Atteindre la convergence de la sécurité et de la productivité
Il est bien trop courant que les outils et pratiques de sécurité informatique aient des répercussions sur la productivité. Même la sécurité physique exige ce compromis. Il ne serait pas nécessaire d'arriver à l'aéroport une heure à l'avance s'il n'y avait pas les mesures de sécurité étendues qu'implique le vol. En raison de ce compromis, notre préoccupation n'est souvent pas d'accroître la sécurité de nos réseaux, mais plutôt de s'assurer que l'augmentation de la sécurité est rentable pour l'entreprise.
Nous devons également prendre en compte le compromis bénéfice/risque lors de l'adoption de nouvelles technologies permettant de faire des affaires. Une fois que nous avons décidé qu'une nouvelle technologie apporte de la valeur à l'entreprise, nous devons alors décider si cette valeur l'emporte sur la surface d'attaque étendue et, à son tour, sur le risque de violation qui l'accompagne. Pour cette raison, la tension entre les équipes de sécurité et les équipes informatiques est devenue constante. Cependant, ce n'est pas une fatalité.
Dans la mise à jour de la plateforme d'avril 2022, nous allons découvrir comment Akamai construit un avenir du travail dans lequel ses clients peuvent s'engager dans un parcours Zero Trust qui minimise les risques de violation tout en accélérant la productivité de l'entreprise. Atteindre cette convergence de la sécurité et de la productivité commence par relever les défis généralement associés à la mise en œuvre des principes Zero Trust.
Le côté sombre du Zero Trust
Les analystes, les fournisseurs et les professionnels de la sécurité ont offert de nombreuses perspectives sur ce que signifie le « Zero Trust » et sur la façon dont l'atteindre. Il semble que nous soyons tous d'accord sur le fait qu'il s'agit d'une base solide sur laquelle les équipes de sécurité peuvent minimiser les risques de violation et leur impact. Cependant, il est facile de s'entendre sur l'état final idéal du Zero Trust sans se plonger dans les détails sur la façon d'y parvenir et sur l'impact que cela peut avoir sur l'entreprise.
Considérez le Zero Trust comme ayant un état final dans lequel vous éliminez toute confiance implicite dans l'environnement qui crée des risques sans faciliter le travail. Je pense que nous trouverions tous cela formidable : il n'y aurait pas de place pour que les pirates informatiques abusent des vulnérabilités de nos systèmes ou introduisent de nouveaux programmes malveillants.
Le côté obscur du Zero Trust devient visible lorsque nous tenons compte de tout ce qui doit être mis en place pour parvenir à cet état final. Nous devons prendre en compte le cheminement vers le Zero Trust, et pas seulement la destination. Le manque de focalisation sur ce cheminement en lui-même est l'une des principales raisons pour laquelle le Zero Trust est rarement mis en pratique. Il y a quelques points clés auxquels réfléchir au moment de se lancer dans ce voyage.
Ralentissement de la productivité
Le premier point est l'impact sur la productivité des employés, par accident ou volontairement. Un aspect fondamental du Zero Trust est la restriction de l'accès, principalement par le biais des listes d'exclusion. Cette pratique consiste à dicter uniquement ce qui peut être fait, tout le reste étant refusé par défaut. En diminuant la capacité d'action malveillante d'un attaquant, nous augmentons souvent le risque d'empêcher un utilisateur légitime de travailler.
Il est peu probable qu'une équipe de sécurité puisse prévoir chaque scénario possible dans lequel les ressources et les personnes doivent communiquer entre elles. En outre, les activités et la main-d'œuvre évoluent et changent de manière imprévisible. Les équipes informatiques et de sécurité doivent prendre en compte les scénarios dans lesquels la confiance n'est pas accordée, mais devrait l'être.
Une autre implication potentiellement dangereuse de la mise en œuvre des principes Zero Trust est la lenteur de la productivité comptabilisée. Les contrôles d'identité supplémentaires, les agents qui alourdissent les charges de travail et surchargent les terminaux des utilisateurs finaux, ainsi que les outils auxquels les utilisateurs finaux doivent se connecter ne sont que quelques-uns de ces éléments. Pris séparément, nous pouvons tolérer chacun d'entre eux. Cependant, lorsque nous considérons l'impact cumulé de ces petits obstacles, ils peuvent atteindre un point où ils coûtent plus de valeur qu'ils n'en fournissent.
Il est nécessaire d'avoir plusieurs points de contact
Le dernier point, mais pas le moindre, du parcours Zero Trust que nous aborderons est l'impact sur les équipes de sécurité, ainsi que sur leurs intégrateurs, architectes et analystes. Actuellement, il n'existe pas de produit unique sur le marché qui puisse faciliter le parcours Zero Trust à lui seul. Par conséquent, les équipes de sécurité doivent gérer les règles sur plusieurs consoles, déployer plusieurs agents et gérer de multiples intégrations.
Il s'agit d'une tâche difficile même pour les équipes de sécurité les mieux formées, qui peut entraîner des coûts importants en dollars et en heures-personnes. Ce dernier problème aggrave les deux premiers en augmentant la probabilité de faux positifs ainsi que le nombre d'agents et d'outils qui commencent à surcharger les utilisateurs finaux.
Une poursuite asymptotique
Il est également intéressant de noter que la poursuite du véritable Zero Trust est en fait asymptotique ; nous pouvons nous en rapprocher, mais supprimer tous les iotas de confiance implicite est probablement impossible. En particulier si nous élargissons notre réflexion sur l'endroit exact où nous pouvons invoquer les principes du Zero Trust.
Par exemple, prenons une attaque de la chaîne d'approvisionnement au cours de laquelle un utilisateur de confiance télécharge et lance une application de confiance à partir d'une source de confiance. Les définitions actuelles du Zero Trust le permettent, et la charge utile malveillante peut contourner toutes nos zones de confiance. Dans ce cas, nous pourrions envisager la nécessité du Zero Trust appliqué au terminal, dans la mémoire … Mais nous en parlerons une autre fois. Le fait est que si le Zero Trust parfait est peut-être impossible, et que se rapprocher de nos objectifs peut impliquer plusieurs points faibles, il s'agit d'une entreprise tout à fait louable car elle offre un avenir pour le travail dans lequel la réduction des risques et l'optimisation de la productivité vont de pair.
Dans le post d'aujourd'hui, nous évoquerons la manière dont Akamai s'efforce d'aider les entreprises à concrétiser cette vision. À chaque étape du parcours, nous pouvons réduire la probabilité d'une violation catastrophique sans perturber l'activité. Avec l'adoption généralisée du Zero Trust comme objectif final, il incombe désormais aux fournisseurs de sécurité comme Akamai de rendre ces étapes réalisables rapidement et sans conséquences négatives telles que celles mentionnées ci-dessus.
Combler le fossé entre la vision et la réalité
Le Zero Trust consiste à autoriser uniquement ce dont une entreprise a besoin pour fonctionner, et à interdire tout le reste. Faire la distinction entre les actions nécessaires et inutiles puis agir avec précision est le cœur du Zero Trust. Sans les bons outils en place, c'est presque impossible. En conséquence, les entreprises acceptent plus que ce qui est nécessaire et sont exposées à de trop nombreux risques, ou elles restreignent plus qu'elles ne le devraient, ce qui entrave la productivité.
Aussi difficile que cette tâche puisse être, il existe des moyens de supprimer la confiance implicite avec une telle précision et une telle granularité que les utilisateurs finaux ne le remarqueront même pas. En outre, si elle est correctement effectuée, cette opération peut réduire la surface d'attaque au point où l'adoption de nouvelles technologies est sûre et où toutes les actions de l'entreprise sont fiables. La sécurité et la productivité convergeront de sorte que le Zero Trust minimise à la fois le risque de violation et l'impact tout en permettant à la main-d'œuvre de s'en occuper. Mais comment concrétiser cet avenir pour le travail ?
