Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Comment la confiance zéro permet aux organisations de s'attaquer à chaque étape de la chaîne de la mort cybernétique

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Décembre 11, 2020
23 min. lire

Dans cet article de blog, nous examinons la chaîne de la mort cybernétique, comment les modèles de sécurité qui supposent la confiance ne contribuent qu'à atténuer les étapes 1 à 6 de la chaîne - c'est-à-dire tout ce qui se passe jusqu'au point de compromission initial - et comment une approche de la sécurité fondée sur la confiance zéro améliore considérablement les contrôles existants qui se concentrent sur la précompromission, tout en fournissant des capacités clés qui sont nécessaires pour soutenir la détection et la réponse après la compromission. Par conséquent, les organisations qui adoptent la confiance zéro seront probablement mieux préparées à détecter et à contenir les intrus malveillants.

Nous comprenons tous la valeur de la défense en profondeur pour empêcher les attaques de s'installer. Bien entendu, c'est la raison pour laquelle nous avons investi dans des pare-feu de nouvelle génération (NGFW) pour protéger le périmètre, dans la sécurité des terminaux pour les appareils des employés et dans des outils de sécurité du courrier électronique et du web pour protéger la productivité, parmi les nombreux autres investissements en matière de sécurité que nous réalisons.

La valeur de ces outils préventifs et de la défense en profondeur est reflétée dans la chaîne de la mort cybernétique, qui vise à identifier et à prévenir les intrusions cybernétiques. Officialisée par Lockheed Martin en 2011, la chaîne de la mort cybernétique définit depuis dix ans la manière dont les organisations établissent leurs contrôles de sécurité et, par voie de conséquence directe, la manière dont elles mesurent leur résilience cybernétique. Voici les sept étapes :

  1. Reconnaissance : Un attaquant recueille des informations sur la cible avant l'attaque.
  2. L'armement : Le cyber-attaquant crée son attaque, par exemple un document Microsoft Office infecté, un courriel d'hameçonnage ou un logiciel malveillant.
  3. Livraison : Transmission de l'attaque, comme l'envoi d'un courriel d'hameçonnage.
  4. Exploitation : La "détonation" proprement dite de l'attaque, par exemple l'exécution d'un programme d'exploitation sur un système.
  5. L'installation : L'attaquant installe un logiciel malveillant sur la victime (toutes les attaques ne nécessitent pas de logiciel malveillant).
  6. Commande et contrôle : Le système désormais compromis "rappelle" un système de commandement et de contrôle (C&C) pour que le cyber-attaquant en prenne le contrôle.
  7. Actions sur les objectifs : L'attaquant a maintenant accès à l'information et peut passer à l'action pour atteindre ses objectifs.

Reprenant le vieil adage selon lequel "la solidité d'une chaîne dépend de celle de son maillon le plus faible" et "la défense est la meilleure forme d'attaque", la chaîne mortelle cybernétique met l'accent sur la nécessité de contrecarrer les attaquants qui progressent de gauche à droite ou, en d'autres termes, avant qu'ils n'obtiennent une infection initiale ou un accès à l'intérieur d'un environnement. L'idée que si vous pouvez arrêter un acteur malveillant à tout moment avant l'étape 7 (Actions sur les objectifs), vous avez réussi à déjouer une attaque.

Le résultat net de cette situation a été une forte (et peut-être trop) insistance sur les contrôles préventifs jusqu'à récemment - pare-feu, anti-virus, passerelles web - qui ne supposent pas de violation; ils supposent plutôt que toutes les attaques peuvent être détectées et bloquées. Cependant, tous ces outils souffrent de la même limitation : ils empêchent, au mieux, les "mauvaises choses connues". Elles dépendent des hypothèses suivantes :

  1. Le bâtiment qui abrite mon bureau et mon personnel est digne de confiance.
  2. Le périmètre du réseau est dur et fiable.
  3. Le réseau situé à l'intérieur de ce périmètre de confiance est fiable.
  4. Les appareils connectés à ce réseau de confiance sont fiables.
  5. Les applications fonctionnant sur ces appareils de confiance sont fiables.
  6. Les utilisateurs qui accèdent à ces applications de confiance sont fiables.
  7. Les attaquants sont prévisibles et répètent les mêmes comportements.

L'objectif des contrôles préventifs est d'empêcher les mauvais acteurs d'entrer et de maintenir ainsi le niveau de confiance implicite. Mais que se passe-t-il si un attaquant passe du statut de "méchant connu" à celui de "méchant inconnu" - comment ces lignes de défense s'articulent-elles alors ? Les attaques modernes et sophistiquées (de la violation de Target à Cloud Hopper et tout ce qui se trouve entre les deux et au-delà) sont conçues pour exploiter spécifiquement ce faux sentiment de confiance afin de passer rapidement aux étapes 6 et 7 de la chaîne de mise à mort, en contournant les contrôles qui visent à empêcher les étapes 1 à 5. Et ces contrôles préventifs sont toujours en train de rattraper leur retard.

Avant d'aller plus loin, il est important de souligner que les mesures préventives sont un élément important et essentiel des cyberdéfenses de toute organisation, mais qu'elles ne sont plus la panacée. En fait, ce n'est qu'un début. Et ce, parce que les hypothèses sur lesquelles ils ont été construits ne tiennent plus, surtout en 2020, alors que la pandémie mondiale a imposé une révolution complète dans la façon dont les organisations de tous les secteurs travaillent, ce qui a donné lieu à une nouvelle normalité :

  1. Mon entreprise n'est plus implantée dans des lieux spécifiques.
  2. Un périmètre existe mais il n'est pas exhaustif.
  3. Souvent, le réseau n'est pas exclusif à mon organisation.
  4. Des appareils que je ne contrôle pas existent sur mon réseau.
  5. Souvent, les applications utilisées par l'entreprise ne sont pas hébergées, détenues et gérées par moi.
  6. Les utilisateurs sont partout.
  7. Les attaquants sont imprévisibles et toujours à la recherche de nouveaux moyens d'attaque.

Ces nouvelles hypothèses montrant que peu de choses sont absolument fiables, nous nous trouvons dans une situation où la probabilité de prévenir une violation est faible - et nous devons donc nous concentrer sur la détection, la réaction et l'endiguement. C'est ici que nous intervenons dans le cadre de la confiance zéro.

Il est important de diviser la confiance zéro en trois domaines clés :

  1. Contrôles
  2. Surveillance
  3. Automatisation et orchestration

Contrôles de confiance zéro

Les contrôles "Zero Trust" peuvent nominalement s'aligner sur les contrôles préventifs issus du modèle périmétrique d'antan, mais le point de départ est différent :

  • Le modèle périmétrique part du principe que tout ce qui se trouve à l'intérieur est digne de confiance et met donc trop l'accent sur la solidité du périmètre - il s'agit d'une approche unique.
  • Avec la confiance zéro, cette hypothèse de confiance implicite n'existe tout simplement pas - nous sommes donc obligés d'être plus intelligents :
  • Qu'est-ce qui a le plus besoin d'être protégé ?
  • Qui doit y accéder ?
  • D'où vient-il ?
  • Quand ?
  • Pourquoi ?
  • Quelles sont les interdépendances ?

Ce sont les points de données que nous utilisons pour élaborer une politique de confiance zéro.

Si l'on se place du point de vue d'un attaquant, on constate que la barre est nettement plus haute en ce qui concerne sa capacité à réussir une intrusion - il ne peut plus supposer qu'il suffit d'accéder au réseau, que ce soit pour effectuer un mouvement latéral, escalader les privilèges ou rappeler à la maison. Comme nous l'avons vu dans le rapport de Bishop Fox sur l'efficacité de la microsegmentation, les contrôles de confiance zéro tels que celui-ci obligent les attaquants à changer de comportement et à utiliser d'autres techniques, ce qui augmente les chances de détection des défenseurs. Une approche des contrôles fondée sur la confiance zéro permet de réduire la surface d'attaque disponible pour l'exploitation. Le modèle de contrôle "Zero Trust" est une mise à jour de la défense en profondeur, avec des couches qui protègent les données vitales, rendant difficile la libre circulation des attaquants, même s'ils échappent aux technologies de prévention.

MITRE ATT&CK Framework

Avant d'aborder la surveillance et l'automatisation/l'orchestration dans le contexte de la confiance zéro, passons au cadre MITRE ATT& CK. Le point de départ du cadre est l'hypothèse d'une violation et l'accent mis sur la compréhension du comportement d'un attaquant entre le moment de la compromission initiale et la conclusion réussie de la mission.  Cette compréhension nous aide à définir des capacités de détection qui surveillent des événements spécifiques qui, isolément ou en corrélation, nous fournissent un indicateur de comportement anormal pouvant justifier un examen plus approfondi.

Contrôle de la confiance zéro

Le cadre MITRE ATT&CK met l'accent sur la visibilité - des événements de haute fidélité provenant d'autant de sources de données que possible (réseau, pare-feu, proxy, AV, EDR, IAM, OS, fournisseur de services cloud, application, DB, IoT, etc.) pour permettre aux équipes défensives de modéliser une gamme de comportements qu'elles associent à des attaques connues, et de continuer à les faire évoluer au fur et à mesure de l'acquisition de connaissances supplémentaires sur les adversaires et leurs méthodes. L'approche de la confiance zéro met l'accent sur la visibilité, ce qui n'était pas le cas des approches précédentes. En fait, la devise de la confiance zéro pourrait être "vous ne pouvez pas protéger ce que vous ne pouvez pas voir". Ainsi, en commençant par améliorer la visibilité dans le cadre d'un programme de confiance zéro et en utilisant le cadre MITRE ATT&CK pour modéliser les comportements adverses auxquels l'organisation peut être soumise, il est possible d'obtenir de la valeur à l'extrémité défensive de la chaîne de la mort cybernétique en utilisant des capacités qui existent déjà.

