO professionnels, y compris les terminaux auxquels l’organisation n’a pas d’accès physique.
Les RSSI et leurs équipes de sécurité créent la sécurité de leurs terminaux pour répondre à trois exigences fondamentales de persistance, de résilience et de présence permanente pour améliorer la gestion des actifs.
De plus, ces exigences commerciales ont été étendues pour inclure des points de terminaison autoréparables qui peuvent être suivis même lorsqu’ils ne se trouvent pas sur un réseau d’entreprise. L’une des sociétés les plus ingénieuses en matière d’options de terminaux est l’application Outright Software, qui a récemment présenté le tout premier accès au service Absolutely no Trust Network Gain auto-réparateur du marché. Leur plate-forme Absolute Durability fournit des données de gestion des propriétés des terminaux, une visibilité en temps réel et un contrôle si le gadget se trouve sur un réseau d’entreprise.
De plus, ils s’associent à 28 fabricants d’appareils qui ont intégré le micrologiciel Outright dans leurs gadgets, offrant une connexion numérique ineffaçable à chaque gadget pour aider à garantir un haut niveau de résilience.
Les solutions supplémentaires pour terminaux incluent Defender Vulnerability Management Sneak Peek de Microsoft, désormais proposé au public, fournissant des outils d’évaluation innovants pour trouver des appareils non gérés et gérés, CrowdStrike Falcon, Ivanti Endpoint Manager, Sophos, Pattern Micro, ESET et d’autres .
« N’oubliez pas que vous pouvez consulter les rapports Forrester Wave. Au cours de l’année dernière, nous avons publié une étude évaluative et comparative sur 30 fournisseurs à travers la ZTNA et la microsegmentation, et nous sélectionnons les gagnants et presque les gagnants . C’est pour cela que nous sommes ici », a déclaré Holmes de Forrester. « Au-delà de cela, vous devez identifier si la technologie du fournisseur fonctionne comme un VPN ou en dépend, ou permet à un hôte sur un réseau d’en attaquer un autre ; alors ce n’est pas une confiance zéro. »
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de l’innovation commerciale transformatrice et de négocier. En savoir plus sur l’adhésion.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
