Le proverbe russe "Faire confiance, mais vérifier" (Доверяй, но проверяй), popularisé par le président Ronald Reagan lors des discussions sur le désarmement nucléaire avec l'Union soviétique, est un principe qui a depuis lors imprégné diverses sphères du monde des affaires et de la cybersécurité. En substance, cette phrase met l'accent sur un équilibre délicat entre la confiance et la surveillance, reconnaissant que si la confiance est nécessaire, elle doit toujours s'accompagner d'une vérification.
Dans le paysage moderne de la sécurité de l'information (infosec), cette philosophie a évolué vers ce que nous appelons aujourd'hui l'architecture de confiance zéro (ZTA), qui repense fondamentalement la confiance dans un monde en réseau. Aujourd'hui, la confiance zéro est devenue un élément clé de la sécurisation des entreprises, en particulier lorsque les organisations adoptent des environnements multicloud , le travail à distance et des systèmes interconnectés.
L'approche "Trust and Verify" dans l'architecture Zero Trust
Au fond, l'approche " trust and verify" reconnaît la nécessité d'une confiance initiale,élément indispensable à toute interaction. Mais comme l'histoire l'a montré, la confiance aveugle est une vulnérabilité. En matière de cybersécurité, la confiance ne peut être présumée sur la base d'un lieu, d'une identité ou d'un privilège ; elle doit être vérifiée en permanence.
A architecture de confiance zéro reflète ce concept en se méfiant de toutes les entités d'un réseau - qu'elles soient à l'intérieur ou à l'extérieur du périmètre - jusqu'à ce qu'elles puissent être authentifiées et autorisées à accéder à des ressources spécifiques. Dans un modèle de confiance zéro, l'accès aux ressources ne se fait pas en une seule fois ; il est basé sur une évaluation continue du comportement de l'entité, de ses privilèges et de son niveau de sécurité.
Cependant, les approches traditionnelles de confiance zéro, qui reposent souvent sur des contrôles statiques tels que l'authentification et l'autorisation initiales, peuvent s'avérer insuffisantes. Les attaquants peuvent exploiter les accès privilégiés ou voler des informations d'identification pour escalader les privilèges au sein du réseau après avoir obtenu une entrée initiale. Dans ces cas, la partie "vérification" de l'approche " faire confiance mais vérifier " peut devenir le maillon faible, ce qui nous amène à l'étape suivante de l'évolution de la confiance zéro : l'évaluation adaptative continue des risques et de la confiance.
Dépasser la confiance statique : Les arguments en faveur de la vérification continue
Dans le paysage actuel des menaces, les évaluations statiques de la confiance ne suffisent plus. Les cyberattaquants exploitent les lacunes d'un modèle traditionnel de confiance zéro en s'appuyant sur le vol d'informations d'identification, l'escalade des privilèges et la mauvaise configuration des politiques pour se déplacer latéralement au sein d'un réseau après avoir franchi le périmètre.
C'est ce qu'ont démontré des attaques récentes très médiatisées, telles que l'attaque de la chaîne d'approvisionnement de SolarWinds et l'incident du ransomware de Colonial Pipeline, où les attaquants ont profité d'un accès initial pour prendre le contrôle d'un réseau étendu en exploitant les faiblesses de la sécurité interne.
Pour relever ces défis, le concept d'évaluation continue et adaptative des risques et de la confiance (CARTA) a été développé. l'évaluation continue et adaptative des risques et de la confiance (CARTA) a vu le jour. Comme le souligne Gartner, "les responsables de la sécurité et de la gestion des risques doivent adopter une approche stratégique dans laquelle la sécurité est adaptative, partout et tout le temps". Cette approche exige que le risque et la confiance soient évalués en permanence, non seulement au moment de l'entrée, mais tout au long du cycle de vie de l'interaction d'une entité avec le réseau.
Dans le contexte de la philosophie " faire confiance mais vérifier ", CARTA incarne la composante "vérifier" en temps réel. Il réévalue constamment la confiance en fonction du comportement des entités, en adaptant les réponses de sécurité de manière dynamique si leurs actions s'écartent des modèles prévus ou augmentent le risque. Avec CARTA, même une fois l'accès accordé, les interactions entre les utilisateurs, les applications et les services sont surveillées, et l'accès est révoqué ou ajusté si les seuils de risque sont dépassés.
Vectra AISurveillance continue grâce à l'analyse des accès privilégiés
Vectra AI va encore plus loin dans la vérification continue avec l'analyse des accès privilégiés (PAA). Alors que de nombreuses plates-formes de sécurité se concentrent sur l'octroi de privilèges à une entité, l'AAP de Vectra AImet l'accent sur la manière dont les entités utilisent ces privilèges. Ce passage des privilèges accordés aux privilèges observés s'aligne parfaitement sur l'état d'esprit " faire confiance mais vérifier", offrant une surveillance en temps réel et une évaluation continue des risques.
Grâce à l'analyse comportementale pilotée par l'IA, la plateforme Vectra AIidentifie les anomalies dans la manière dont les utilisateurs, les hôtes et les services opèrent au sein du réseau. En analysant le trafic et le comportement du réseau, PAA évalue en permanence si les entités utilisent leurs privilèges de manière appropriée, en mettant en évidence les abus potentiels ou les actions suspectes.
Par exemple :
- Le vol de données d'identification peut être détecté en vérifiant si une entité accède soudainement à des ressources qui sortent de son champ d'action habituel.
- Les tentatives d'escalade de privilèges sont signalées lorsqu'un utilisateur de niveau inférieur tente soudainement d'accéder à des zones hautement privilégiées.
- Les mouvements latéraux au sein du réseau est détecté lorsque des entités interagissent avec des systèmes ou des services avec lesquels elles n'ont pas l'habitude de travailler.
La plateforme attribue également des scores de menace et une hiérarchisation des risques à chaque entité, ce qui permet aux équipes de sécurité de se concentrer sur les menaces les plus critiques en temps réel. Cette surveillance continue va au-delà de la confiance zéro statique pour offrir une posture de sécurité dynamique et adaptative.
L'avantage Vectra AI : Visibilité de bout en bout
En plus de l'analyse de l'accès privilégié, la Vectra AI plateforme surveille en permanence les hôtes et leurs comportements au niveau du réseau. Cela permet d'identifier des activités telles que la reconnaissance interne, les mouvements latéraux et l'exfiltration de données. En combinant l'AAP et la surveillance comportementale, Vectra AI offre aux équipes de sécurité une visibilité de bout en bout sur l'ensemble du trafic, du site cloud à l'entreprise, en passant par les infrastructures hybrides.
La plateformeVectra AI s'intègre de manière transparente à d'autres outils de sécurité, ce qui permet une détection adaptative et en temps réel des menaces dans des environnements complexes où des politiques de confiance zéro sont mises en œuvre. Ce processus de vérification continue renforce les architectures de confiance zéro en garantissant que la confiance n'est jamais présumée et que toutes les entités sont surveillées et vérifiées en temps réel.
Renforcer Zero Trust avec Vectra AI
Alors que les entreprises adoptent de plus en plus des environnements hybrides et cloud-native, le modèle de confiance zéro doit évoluer. En se concentrant sur l'évaluation adaptative continue des risques et de la confiance, Vectra AI garantit que la confiance n'est jamais statique et que la vérification est un processus continu. Grâce à sa capacité à surveiller les comportements à tous les niveaux de privilèges et dans toutes les zones du réseau, Vectra AI aide les entreprises à garder une longueur d'avance sur les menaces à une époque où la confiance est à la fois une nécessité et une vulnérabilité.
Si vous êtes prêt à améliorer votre stratégie de confiance zéro grâce à la vérification continue et à l'analyse des accès privilégiés, contactez-nous pour planifier une démonstration de la plateforme Vectra AI ou parler à un représentant pour en savoir plus sur la façon dont nous pouvons vous aider à sécuriser votre réseau.