Comment les méthodes de confiance zéro déjouent les pirates malveillants

Le terme « zero trust » existe depuis plus d’une décennie, mais c’est un terme impropre, beaucoup de disent les spécialistes de la sécurité.

« Cela indique qu’une entreprise ne fait pas confiance à son personnel », a déclaré Heath Mullins, analyste principal chez Forrester. « C’est loin d’être le cas, ce n’est pas du tout le cas. Cela a à voir avec la sécurisation par rapport aux étoiles nuisibles, la durée. »

Les professionnels disent plutôt que cela devrait être qualifié de « assez confiance », « faire confiance à la bonne quantité » ou « moindre privilège » – en particulier lorsqu’il s’agit de contrecarrer des experts destructeurs.

« Cela offre aux individus la bonne dose de confiance et rien de plus », a déclaré Charlie Winckless, analyste principal chez Gartner, qui va jusqu’à appeler « la confiance zéro » un « nom épouvantable ».

Finalement, « il est important que les organisations examinent la capacité et non le mot à la mode qui l’entoure,  » dit Winckless.

L’augmentation des risques experts nuisibles

Il ne fait aucun doute que les risques experts augmentent : selon le Ponemon Institute, les événements ont augmenté de 44 % au cours des deux dernières années, avec des dépenses par événement en hausse plus du tiers à 15,4 millions de dollars. De plus, le temps nécessaire pour contenir une occurrence de risque interne est passé de 77 jours à 85 jours, ce qui a conduit les entreprises à dépenser le plus pour le confinement.

Pourtant, le terme « initié destructeur » – un peu comme « confiance zéro » – est extrêmement souvent mal interprété.

Comme Winckless l’a expliqué, un initié nuisible est toute personne au sein d’une entreprise qui a accès – ou peut rapidement accéder à – à des informations, puis les utilise de manière inappropriée. En ce qui concerne les menaces internes, cela peut être involontaire, a-t-il expliqué.

Dans la toute première situation, un utilisateur a accès à une quantité massive de données simplement parce qu’il en a besoin pour faire sa tâche.

« Ils ont la possibilité d’en abuser pour de nombreuses raisons », a déclaré Winckless. « C’est le cas difficile pour un initié malveillant. »

La possibilité d’obtenir un accès, en revanche, indique que l’accès a effectivement été offert bien qu’un utilisateur n’en ait pas besoin. En raison du fait que, Winckless a gardé à l’esprit, du point de vue de l’entreprise, qu’il est simplement plus simple de donner l’accès que de déterminer ce dont un utilisateur spécifique a besoin pour accéder.

Il existe une grande variété de circonstances « d’experts semi-malveillants », a déclaré Winckless, c’est-à-dire un employé emportant avec lui des données exclusives ou d’autres informations lorsqu’il part, puis les utilisant pour autre chose.

Mullins a convenu que « ‘destructif’ implique que c’est fait sur la fonction », alors que parfois cela peut être plus « inoffensif ». Prendre des contacts commerciaux ou des enregistrements, par exemple en raison du fait que l’utilisateur les a cultivés et a construit ces relations.

« Ce n’est pas seulement le danger, mais la motivation qui le sous-tend », a déclaré Mullins.

Un équilibre délicat entre avantages et restrictions

Lutter contre les experts nuisibles est plus une question de technique que d’innovation, a déclaré Winckless : Offrir la confiance idéale à un individu en fonction de son identité et de son contexte.

La confiance zéro, ou le moindre privilège, est préférable pour ceux qui ont accès à des choses auxquelles ils n’ont pas besoin d’accéder, a-t-il déclaré. Ils ne peuvent pas utiliser un tout nouveau mot de passe ou exiger leur accès à un système ; ils ne voient que les choses importantes dont ils ont besoin pour accomplir la tâche.

Le cas des utilisateurs ayant accès aux informations dont ils ont besoin pour faire leur travail est un peu plus complexe, a-t-il déclaré. Les déjouer implique de surveiller et d’essayer de trouver des anomalies. Tout à coup, un utilisateur commence à agir différemment : télécharger des choses qu’il ne fait pas normalement, regarder des choses qu’il ne fait pas autrement, ou conserver des informations particulières ou de grandes quantités de celles-ci.

« C’est un facteur de dire ‘Hé, qu’est-ce qui se passe ?’ et commencer à mener une enquête plus approfondie sur ce qui pourrait se passer », a déclaré Winckless.

Faire cela au mieux signifie équilibrer la complexité avec la sécurité, a-t-il déclaré. Il y a une grande ligne à parcourir quand il s’agit de culture.

« Vous devez être suffisamment granulaire pour donner aux gens le meilleur accès sans le rendre complexe de manière ingérable », a-t-il déclaré.

Les organisations doivent exécuter des contrôles qui restreignent les utilisateurs aux applications et garantir que ces contrôles correspondent et soient faciles à mettre en œuvre où qu’un utilisateur se trouve (que ce soit sur un lieu de travail, à la maison ou dans les limbes à l’aéroport). Le réseau accède au contrôle, a-t-il souligné, bien qu’utile, il ne fonctionne qu’au bureau.

