vendredi, 29 mars 2024

Un rapport de Gartner montre que la confiance zéro n’est pas une solution miracle

Deux groupes de sécurité ont en fait suscité autant d’intérêt et d’élan qu’absolument aucune confiance. 97% des entreprises ont soit un effort de confiance zéro dans l’emplacement ou une stratégie pour en mettre en œuvre un dans les 12 à 18 prochains mois. Un tout nouveau rapport publié par Gartner cette semaine suggère qu’absolument aucune confiance n’est une solution miracle ou une solution miracle.

L’étude de recherche prévient que d’ici 2026, 50 % des cyberattaques cibleront des zones qui ne sont pas ou ne peuvent pas être sécurisées par des contrôles de confiance zéro, tels que les API accessibles au public et les escroqueries d’ingénierie sociale.

Le rapport souligne également que la maturité zéro confiance est encore loin pour la majorité des organisations. Il estime que seulement 10 % des grandes entreprises disposeront d’un programme de confiance zéro mature et mesurable d’ici 2026, une augmentation par rapport à seulement 1 % aujourd’hui.

Lorsqu’ils sont considérés ensemble, les défis liés à l’atteinte de la maturité zéro confiance et la tendance croissante des dangers basés sur les API et des attaques d’ingénierie sociale montrent que les entreprises ne peuvent pas s’appuyer sur un cadre de sécurité unique pour sécuriser leurs environnements .

Quel est le problème avec la confiance zéro ?

Au cœur de la prédiction de Gartner selon laquelle absolument aucune confiance ne deviendra moins efficace, c’est que les étoiles de danger ciblent des segments de la surface d’attaque du cloud, qui sont difficiles à protéger avec les seuls contrôles d’accès.

« La surface d’attaque de l’entreprise s’élargit beaucoup plus rapidement et les attaques [er] envisageront rapidement de faire pivoter et de cibler les actifs et les vulnérabilités en dehors de la portée des architectures de confiance zéro (ZTA) », a déclaré Jeremy D’Hoinne. , vice-président expert chez Gartner.

« Cela peut prendre le type d’analyse et d’exploitation d’API accessibles au public ou de ciblage des employés via l’ingénierie sociale, la création ou l’exploitation de défauts dus au fait que les membres du personnel développent leur propre « contournement » pour empêcher des politiques strictes de confiance zéro « , a déclaré D’Hoinne.

Les organisations peuvent appliquer des contrôles zéro confiance et une authentification multifacteur aux API, avec potentiellement des milliers d’API provisionnées et déprovisionnées dans toute l’entreprise. Mais cette approche est difficile à mettre à l’échelle.

Du côté positif, alors que la confiance zéro ne peut pas empêcher les fraudes d’ingénierie sociale et de phishing d’obtenir l’identifiant et le mot de passe de connexion en ligne d’un utilisateur, cela peut aider à appliquer le principe du moindre privilège et à limiter le nombre de données auxquelles un intrus a accès.

Néanmoins, si D’Hoinne a raison de dire que l’exploitation d’API accessibles au public n’entre pas dans le cadre de la confiance zéro, il s’agit d’un oubli considérable, en particulier compte tenu du fait que selon les propres recherches de Gartner, d’ici 2023, les abus d’API passeront du vecteur d’attaque peu fréquent au vecteur d’attaque le plus régulier.

C’est aussi une faiblesse que les groupes de sécurité ne peuvent pas se permettre d’ignorer, surtout après que et T-Mobile ont expérimenté Les violations d’API qui ont conduit à l’exposition des informations personnelles de millions d’utilisateurs.

Faire face à l’obstacle de la sécurité des API

Au minimum, les organisations doivent commencer à investir dans des capacités de sécurité des API si elles souhaitent atténuer le danger. En pratique, cela implique de déployer des systèmes pour produire un stock d’API accessibles au public, de déterminer les vulnérabilités et de les corriger avant qu’un adversaire n’ait la possibilité de les exploiter.

Une étude de recherche antérieure de Forrester a en fait mis en évidence l’exigence pour les organisations de s’éloigner de la protection des API avec une approche de sécurité basée sur le périmètre et de commencer plutôt à intégrer la sécurité dans le développement des API et à valider de manière proactive les connexions.

« Authentifiez-vous partout ; créez des chaînes de confiance spécifiques comme un élément essentiel de l’avancement des API et des pipelines de publication », indique le rapport.

Cependant, Ted Miracco, PDG de l’API et du fournisseur de sécurité des applications mobiles Approov, affirme que les méthodes de décalage vers la gauche de la sécurité des API présentent de graves faiblesses.

« Ce qu’on appelle « shift-left  » les techniques de sécurité échouent, car de nombreux exploits d’API se produisent réellement par rapport aux API vérifiées. Dans le passé, ralentir les assaillants suffisait à laisser une menace, mais aujourd’hui, il n’y a aucun endroit pour se cacher des pirates déterminés « , a déclaré Miracco .

Pour Miracco, l’option est d’effectuer un suivi constant et en temps réel des API pour sécuriser la surface d’attaque.

« Lancer des applications, en particulier des applications mobiles, sans pouvoir transporter la surveillance en temps réel, l’autoprotection des applications, les mises à jour en direct [et] les toutes nouvelles clés API sont en danger, car les menaces API se multiplient considérablement dans ce domaine », a déclaré Miracco.

Autres limitations d’absolument aucune confiance

Bien qu’absolument aucune confiance offre une conception solide pour gérer l’accès aux données au sein d’un réseau basé sur le périmètre, ce n’est pas un guichet unique pour l’atténuation des risques. « Même si une entreprise exécute complètement un modèle de confiance zéro, cela ne garantit pas une protection totale contre les cyberattaques », a déclaré Steve Hahn, vice-président exécutif de BullWall.

Hahn affirme que l’exploitation des API, l’ingénierie sociale, le matériel et les vulnérabilités logicielles, les qualifications prises ou compromises, les projets de harponnage, les logiciels malveillants et l’accès physique aux appareils et à l’infrastructure réseau peuvent tous être utilisés pour contourner les contrôles de confiance zéro pour accéder aux systèmes et aux données.

En conséquence, les entreprises doivent compléter les contrôles utilisés par les personnes sans confiance par des mesures de sécurité supplémentaires pour améliorer leur cyber-résilience.

« Il est nécessaire que les organisations non seulement mettent en œuvre des des solutions, mais également de fournir une formation de sensibilisation à la sécurité de routine aux employés pour les aider à éviter ces types d’attaques, et de filtrer et d’examiner régulièrement leurs systèmes et réseaux pour détecter tout signe de compromis. échouer », a déclaré Hahn.

La véritable fonction de la confiance zéro : diminution du risque

À l’avenir, la véritable fonction de la non-confiance n’est plus pour se débarrasser totalement du cyber-risque, mais pour augmenter la cyber-résilience et aider les organisations à réduire le risque dans l’entreprise.

Dans sa conclusion, le rapport affirme que les entreprises ne devraient d’abord faire preuve d’aucune confiance pour renforcer l’atténuation des menaces pour les propriétés vitales, afin de générer les meilleurs rendements. Cependant, il garde également à l’esprit que les RSSI doivent exécuter un système de gestion de l’exposition directe aux dangers constants (CTEM) pour produire un stock de dangers en dehors du mandat d’absolument aucune confiance.

En combinant le cadre de confiance zéro avec un programme CTEM, les entreprises peuvent déterminer et atténuer les risques à mesure qu’ils émergent et se consacrer à l’amélioration constante de leur posture de sécurité totale.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies commerciales transformatrices et de négocier. Découvrez nos Rundowns.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici