Le proverbe russe Faites confiance, mais vérifiez (Доверяй, но проверяй) a été popularisé par le président Ronald Reagan dans le cadre des discussions sur le désarmement nucléaire avec l'Union soviétique de l'époque.
Depuis lors, cette expression est restée dans l'air du temps, tant dans les discussions politiques qu'en dehors de celles-ci. La confiance est intrinsèquement ce que nous devons faire lorsque nous ne pouvons pas être absolument certains. Cependant, nous devons souvent étendre la confiance pour que les affaires puissent être menées à bien. Dans le domaine de l'informatique, le concept de "confiance zéro" s'est considérablement développé au cours des deux dernières années et est devenu un sujet d'actualité. Une architecture de confiance zéro se méfie fondamentalement de toutes les entités d'un réseau et n'autorise aucun accès aux ressources tant qu'une entité n'a pas été authentifiée et autorisée à utiliser cette ressource spécifique, c'est-à-dire qu'elle n'a pas été approuvée.
En effet, les cyberattaquants présents dans un réseau peuvent facilement abuser de la confiance accordée en utilisant le vol d'identifiants, l'escalade des privilèges ou la mauvaise configuration des politiques pour obtenir un accès supplémentaire aux ressources. C'est ce qu'ont récemment démontré les attaques par ransomware RobbinHood qui ont visé, au début de l'année, les villes de Baltimore et de Greenville (Caroline du Nord).
Une approche "d'évaluation continue et adaptative des risques et de la confiance" (Continuous Adaptive Risk and Trust Assessment)
Selon Gartner, "les responsables de la sécurité et de la gestion des risques doivent adopter une approche stratégique dans laquelle la sécurité est adaptative, partout et tout le temps". Gartner appelle cette approche stratégique "continuous adaptive risk and trust assessment" (CARTA) et "avec une approche stratégique CARTA, nous devons concevoir des environnements commerciaux numériques où le risque et la confiance sont dynamiques et doivent être évalués en permanence après l'évaluation initiale".
"Une fois autorisées à pénétrer dans nos systèmes et nos données", poursuit Gartner, "ces entités - utilisateurs, processus d'application, machines, etc. - interagiront avec nos systèmes et nos données, et toutes ces interactions doivent être surveillées et évaluées en termes de risque et de confiance au fur et à mesure qu'elles se produisent "* Selon nous, il s'agit de la partie "... mais vérifiez" du modèle de confiance. Si la confiance diminue ou si le risque augmente jusqu'à un seuil nécessitant une réponse, l'accès aux capacités étendues doit être adapté en conséquence. En fin de compte, c'est le réseau lui-même qui détient la vérité immuable sur ce qui se passe réellement.
Analyse des accès privilégiés
La plateforme Cognito a récemment été mise à jour avec ce que nous appelons Privileged Access Analytics (PAA), qui, selon nous, s'inscrit parfaitement dans le cadre CARTA. Le PAA surveille en permanence les comportements des utilisateurs, des hôtes et des services.
Mais plutôt que de s'appuyer sur les privilèges accordés à une entité ou d'être agnostique en matière de privilèges, la plateforme Cognito se concentre sur la manière dont les entités utilisent réellement leurs privilèges au sein du réseau, c'est-à-dire sur les privilèges observés.
Ce point de vue est similaire à la manière dont les attaquants observent ou déduisent les interactions entre les entités avant de poursuivre une attaque. En conséquence, Cognito est en mesure de fournir une évaluation continue et en temps réel des niveaux de privilèges des utilisateurs, des hôtes et des services, ainsi que des scores de menace, une certitude et une hiérarchisation des risques. L'AAP est actuellement disponible sur l'ensemble de la plate-forme Cognito -Stream, Detect et Recall.
En plus de l'AAP, la plate-forme Cognito surveille en permanence les hôtes pour détecter les anomalies au niveau du réseau, telles que les hôtes effectuant une reconnaissance interne, un mouvement latéral et une exfiltration de données. Cette combinaison avec l'AAP fait de Cognito un outil unique capable de fournir une visibilité complète sur l'ensemble du trafic, de cloud à l'entreprise.
Pour plus d'informations, lisez notre annonce AAP, lisez la solution en bref ou contactez votre représentant Vectra .