Comment les agences fédérales peuvent-elles créer un projet pilote de confiance zéro ?

La semaine dernière, je me suis entretenu avec le chef de la direction des opérations de sécurité d'une agence civile. Zero Trust continue d'attirer son attention, en particulier sur le point final. Il veut s'immerger dans les principes de la confiance zéro lorsque le jour inévitable où le bureau du DSI lui demandera de mettre en œuvre une architecture de confiance zéro arrivera. Il a également indiqué que son DSI était soumis à des pressions de conformité sur les actifs de grande valeur de l'agence. Même ce chef d'agence a son propre sous-ensemble d'HVA. Je suis sûr que cette pression a quelque chose à voir avec la volonté d'améliorer leur score global FISMA - puisqu'une partie de la carte de score mentionne spécifiquement les HVA.

Bien qu'il y ait un "buzz" autour de la confiance zéro au sein de cette agence, il peut être difficile de passer aux choses sérieuses en termes de sélection d'un événement clairement défini ou d'un cas d'utilisation pour démarrer un projet. Cela me fait penser à quelqu'un qui voudrait écrire un roman et qui ne saurait pas par où ni comment commencer. S'il est toujours bon d'apprendre les principes de l'écriture, cela ne suffira jamais, tout comme il ne suffira jamais de connaître les principes de la confiance zéro. C'est dans l'écriture elle-même que l'on commence à développer l'habitude et la cohérence de l'écriture. Si vous souhaitez écrire un roman, tenez un journal pour être cohérent et saisissez l'occasion d'écrire des articles ou même des nouvelles pour développer vos compétences en matière d'écriture.

Si vous souhaitez mettre en œuvre la confiance zéro dans votre organisation, commencez par déterminer les priorités critiques en matière de sécurité et les capacités actuelles de la confiance zéro. Définissez l'état final de la confiance zéro que vous souhaitez obtenir. Lorsque le problème de la confiance zéro, les objectifs et les résultats souhaités ont une portée étroite, il est plus facile de solliciter le soutien de vos principales parties prenantes.

La norme NIST 800-207 l'affirme lorsqu'elle dit que la confiance zéro est un voyage, et que l'objectif doit être de mettre en œuvre la confiance zéro de manière progressive. Vous ne voudriez pas être débordé plus tard en essayant d'écrire ce roman sans avoir une ou deux nouvelles à votre actif. Pourquoi attendre un événement externe contraignant tel qu'une violation, un logiciel malveillant ou une attaque de type "zero-day" ? Lancez dès aujourd'hui votre projet pilote Zero Trust.

Afin de recommander un bon point de départ pour le projet pilote de confiance zéro du chef de l'agence, j'ai voulu en savoir plus sur ses HVA et sur l'importance d'améliorer la visibilité des HVA, de leurs composants et de leurs connexions légitimes. Quelques questions clés se posent :

1. Quelles sont les applications considérées comme des HVA ?
2. Quels sont les éléments d'application de ces HVA ?
3. À quoi ressemble l'infrastructure d'application, de réseau et de calcul ?
4. Utilisez-vous des applications conteneurisées ?
5. Quelles sont les connexions légitimes de l'application/charge de travail à l'HVA ?
6. Quelles sont les connexions légitimes des utilisateurs finaux et des points d'accès au HVA ?

Il est essentiel de disposer d'une visibilité et de données précises sur les composants et les connexions aux HVA. Les réponses à ces questions aideront à répondre à la question "par où commencer ?".

Une fois qu'ils ont réduit les applications HVA, l'étape suivante consiste à évaluer les capacités existantes en matière de confiance zéro.

L'approche actuelle de l'agence en matière de sécurisation de ses HVA révèle ses points faibles et met en évidence les possibilités d'instaurer la confiance zéro.

En raison de la transition rapide vers le travail à distance, il était également important de comprendre comment leur posture de sécurité HVA a évolué.

J'ai demandé au chef d'agence de m'en dire plus sur ses points d'aboutissement. L'agence met actuellement en œuvre Carbon Black EDR pour la détection des menaces. Comme vous le savez peut-être, Carbon Black enregistre et stocke en permanence les données des terminaux afin que les professionnels des opérations de sécurité puissent visualiser les menaces en temps réel pour une "chaîne d'exécution de l'attaque". Dans la plupart des cas, lorsque l'attaque a déjà eu lieu, il peut être trop tard. Votre mission pourrait être compromise ou vos données déjà exfiltrées.

Pour véritablement mettre en œuvre la confiance zéro au niveau du point final, vous devez arrêter les logiciels malveillants avant qu'ils ne s'exécutent et, surtout, les empêcher de se propager latéralement. L'agence peut augmenter ses investissements en matière de terminaux et d'EDR en contrôlant de manière proactive les connexions peer-to-peer entrantes vers les terminaux en utilisant une "liste d'autorisation" de connexions légitimes et en refusant toutes les autres. C'est le cœur de la confiance zéro au point final. Il a certainement l'occasion de lancer un projet pilote "Zero Trust" aux points d'extrémité de la branche.

