.png)
Comment l'IA et l'apprentissage automatique peuvent-ils accélérer la segmentation de la confiance zéro ?
La confiance zéro peut être considérée comme une stratégie qui transforme votre confiance implicite excessive et risquée en un modèle de confiance explicite moins risqué.
Cet état de confiance implicite s'explique classiquement par le fait qu'un pare-feu est le point de démarcation entre un réseau de confiance (à l'intérieur du pare-feu) et un réseau non fiable (à l'extérieur du pare-feu). Le rôle du pare-feu est de maintenir les mauvais acteurs du côté non fiable de cette frontière.
Mais cette approche standard produit un intérieur "doux et moelleux" derrière le pare-feu, car tout ce qui se trouve dans cette zone de confiance est implicitement approuvé.
Les risques de la confiance implicite
Il s'agit d'un modèle de sécurité très simple et c'est ainsi que nous procédons depuis des années - et c'est ainsi que beaucoup de gens procèdent encore aujourd'hui. Mais une fois qu'un mauvais acteur est à l'intérieur, sa vie est facile avec ce modèle.
Il existe également des facteurs qui aggravent le risque. Par exemple, on peut imaginer qu'au fur et à mesure qu'une entreprise se développe, la zone de confiance s'agrandit. Cela signifie qu'il est plus probable que quelque chose de non fiable se trouve à l'intérieur.
Deuxièmement, indépendamment de l'échelle, au fur et à mesure que les choses deviennent plus complexes (comme elles tendent naturellement à le devenir au fil du temps), la probabilité que quelque chose pénètre à l'intérieur augmente. Ainsi, l'échelle et la complexité font que les risques associés à ce modèle de confiance implicite augmentent continuellement au fil du temps.
Les initiatives de confiance zéro exigent de connaître l'identité de chaque système.
Quel est le défi à relever pour passer de la confiance implicite à la confiance explicite (ou pour s'engager sur la voie de la confiance zéro) ?
Il est évident qu'une politique de segmentation que vous appliquez au serveur, aux terminaux et aux appareils est le moyen d'accomplir cette transformation vers une confiance explicite. Mais avant d'élaborer une politique de sécurité précise qui renforce suffisamment les contrôles pour réduire les risques, mais qui n'est pas si fragile qu'elle risque d'interrompre les applications, vous devez savoir ce qui se trouve dans cet environnement. Il y a tout simplement des choses sur votre réseau, et vous devez les connaître avant de pouvoir appliquer des décisions de segmentation et de contrôle d'accès.
La question à laquelle vous devez répondre est la suivante : Quelle est l'identité de chaque système sur votre réseau ?
Pendant longtemps, j'ai eu une définition limitée du mot "identité" tel qu'il était utilisé dans le domaine de la gestion des identités et des accès (IAM). L'IAM est une technologie qui se concentre principalement sur l'authentification des utilisateurs afin de prouver qui ils prétendent être. La définition de l'identité dans ce contexte limitait ma compréhension parce que j'assimilais le "nom d'utilisateur" et le "secret" à l'identité. Et pour être honnête, je m'en veux vraiment d'avoir une perspective aussi limitée sur l'identité - c'est bien plus complexe que cela.
Par exemple, dans le monde non technologique, mon identité ne se résume pas à mon nom. Mon nom est une étiquette qui me sert de référence, mais je suis également directeur technique, employé d'Illumio, père, frère, mari et fils. J'ai grandi dans l'Ohio, je vis en Californie et j'aime le whisky de seigle, la randonnée et la cuisine. Je recherche la vérité et je crois en la valeur de la confiance en autrui, j'écoute, j'ai lancé un podcast sur les CTO, et j'aime les logiciels et les startups.
Il s'agit d'un ensemble multidimensionnel d'attributs qui sont à la fois partagés avec de nombreuses autres personnes (dont certaines peuvent se confondre avec vous, la personne qui lit ces lignes) et un ensemble de ces attributs qui décrivent mon identité unique.
Utiliser l'intelligence artificielle et l'apprentissage automatique pour l'identité
Tout comme les personnes, les systèmes informatiques ont une identité et un objectif. Les systèmes peuvent être de production ou de non-production. Un système peut être un front-end ou un back-end, ou encore un contrôleur de chauffage, de ventilation et de climatisation, une imprimante ou un appareil de prise de tension artérielle. Les systèmes peuvent se trouver dans une aile de soins intensifs de l'hôpital ou au sous-sol. Les systèmes peuvent être en charge de dizaines de milliards de dollars de transferts, ou ils peuvent maintenir l'état du jeu en direct pour des milliers de joueurs de Roblox.