L'excellent podcast de la BBC "13 Minutes to the Moon" couvre la tristement célèbre expédition Apollo 13 dans sa deuxième série. La conception du vaisseau spatial Apollo et de l'ensemble de l'équipe opérationnelle qui l'accompagnait constitue une bonne analogie pour souligner l'importance de la détection et de la réaction, malgré les meilleures tentatives de prévention. Le vaisseau spatial conçu pour la mission Apollo était doté d'une incroyable résilience et de dispositifs de sécurité intégrés à chaque composant. De nombreux scénarios de défaillance ont été testés afin de s'assurer que tous les résultats possibles et attendus pouvaient être récupérés. Dans le cas d'Apollo 13, la perte d'un seul moteur d'appoint a été compensée par la mise à feu des 4 autres, mais rien dans la conception n'aurait pu empêcher l'usure de l'isolation du câblage qui a déclenché l'explosion compromettant la mission. Une fois que cela s'est produit (un peu comme une brèche), l'équipage et le contrôle de la mission dépendaient entièrement de la télémétrie du vaisseau spatial, des observations des astronautes et des experts au sol pour détecter le problème, l'isoler et y remédier. Il s'agit là d'un excellent exemple de la manière dont, grâce à la mise à disposition de données de bonne qualité à partir des sources de données pertinentes et à la capacité d'analyser efficacement ces données, les équipes chargées des opérations de sécurité sont bien mieux préparées à trier les incidents de manière plus précise, ce qui leur permet de prendre de meilleures décisions (et plus rapidement) quant à l'événement (ou à la combinaison d'événements) qui doit faire l'objet d'une enquête plus approfondie et à celui qui peut être ignoré en toute sécurité.

Automatisation de la confiance zéro

L'essor des plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) se concentre sur l'ensemble de la phase de post-détection d'une attaque et fournit l'ensemble des technologies permettant de passer efficacement de la détection à la réponse. Pour les comportements malveillants courants, l'ensemble de cette séquence pourrait même être automatisé afin de libérer le temps des analystes pour l'étude d'attaques plus sophistiquées. Pour réaliser ces gains d'efficacité, les plateformes SOAR dépendent de leur capacité à s'intégrer aux solutions technologiques qui fournissent les données pertinentes ou prennent les mesures réactives nécessaires. C'est pourquoi l'orchestration et l'automatisation sont un pilier essentiel (mais souvent négligé) de la confiance zéro. Si la possibilité d'orchestrer, par l'automatisation, une nouvelle configuration ou de modifier une configuration existante dans le cadre d'un changement planifié offre des avantages opérationnels significatifs, le véritable avantage en termes de sécurité est réalisé lorsque les mêmes plateformes peuvent être orchestrées rapidement et de manière cohérente pour réagir à un incident de sécurité.

Revenons donc à notre point de départ :

  • L'approche périmétrique traditionnelle de la sécurité n'aborde qu'une partie de la chaîne de la mort cybernétique et nous laisse dans l'ignorance des étapes postérieures à la compromission.
  • La confiance zéro améliore considérablement la prévention en commençant par un audit de ce qui est protégé (par ex. données critiques ou une application clé) et de veiller à ce que les contrôles à cet égard soient élaborés selon une approche de moindre privilège appropriée.
  • La confiance zéro commence par une position de "supposition de violation" et met l'accent sur des solutions fournissant des journaux de haute qualité pour soutenir la détection après la compromission.
  • En outre, la recommandation selon laquelle les technologies visant à aider les clients à atteindre la confiance zéro doivent avoir une bonne orchestration et automatisation signifie qu'elles peuvent soutenir les plates-formes SOAR dans la réponse automatisée aux incidents.

Ainsi, l'adoption d'une approche de confiance zéro renforce l'approche traditionnelle du périmètre qui se concentre sur la prévention des six premières étapes de la chaîne de la mort cybernétique, et donne aux organisations les moyens de se concentrer sur la détection et la neutralisation des attaquants s'ils atteignent l'étape 7 et tentent d'agir comme ils le souhaitent.

Pour plus d'informations sur l'approche d'Illumio en matière de confiance zéro, consultez le site : https://www.illumio.com/solutions/zero-trust

Sujets connexes

No items found.

Articles connexes

Réflexion sur la Forrester Wave de cette année pour la confiance zéro
Segmentation sans confiance

Réflexion sur la Forrester Wave de cette année pour la confiance zéro

Le rapport Zero Trust Wave de Forrester Research - découvrez comment Illumio a obtenu la meilleure offre de produits dans le rapport de cette année.

Read more
Ce dont vous avez besoin pour rédiger une politique de segmentation de la confiance zéro
Segmentation sans confiance

Ce dont vous avez besoin pour rédiger une politique de segmentation de la confiance zéro

Toute bonne solution de micro-segmentation passe de manière transparente de la découverte à la création et prend en charge l'ensemble des flux de travail nécessaires à l'élaboration efficace d'une politique de segmentation fine.

Read more
Anatomie des conteneurs 101 : Qu'est-ce qu'un cluster ?
Segmentation sans confiance

Anatomie des conteneurs 101 : Qu'est-ce qu'un cluster ?

Du point de vue de la mise en réseau, Kubernetes et OpenShift créent tous deux des constructions logiques et pertinentes, dans une approche hiérarchique. Voici les définitions que vous devez connaître.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more