Trois éléments clés pour atteindre le Zero Trust
Il existe trois points clés pour atteindre le Zero Trust sans avoir à subir son côté obscur. Il s'agit de :
la visibilité
l'analyse
le contrôle
Nous avons besoin d'une visibilité historique et en temps réel sur tous nos actifs et sur leurs flux respectifs. Nous devons comprendre ce qui se passe et pourquoi. Enfin, nous devons agir sur la base de cette compréhension avec un contrôle précis et granulaire.
La visibilité implique de fournir à l'administrateur de sécurité une vue des différents actifs, flux, applications et utilisateurs auxquels nous essayons de supprimer la confiance implicite. Cette visibilité doit être suffisamment vaste pour couvrir les différents systèmes d'exploitation, terminaux et autres aspects de notre réseau.
Ensuite, nous devons comprendre la fonction de ce sur quoi nous avons désormais toute visibilité. Ce n'est qu'avec cette compréhension que nous pouvons délimiter avec précision ce qui est nécessaire et ce qui ne l'est pas. Le contexte, les conseils et les visualisations nous permettent de comprendre ce qui devrait ou ne devrait pas se produire, ce qui est nécessaire pour l'entreprise et ce qui crée des risques.
Une fois que tout est visible et que nous comprenons ce qui se passe, nous pouvons commencer à supprimer la confiance implicite. La granularité et la précision sont essentielles. Par exemple, certains processus sont nécessaires pour des opérations normales mais ont des services qui ne sont pas nécessaires, dont les adversaires abuseront. Dans ce cas, nous devons être en mesure d'appliquer la règle au niveau du service. Une règle trop étendue au niveau de la couche machine ou même de la couche application entraînerait des faux positifs.
Les outils de travail
Pour le moment, aucun outil unique ne peut fournir les capacités d'application requises pour débusquer toute la confiance implicite dans nos réseaux, et nous permettre ainsi d'atteindre le Zero Trust. Pour lutter contre ce problème, Akamai met en place le portefeuille de produits Zero Trust le plus complet avec une feuille de route qui montre ces outils entièrement intégrés.
La microsegmentation
Guardicore Segmentation d'Akamai est la première solution de microsegmentation au monde et joue un rôle clé pour faciliter la mise en place du Zero Trust en permettant le contrôle des flux à l'intérieur du réseau. Akamai a fait l'acquisition de Guardicore en grande partie parce que ce produit illustre les principes fondamentaux qu'Akamai considère comme essentiels au Zero Trust.
Cette couverture plus large des systèmes d'exploitation fonctionnant avec des vues historiques et en temps réel sur le réseau offre une visibilité inégalée. L'étiquetage flexible et une interface utilisateur intuitive permettent de comprendre facilement les dépendances, même dans les environnements les plus complexes. De plus, l'application guidée des règles jusqu'à l'application et même au niveau du service permet un contrôle précis et granulaire.
Dans la mise à jour de la plateforme d'avril 2022,nous ne nous contentions pas d'introduire Guardicore Segmentation d'Akamai à notre portefeuille, nous apportions également une multitude d'améliorations au produit en lui-même pour plus de simplicité, de sécurité et de couverture. Nous allons mettre en lumière quelques fonctionnalités telles que les modèles d'atténuation de ransomware qui permettent un contrôle du niveau de service pour arrêter facilement les techniques de ransomware avancées.
Accès réseau Zero Trust et authentification multifactorielle
Akamai Enterprise Application Access fournit aux utilisateurs un accès véritablement Zero Trust aux applications dont ils ont besoin et réduit considérablement la surface d'attaque en éliminant le besoin d'autoriser l'accès à l'ensemble du réseau et d'avoir une visibilité sur l'intégralité de celui-ci.
Akamai MFA vient compléter les fonctionnalités d'authentification d'Enterprise Application Access en ajoutant l'authentification multifactorielle (MFA) FIDO2 pour la sécurité de l'utilisateur. Contrairement aux autres solutions MFA basées sur FIDO2 qui nécessitent des clés de sécurité physiques, la solution MFA d'Akamai utilise une application pour smartphone, ce qui réduit les coûts et la complexité.
Nous vous recommandons vivement de toujours combiner l'accès au réseau Zero Trust (ZTNA) avec une MFA basée sur FIDO2. Vous n'êtes pas seul : Le gouvernement américain s'est également rendu compte que le déploiement de la MFA était essentiel pour aider à améliorer la cyber-résilience du pays. En mai 2021, le président Biden a émis un ordre exécutif qui a imposé l'utilisation de la MFA pour tous les organismes fédéraux et, en janvier 2022, le Bureau américain de la gestion et du budget a fourni beaucoup plus de détails sur le fait que le service de MFA déployé devrait être à l'épreuve des hameçonnages et respecté les normes FIDO2.
Cette approche semble raisonnable étant donné les faiblesses bien documentées des solutions MFA en matière de sécurité, qui utilisent les SMS, d'autres méthodes de téléphonie ou les notifications push standard comme second facteur pour les utilisateurs, et qui sont généralement considérées comme vulnérables à l'hameçonnage et beaucoup moins sécurisées.
Répondre à la hausse des cyberattaques
Au cours de la dernière année, nous avons vu une autre motivation à l'utilisation de la MFA parmi nos clients : Avec l'augmentation du nombre de cyberattaques, de nombreuses entreprises investissent désormais dans la cyberassurance. De plus en plus souvent, les compagnies d'assurance indiquent explicitement dans les conditions générales de leur politique que les compagnies doivent déployer la MFA sur toutes les connexions locales et distantes pour remplir les conditions de couverture d'assurance.
Il s'agit probablement d'une réponse directe au nombre de réclamations reçues au cours des dernières années qui auraient pu être évitées si l'entreprise avait mis en place une MFA : preuve supplémentaire que les connexions des employés sont ciblées par des attaquants.
Fournir un facteur anti-hameçonnage fort
Alors que les entreprises commencent à envisager de passer à l'authentification sans mot de passe, le remplacement d'un facteur d'authentification faible par un autre facteur faible tel qu'un SMS ne résout pas le problème. Basée sur FIDO2, l'architecture MFA d'Akamai offre un facteur de sécurité important, essentiel pour offrir les avantages attendus en termes de sécurité que l'élimination des mots de passe doit offrir.
Enterprise Application Access et Akamai MFA constituent ensemble une solution d'accès Zero Trust fiable aux ressources informatiques privées de l'entreprise.
Dans la mise à jour de la plateforme d'avril 2022, nous introduisons diverses améliorations à Enterprise Application Access et à Akamai MFA afin d'accroître la flexibilité du déploiement et l'interopérabilité avec les technologies de protection contre les menaces voisines. Grâce aux améliorations apportées à toutes les plateformes, Enterprise Application Access prend désormais en charge un certain nombre d'améliorations clés pour permettre la sécurité Zero Trust sur un plus grand nombre de plateformes. Ces fonctionnalités incluent la capacité de détecter Cylance AV et Microsoft Defender sous MacOS dans le cadre d'une évaluation du profil du terminal. De plus, notre intégration SCIM avec Okta et Microsoft Azure AD passe désormais par la certification et la validation de ces organisations. En outre, nous avons publié un aperçu technique d'un client Enterprise Application Access sur Ubuntu pour que les clients puissent le tester et le valider, en prévision d'une version complète du client plus tard en 2022.
Akamai MFA prend désormais en charge les stratégies basées sur le contexte afin de fournir une MFA adaptative basée sur l'adresse IP du réseau de l'utilisateur, le lieu où l'utilisateur se trouve (géolocalisation) et la connaissance ou non de l'utilisateur. Utilisée conjointement avec Enterprise Application Access, cette nouvelle fonctionnalité améliore l'accès sécurisé en vous assurant que vous fournissez un accès Zero Trust uniquement aux bons utilisateurs.
De plus, l'outil MFA d'Akamai prend désormais en charge l'intégration de serveurs VPN (Virtual Private Network), ce qui permet de l'intégrer dans les flux d'authentification VPN et la gestion des utilisateurs à partir d'annuaires AD/LDAP sur site.
Passerelle Web sécurisée
Akamai Secure Internet Access Enterprise est notre passerelle Web sécurisée basée sur le cloud, conçue pour aider les équipes de sécurité à s'assurer que les utilisateurs peuvent se connecter à Internet en toute sécurité, où qu'ils se trouvent ou depuis le terminal qu'ils utilisent. Cette solution rapide à configurer et facile à déployer ne nécessite aucune installation ou maintenance matérielle et constitue un autre élément essentiel d'une architecture basée sur la technologie Zero Trust.
Secure Internet Access Enterprise utilise les informations les plus récentes sur les menaces et plusieurs moteurs d'analyse de la charge utile pour permettre à vos employés d'accéder uniquement à du contenu Web inoffensif. Les renseignements sur les menaces reposent sur la visibilité sans précédent d'Akamai sur le trafic Internet, notamment sur 3 300 mille milliards de demandes DNS résolues chaque jour par Akamai Intelligent Edge Platform, les journaux de trafic provenant d'autres services de sécurité et de réseau de diffusion de contenu (CDN) d'Akamai et de centaines de flux de sécurité tiers.
Présentation de la gestion multilocataires
Dans la mise à jour de la plateforme d'avril 2022, nous mettons à votre disposition la gestion multilocataires, qui permet aux fournisseurs de services, aux FAI et aux MSSP de gérer facilement les configurations individuelles des clients. Pour aider à identifier et à bloquer les pages Web qui utilisent le code JavaScript dissimulé pour échapper à la détection, nous ajoutons un moteur de détection JavaScript de programmes malveillants Zero Day qui peut identifier et bloquer en temps réel les pages JavaScript malveillantes nouvellement créées. Pour une plus grande flexibilité de déploiement, nous ajoutons de nouvelles façons de transférer le trafic vers Secure Internet Access Enterprise, y compris un redirecteur HTTP géré et la prise en charge des tunnels IPSec.
Le compte à rebours vers le Zero Trust
La plupart des gens conviennent qu'un modèle Zero Trust, dans lequel aucune entité n'est considérée comme fiable par défaut et où un modèle d'accès de moindre privilège est appliqué, réduit la probabilité et l'impact des violations. Cependant, trop peu d'entre eux mettent en lumière les implications du travail vers ce modèle et la façon dont il peut avoir un impact négatif sur leur entreprise. Ceux qui proposent des étapes réalisables pour y parvenir sont encore moins nombreux. C'est la raison pour laquelle Akamai s'engage à bâtir un avenir du travail dans lequel de plus en plus d'entreprises peuvent atteindre un modèle Zero Trust avec plus d'efficacité.
Aujourd'hui, à l'avant-dernier jour de la mise à jour de la plateforme,nous allons nous attarder sur la suite des solutions Akamai qui permettent de bénéficier du Zero Trust. Pour Akamai, cela signifie une visibilité étendue et approfondie sur toutes les entités. Cela nécessite de comprendre leurs fonctions par le biais d'une cartographie intuitive et d'un contexte riche. Enfin, cela implique un contrôle précis et granulaire, de sorte que lorsqu'il est temps d'appliquer la politique Zero Trust, vous pouvez arrêter uniquement ce qui présente des risques afin que les technologies d'entreprise puissent être adoptées sans crainte.
Quelles sont les prochaines étapes ?
Dans cet avenir du travail, le Zero Trust est atteignable par un plus grand nombre d'entreprises, plus rapidement et d'une manière qui réduit les risques et accélère l'activité. Restez à l'affût de notre dernière journée, où Ari Weil vous fera part de ce que cet avenir signifie pour vous.