Lors de l’examen des outils, conseille Winckless, les organisations doivent se poser des questions telles que : Est-ce que cela aide à offrir la bonne confiance ? Ouvrir plus de confiance ? Rien à voir avec la confiance ? At-il simplement un nom de confiance zéro dessus?

Mullins a également souligné l’importance de trouver des tiers indépendants de la plate-forme. La formulation de confiance zéro a en fait été « piratée par les fournisseurs », a-t-il déclaré, alors ne vous contentez pas d’implémenter aveuglément un outil du fournisseur X. Il y a beaucoup de fournisseurs, beaucoup de concurrence, et certains auront le plus de ce dont une entreprise a besoin, ou « être adjacent avec un chevauchement mineur ».

De même, ne basez pas le moindre avantage sur la définition du fournisseur : produisez votre propre sens et déterminez quels sont les aspects les plus cruciaux pour votre organisation, a déclaré Mullins.

 Mettre en œuvre les outils et les meilleures pratiques – ne pas jeter les obstacles

Lors de l’élaboration et de la mise en œuvre d’une technique et des outils associés, la toute première chose doit être de « réaliser par évaluation », a déclaré Mullins.

Le fruit le plus facile est souvent la gestion de l’accès chanceux (PAM). Cela limite ce que les utilisateurs peuvent faire car ils doivent passer par un seul port, « essentiellement un gars au milieu ».

Ceci est particulièrement crucial avec la suite C, car ils sont une cible de premier plan, a-t-il déclaré. De plus, les entreprises ne doivent pas ignorer leurs responsables RH ou leurs administrateurs locaux.

« Ils gèrent des affaires, ils ne sont pas toujours préoccupés par la sécurité de leur point de terminaison », a déclaré Mullins.

Un autre outil essentiel est l’accès juste à temps à, qui limite l’accès des utilisateurs à des périodes de temps établies, selon les besoins, a-t-il déclaré. Suivi de session et délais d’expiration, ou authentification renforcée, qui nécessite des niveaux d’authentification supplémentaires.

Pourtant, le non. 1 règle est la transparence. « Vous n’essayez pas de produire une obstruction », a déclaré Mullins.

Lorsque les utilisateurs doivent faire des choses trop souvent, cela devient un fardeau. Ils peuvent développer des tickets d’assistance informatique qui stockent le service, ou « ils commencent à emprunter des moyens plus rapides, découvrent d’autres méthodes pour naviguer dans ces invites de confirmation ou restent visités plus longtemps », a déclaré Mullins.

Sont-ils ce qu’ils prétendent être ?

Un problème croissant avec les experts destructeurs est le paysage actuel du travail à domicile. Les organisations emploient souvent des personnes qu’elles n’ont jamais rencontrées en personne, a souligné Mullins, ou avec lesquelles elles viennent de correspondre lors d’appels Zoom.

Cette personne, ou entité, pourrait simplement être intégrée pour obtenir d’un État-nation ou d’un collectif les informations pour lesquelles elle est payée, a-t-il déclaré. Il est crucial de vétérinaire et de valider.

Recherchez des identifiants uniques, a-t-il déclaré. Si quelqu’un fait une interview et que vous entendez des réponses extrêmement scénarisées, posez des questions aussi simples que « avez-vous des animaux de compagnie? » ou « que proposez-vous pour vous amuser ? »

« Si cela ne vous semble pas correct, ce n’est probablement pas correct », a déclaré Mullins.

Il a également souligné la pratique consistant à demander aux utilisateurs de visiter, de faire scanner leur visage, puis, avec les connexions suivantes, en appliquant un système expert (IA) pour comparer les fonctions.

Aux États-Unis, les travailleurs ont des cartes ou des passeports de sécurité sociale, mais cela peut être complètement différent s’ils viennent d’un autre pays.

C’est une zone grise, a déclaré Mullins, et la question que les organisations devraient se poser est : « Qu’est-ce qui constitue une confirmation suffisante ? »

Culture : la meilleure façon de conjurer initiés malveillants

Les organisations ont offert de nombreux privilèges à un grand nombre d’utilisateurs, qu’ils en aient besoin ou non, a déclaré Winckless. « Retirer quelque chose qu’un utilisateur possédait déjà est toujours inconfortable », a-t-il déclaré.

Traiter avec cette culture et empêcher l’expression « pas de confiance » peut être une technique moins menaçante et plus conviviale. Puisque, franchement, les gens veulent éviter d’opérer à un endroit où ils ne se sentent pas en confiance, a-t-il déclaré.

Mullins a convenu que tout se résume à la culture. En termes simples, « Si vous traitez bien les individus, vous êtes moins susceptible d’avoir un initié nuisible. »

Les organisations doivent rappeler aux travailleurs qu’il ne s’agit pas de ne pas leur faire confiance, mais plutôt : « ce sont mes affaires, vous ne pouvez pas toucher à mes affaires à moins d’être vérifiées et validées ».

Et, il est essentiel de faire passer le message qu’il ne s’agit pas seulement de protéger leurs propres biens.

« L’organisation pour laquelle vous travaillez possède toutes sortes d’informations sur vous », a déclaré Mullins. « Ne voudriez-vous pas protéger cela ? Je le ferais. »