Pour l'identité du système individuel
Les solutions d'intelligence artificielle/apprentissage machine (IA/ML) sont idéalement adaptées à ce type de problème dont les données d'entrée sont multidimensionnelles et qui nécessite des valeurs de sortie multidimensionnelles qui constituent l'identité du système. Cela comprend à la fois le comportement des pairs d'un système (avec qui ils parlent) et l'inspection approfondie des paquets qui permet de voir exactement ce qui se passe au niveau de l'application (ce qu'ils disent).
Et si certaines valeurs sont binaires, comme la production ou la non-prod, d'autres, comme la valeur commerciale, sont des valeurs plus continues. Les techniques d'IA/ML peuvent fournir ces différents types de prédictions ainsi qu'une confiance dans les prédictions pour aider à fournir des suggestions autour de cet espace d'identité.
C'est dans ce domaine qu'Illumio a utilisé pour la première fois la ML dans la solution Illumio Core. La détection des services de base fait appel à des techniques heuristiques et à des techniques de ML, en exploitant des caractéristiques telles que les relations entre pairs. La productivité de l'opérateur du système de segmentation s'en trouve améliorée grâce à un flux de recommandations pour ces services de base.
Pour l'identité du groupe d'application
Et pour aller plus loin, l'identité ne se limite pas à un système individuel. Tout comme nous sommes des individus, nous faisons également partie de groupes. J'ai une famille, et ma famille a une identité de groupe, un ensemble de caractéristiques partagées qui rendent ce groupe unique. Cet ensemble de caractéristiques est différent d'un autre groupe.
Cela s'applique également aux systèmes informatiques. Les serveurs peuvent être dorsaux ou frontaux, mais c'est la somme d'un ensemble de serveurs individuels qui constitue une application. Et cette application dans son ensemble doit souvent être traitée comme une unité unique - tout comme un groupe d'individus dans une famille. Par exemple, les instances d'applications peuvent être très similaires si un système de production a un système jumeau dans l'environnement d'essai qui est souvent utilisé pour les tests. Il peut également être similaire à de nombreux égards en tant que groupe et doit être traité comme tel, même si les composants individuels sous-jacents sont totalement différents.
Lors de la mise en œuvre de la segmentation dans leurs réseaux, les clients souhaitent souvent créer une clôture autour d'une application, de sorte qu'il est essentiel de connaître l'identité de l'application et de tous ses membres. Les algorithmes de regroupement ML et d'autres approches sont utiles ici.
Pour les changements d'identité du système au fil du temps
Le troisième aspect du problème est celui du temps : Les identités ne restent pas fluides au niveau du système individuel ou du groupe.
Un problème classique est que les systèmes sont essentiels à certaines fonctions de l'entreprise le jour de leur construction, mais au fil du temps, les priorités changent, les gens partent, des événements se produisent, et ce même système qui était essentiel n'est plus pertinent. Son identité évolue en même temps que sa finalité. Peut-être n'est-il plus maintenu avec les correctifs les plus récents, ce qui signifie qu'il est plus risqué et constitue une cible plus juteuse pour un pirate souhaitant s'implanter durablement dans l'environnement (voir le piratage de Sony Pictures). Ou bien elle remplissait une fonction essentielle pour l'entreprise, mais une nouvelle génération d'applications attire de nouveaux clients et les utilisateurs de cette application sont de moins en moins nombreux.
Les identités se transforment au fil du temps. Cependant, la politique de segmentation doit suivre ces changements. Les algorithmes de ML/AI ne se limitent pas à une analyse ponctuelle ; ils doivent fonctionner en permanence, comprendre les changements dans les environnements et formuler des recommandations pour que les politiques restent en phase.
Les politiques de sécurité deviennent fragiles si elles ne sont pas adaptées lorsque l'identité et l'objectif du système changent. En demandant continuellement si vos politiques sont complètes et correctes, et en fournissant un retour d'information prédictif sur les endroits où des risques ou des fissures apparaîtront, vous aiderez les opérateurs à assurer la sécurité.
La place de l'IA et de la ML dans la segmentation sans confiance
L'idéal pour l'IA/ML dans les systèmes de segmentation sans confiance est donc de.. :
- Proposer des suggestions pour une identité multidimensionnelle des systèmes
- Fournir un niveau plus élevé de regroupement, d'appartenance et d'identité de groupe
- Suivre en permanence les modifications apportées à l'identité au fil du temps afin de vérifier l'exhaustivité et l'exactitude d'une politique de segmentation sans confiance.
Les innovations en matière d'IA et de ML peuvent servir d'outils puissants à ces précieux humains de la sécurité à qui nous confions chaque jour la tâche de sécuriser nos données critiques et de nous défendre contre les attaques. Laissez ces systèmes de segmentation alimentés par l'IA et le ML devenir un multiplicateur de force dans cette bataille sans fin.
Vous voulez en savoir plus sur la segmentation zéro confiance d'Illumio? Contactez-nous dès aujourd'hui.
.webp)