Lorsque j'ai approfondi les HVA dans le contexte des attaques par mouvement latéral au sein de son centre de données et de son environnement cloud, le chef de la branche a noté que la perte ou l'altération aurait un impact sérieux sur la capacité de la branche à accomplir sa mission. Les HVA sont une combinaison d'années de données accumulées. Les applications concernées ont trait à l'analyse et à la visualisation de ces données. Jusqu'à présent, la majorité de leurs investissements dans le domaine de la confiance zéro se sont concentrés sur la segmentation du périmètre du réseau et sur la gouvernance de l'identité et de l'accès des utilisateurs. Ces solutions ne tiennent pas compte des faiblesses d'un réseau interne ouvert et plat.

Si vous adhérez à une véritable architecture de confiance zéro, vous devez supposer qu'une violation a déjà eu lieu. Une fois que le paquet se trouve à l'intérieur du périmètre de votre réseau, les acteurs malveillants se dirigent directement vers vos HVA, sans que rien ne leur résiste. Il est clair que la sécurisation du trafic est-ouest des HVA est un autre domaine dans lequel un projet pilote de confiance zéro peut être lancé dès maintenant.

Nous avons identifié les points de terminaison et les HVA de sa succursale comme deux domaines dans lesquels lancer un projet pilote de confiance zéro.

L'étape suivante consiste à compter le nombre de points d'extrémité et le nombre de charges de travail et d'applications qui feront partie du projet pilote. Un petit projet pilote peut comporter aussi bien 50 charges de travail et points finaux que quelques centaines, et le projet pilote impliquera la segmentation et la micro-segmentation de ces éléments. L'essentiel est de ne pas se laisser submerger par la complexité potentielle.

Prochaine étape : micro-segmentation basée sur l'hôte

L'étape suivante consiste à charger la section 3.1.2 de la norme NIST 800-207. La Commission européenne appelle à une "micro-segmentation basée sur l'hôte à l'aide d'agents logiciels". Avec la solution d'Illumio, vous chargez un agent logiciel léger sur chaque charge de travail, application ou serveur. L'agent se contente de rapporter le contexte et la télémétrie de votre réseau à un "cerveau central" qui établit une carte de base des dépendances des applications en temps réel. Cette carte est d'une importance capitale du point de vue du contrôle, car elle correspond à la norme NIST 800-53 et au RMF (cadre de gestion des risques). Le premier "seau" RMF est identifié, fournissant une cartographie en temps réel des dépendances des applications afin d'appliquer la politique de micro-segmentation. Vous devez voir ce qui se passe dans votre réseau - du point de vue des applications et des charges de travail - avant d'améliorer ou d'appliquer une politique de confiance zéro.

Le déploiement d'un projet pilote Zero Trust utilisant la micro-segmentation basée sur l'hôte peut prendre moins de cinq jours, surtout si la portée et les résultats souhaités sont bien définis et qu'une formation est dispensée pour montrer à la personne chargée de ce projet pilote les moyens les plus efficaces de procéder.

La seule hésitation du chef d'agence était due à des contraintes de ressources. Il n'avait pas de personne à consacrer à cet effort. Un investissement de trois à cinq jours vaut-il la peine pour faire de votre écriture une habitude - pour étendre votre connaissance de Zero Trust de l'étude à la mise en œuvre réelle ?

En plus d'une portée bien définie, il est important d'avoir un résultat clairement défini et mesurable pour vendre votre projet pilote Zero Trust en interne. Les améliorations dans des domaines spécifiques des scores FISMA CIO ne sont que l'un des résultats souhaités et des mesures de la réussite du projet que l'agence peut vouloir prendre en compte. Par exemple, l'agence peut utiliser les rapports de trafic d' Illumio pour valider l'identité et la portée des composants et des connexions de l'application HVA et utiliser la micro-segmentation comme contrôle compensatoire, améliorant ainsi ses scores de protection. Elle peut également utiliser les cartes de vulnérabilité d'Illumio pour valider si un système vulnérable peut être utilisé comme voie d'attaque latérale, améliorant ainsi ses scores FISMA. Ces mesures et cette visibilité sont d'autant plus importantes que les réseaux du gouvernement américain ont été récemment piratés.

Une fois que vous avez mis en œuvre votre projet pilote de confiance zéro et que vous avez obtenu des résultats mesurables, il est très simple de l'étendre - en ajoutant des applications, des charges de travail et des points de terminaison supplémentaires jusqu'à ce que vous ayez écrit votre roman : une architecture de confiance zéro à l'échelle de l'agence.

Pour en savoir plus sur la façon dont Illumio peut aider les agences fédérales à sécuriser les biens de grande valeur et à accélérer la confiance zéro, visitez la page des solutions fédérales.