La gestion des privilèges peut être difficile.
Bien qu’il y ait eu de nombreuses innovations récentes dans ce domaine (techniques d’authentification basées sur le cloud, architectures de proxy Web sécurisées, techniques de segmentation du réseau, authentification multifacteur (MFA)), ces méthodes ont généralement cherché à sécuriser le périmètre.
« De plus en plus, les RSSI se rendent compte qu’il n’y a pas de périmètre », a déclaré Tarun Thakur, cofondateur et PDG de la plate-forme d’autorisation Véza. « Avec le cloud, les données peuvent vivre n’importe où. »
Ainsi, l’accent doit être mis sur la sécurisation des données où qu’elles se trouvent. Et, sécuriser les données à leur niveau fondamental signifie avoir la capacité de visualiser, gérer et contrôler les métadonnées d’autorisation, telles que les rôles, les groupes, les politiques et les autorisations, a déclaré Thakur.
Événement
Sommet sur la sécurité intelligente
Découvrez le rôle essentiel de l’IA et du ML dans la cybersécurité et des études de cas spécifiques à l’industrie le 8 décembre. Inscrivez-vous pour votre pass gratuit dès aujourd’hui.
« Tant que ce chemin ne sera pas gardé et sécurisé, les entreprises seront toujours exposées aux risques de ransomwares, de violations de données, etc., mettant en péril la confiance des clients et la marque », a-t-il déclaré. « L’autorisation est la clé d’une stratégie de confiance zéro. »
Pour aider à promouvoir ce concept en tant que front unifié, Veza a annoncé aujourd’hui que son API d’autorisation ouverte est désormais publique sur GitHub.
Avec cela, a déclaré Thakur, « nous aidons la communauté à s’unir pour améliorer sa sécurité collective contre les violations et les ransomwares. »
La gestion des autorisations empêche les menaces, internes et externes sortie
De plus en plus, les pirates utilisent des informations d’identification et des autorisations, volées ou accordées de manière inappropriée à des initiés malveillants au sein d’une organisation, pour accéder à des données sensibles et les voler. De plus, les employés divulguent ou abusent involontairement de leurs autorisations.
En 2022, 82 % des infractions impliquaient l’élément humain, y compris les erreurs et les abus. Récentesattaques contre Okta et Twilio indiquent que les organisations autorisent un accès trop large aux données via des constructions de groupes, de rôles, de politiques et d’autorisations spécifiques au système.
Face à des violations aussi médiatisées et compte tenu du fait que le coût moyen d’une violation de données s’élève désormais à 4,35 millions de dollars : les organisations appliquent de plus en plus le principe de la confiance zéro (ou le principe moins inquiétant du « moindre privilège »). Pour preuve, le marché de la gestion des identités et des accès (IAM) devrait passer d’environ 13,5 milliards de dollars en 2021 à près de 35 milliards de dollars en 2028.
« Au fil du temps, les entreprises se débattent avec la nature cumulative des autorisations », a déclaré Thakur. « Une fois que les employés ont accès aux données sensibles, cet accès n’est généralement jamais complètement annulé et devient inactif. »
La structure et le cadre de sécurité zéro confiance/moindre privilège accordent le moins d’accès possible aux employés pour faire leur travail. Grâce à des protocoles d’autorisation, les organisations peuvent déterminer rapidement qui peut voir quelles données (et comment elles peuvent y accéder) et qui peut modifier ou supprimer ces données. Ils peuvent ensuite ajuster l’accès pour n’accorder que ce qui est le plus nécessaire.
« La ruée vers un environnement multicloud et multi-applications a fait exploser la complexité et les couches d’interconnexion pour lesquelles l’accès doit être compris, surveillé et corrigé en permanence pour atteindre et maintenir le moindre privilège », a déclaré Thakur.
Tirer parti de l’open source comme un outil de sécurité
Veza fournit aux équipes de sécurité un plan de contrôle unique sur toutes les données organisationnelles, a expliqué Thakur.
« De plus en plus, ces données résident dans des centaines de systèmes disparates : fournisseurs de cloud, applications SaaS, lacs de données, applications personnalisées et autres », a-t-il déclaré.
En déterminant qui peut voir quoi, les organisations peuvent ensuite accorder et ajuster uniquement les autorisations les plus appropriées, puis utiliser une correction automatisée pour détecter et empêcher toute utilisation non autorisée future.
Comme Thakur l’a expliqué, les clients de Veza souhaitent connecter la plate-forme à autant de systèmes que possible pour assurer une couverture maximale. Et, bien que Veza dispose de nombreux connecteurs natifs pour les systèmes populaires, il a créé son API d’autorisation ouverte pour permettre aux clients de créer les leurs.
En tant que projet open source sur GitHub, les clients et les partenaires peuvent apprendre et s’appuyer sur le travail de chacun, a déclaré Thakur.
Grâce aux connecteurs disponibles pour la communauté GitHub, les utilisateurs peuvent ingérer des métadonnées d’autorisation précédemment isolées dans des systèmes et applications internes. Les utilisateurs peuvent explorer les relations identité-données via un graphique d’autorisation, surveiller les erreurs de configuration et les violations du moindre privilège et effectuer des examens complets des droits pour toutes leurs données sensibles, a déclaré Thakur.
Il a souligné que la communauté de la plate-forme avait déjà créé des intégrations pour les applications SaaS critiques, notamment GitLab, Bitbucket, Jira, Zendesk, Slack, Coupa, PagerDuty et Looker.
Une approche holistique de la gestion des autorisations
En fin de compte, les organisations doivent adopter une approche globale de l’autorisation pour se protéger, a déclaré Thakur.
Au-delà de la mise en œuvre de plates-formes, elles doivent permettre aux équipes de sécurité de tenir compte du contexte lors de l’octroi de nouvelles autorisations.
Par exemple : d’autres utilisateurs ayant un rôle similaire y ont-ils déjà accès ? Et si oui, à quelle fréquence l’utilisent-ils ?
Plus souvent qu’autrement, les utilisateurs demandent une autorisation plus large que nécessaire, a-t-il déclaré, et « il y a toujours une pression sur les informaticiens pour qu’ils « approuvent simplement ».
En outre, lorsque les employés changent d’emploi ou quittent l’entreprise, les organisations doivent accorder une attention particulière à l’intégralité de la chaîne d’autorisation. Il ne suffit pas de simplement désactiver un utilisateur dans un système d’identité, a déclaré Thakur.
De même, les organisations doivent porter une attention particulière aux comptes de service (c’est-à-dire aux identités non humaines) et à l’accès qui leur est accordé aux ensembles de données critiques et sensibles. Comme l’a expliqué Thakur, les comptes de service ne sont pas gérés via les méthodes classiques d’utilisateur ou de groupe Active Directory, ce qui les rend encore plus vulnérables aux abus.
Tout aussi important, les organisations peuvent augmenter la fréquence des audits, en particulier pour les données sensibles telles que les informations personnelles identifiables (PII), les données financières et la propriété intellectuelle.
« Les fréquences prescrites, comme les fréquences trimestrielles, semblent étranges face aux cybermenaces quotidiennes », a déclaré Thakur. « Ainsi, les entreprises doivent viser à atteindre une conformité continue. »
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur