Le changement d'infrastructure est généralement le premier élément déclencheur de toute initiative Zero Trust d'entreprise, séparant les ressources du réseau qui avaient traditionnellement carte blanche pour accéder à tout ce qu'elles pouvaient pinger. Le NIST, d'autres agences gouvernementales et des organismes industriels désignent le point d'application des politiques (PEP) comme le dispositif ou le service de passerelle qui effectue cette séparation, en bloquant l'accès en fonction de différentes exigences d'authentification et d'autorisation, en fonction de la sensibilité de la ressource.
Mais le zero trust va bien au-delà d’un simple changement d’infrastructure. Pour certains, il s’agit de couvrir tous les aspects de l’entreprise et de la technologie, de supprimer la confiance implicite des processus et d’imposer une vérification là où l’on pensait autrefois que « tout devrait bien se passer ».
Même si tous les acteurs du secteur de l'informatique et de la sécurité voient la nécessité du Zero Trust pour lutter contre les menaces actuelles de malware et de ransomware, tout le monde ne dispose pas des ressources ou du soutien commercial nécessaires pour le faire à grande échelle.
Je vais aborder cinq changements de politique et d’administration de type « zéro confiance » à faible coût, voire sans coût, que toute organisation informatique peut adopter pour s’engager sur la voie du zéro confiance.
Protéger les comptes administrateurs
Considérez que la violation est l'un des principes fondamentaux du Zero Trust. Ne donnez pas un avantage aux attaquants en facilitant le vol de comptes privilégiés après qu'ils ont piraté votre réseau.
- Séparez les comptes administrateurs avec MFA appliqué (vous auriez dû le faire il y a dix ans !)
- Adoptez une politique stipulant que les administrateurs de serveur et de réseau doivent administrer leurs systèmes à partir de boîtiers de connexion d'administrateur ou de postes de travail d'administrateur privilégiés (PAWS) qui sont verrouillés et dont les vecteurs d'attaque courants sont atténués (par exemple, un accès Internet nul ou limité, plus MS Office, fichier PDF et accès par courrier électronique activement refusé).
- Appliquez cette politique en refusant les droits de connexion locaux aux comptes d’administrateur sur les postes de travail normaux.
Les administrateurs auront du mal à s’adapter à cette politique, mais il est tout simplement trop facile de voler le hachage d’un compte administrateur à partir d’un poste de travail compromis, même s’il est protégé par une MFA physique.
Renforcez les postes de travail et réduisez les risques de mouvements latéraux
Bien que ce sujet soit de notoriété publique, certaines politiques vont plus loin et supposent que les postes de travail seront piratés. L'objectif est de rendre beaucoup plus difficile pour un attaquant de se déplacer latéralement. Appelez cela une manœuvre de confiance zéro, mais davantage d'un point de vue logique.
- La suppression des droits d’administrateur local des postes de travail des utilisateurs peut être difficile mais doit être prise en compte.
- Configurez les stratégies de pare-feu des postes de travail de manière à ce que seules les communications client-serveur soient autorisées. Le pare-feu Windows est défini sur le profil public à tout moment, bloquant les connexions entrantes, même celles provenant d'autres postes de travail et serveurs d'entreprise.
- Autorisez uniquement l'utilisateur attribué à se connecter localement au poste de travail, et non les groupes très peuplés comme les utilisateurs du domaine.
Cela nécessitera des ajustements à de nombreuses procédures différentes que vous pourriez avoir, comme la connexion du service d'assistance à la machine d'un employé pour obtenir de l'aide, que ce soit via un bureau à distance ou une connexion à des partages WMI ou C$. Bien que cela facilite l'assistance, cela permet également aux attaquants et à la prolifération des ransomwares. Pour les besoins d'audit et d'expédition des journaux, envisagez les push à partir des postes de travail plutôt que les pulls à partir d'un référentiel central.
Politique de gestion des postes de travail
Outre l'accès VPN traditionnel, de nombreuses entreprises autorisent l'accès aux documents de l'entreprise à partir d'appareils non gérés, qu'il s'agisse du PC de grand-mère ou de leur propre appareil mobile. Ces politiques doivent être repensées car elles ouvrent la porte à l'utilisation d'identifiants volés pour accéder aux ressources. Rendez cet accès plus difficile et plus coûteux en garantissant que les identifiants d'entreprise ne peuvent être utilisés que sur des appareils enregistrés et gérés. Les VIP et les cadres en particulier n'apprécieront pas cela, mais ils doivent se considérer comme des cibles d'attaques et respecter cette politique. Il s'agit d'une confiance zéro envers les utilisateurs et la gestion de leurs identifiants.
Rendre l’ingénierie sociale plus difficile
De nombreuses attaques récentes ont commencé avec un employé ou un sous-traitant du service d’assistance d’une entreprise qui obtenait un accès grâce à une opération d’ingénierie sociale : « J’ai oublié mon mot de passe et j’ai perdu mon appareil MFA… »
Les politiques appliquées via des outils d'automatisation des flux de travail sont essentielles pour éliminer toute discrétion permettant de tromper une personne de support de première ligne. Assurez-vous que des approbations de deuxième niveau sont requises pour toute réinitialisation de compte permettant un accès élevé. Plus d'informations ici sur ce sujet. Confiance zéro envers la discrétion humaine et envers la personne à l'autre bout du fil.
Patching agressif
Reprenons l'hypothèse d'une violation. Si un attaquant ne peut pas accéder au réseau ou se déplacer latéralement à travers celui-ci via des identifiants volés, l'étape suivante consiste à rechercher les vulnérabilités. Une stratégie de correctifs agressive garantit que les vulnérabilités publiées ne peuvent pas être utilisées pour accéder au réseau ou se déplacer dans celui-ci une fois qu'elles ont été piratées. Bien que différentes stratégies doivent être adoptées en fonction des types d'appareils, le message est le même : il faut trouver rapidement et souvent un équilibre entre le risque pour l'entreprise d'une panne et le risque de compromission de l'appareil ou du service.
Voici un exemple de stratégie pour les appareils des utilisateurs finaux :
- Un groupe d'adopteurs précoces reçoit des correctifs dès le jour zéro
- Un groupe pilote de la phase 2 reçoit des correctifs le troisième jour
- Le reste des utilisateurs reçoivent des correctifs le septième jour
La clé du succès réside dans le fait que le groupe pilote soit large, dispersé dans différents services et surtout qu'il soit adapté aux technologies de l'information afin de couvrir autant de tests de capacité d'application que possible. Le soutien à la cause peut être obtenu en offrant à ces personnes une carotte, sous la forme des appareils les plus récents et les plus performants, des premières mises à jour vers un nouveau système d'exploitation, des mises à jour logicielles, etc.
Pour conclure
Bien que la raison pour laquelle il faut se lancer dans une transformation Zero Trust soit bien plus importante que la simple lutte contre les ransomwares, c'est la seule raison pour laquelle de nombreuses entreprises se lancent dans cette aventure, et la bonne nouvelle est que de nombreuses étapes sur cette voie peuvent être franchies sans dépenser d'argent, il suffit de changer nos idéaux de sécurité du périmètre réseau avec lesquels nous vivons depuis 20 à 30 ans.
Pour en savoir plus, visitez-nous ici.
GIPHY App Key not set. Please check settings