Meilleures pratiques de Forrester pour la microsegmentation zéro confiance

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


Plus micro-segmentation les projets échouent pour diverses raisons, notamment une planification trop optimiste, une mauvaise exécution, une paralysie de l’analyse, l’absence d’un moteur commercial non technique, etc. de Forrester rapport récent, Meilleures pratiques pour la microsegmentation Zero Trust [$]explique pourquoi la plupart des projets de microsegmentation de confiance zéro échouent aujourd’hui et ce que les RSSI, les DSI et leurs équipes peuvent faire pour améliorer leurs chances de réussite.

La microsegmentation est l’un des composants essentiels de confiance zérobasé sur NIST SP 800-207 Zero Trust Architecture. La segmentation du réseau sépare et isole les segments d’un réseau d’entreprise pour réduire les surfaces d’attaque et limiter le mouvement latéral des attaquants sur un réseau d’entreprise.

Pourquoi de nombreux projets de microsegmentation échouent

Sur 14 fournisseurs de microsegmentation référencés dans le rapport qui ont tenté de sécuriser leurs réseaux privés avec une segmentation limitée ou en adoptant une contrôle d’accès au réseau (NAC), 11 ont échoué.

Le rapport explique pourquoi les réseaux sur site sont les domaines opérationnels les plus difficiles à sécuriser et comment la confiance implicite rend un réseau IP typique particulièrement vulnérable aux attaques. Et maintenant, avec plus de personnes dans la main-d’œuvre virtuelle que jamais auparavant, la prévalence accrue du protocole de configuration dynamique de l’hôte (DHCP) a rendu ces réseaux encore plus dangereux.

La confiance implicite imprègne également de nombreux réseaux privés sur site, ce qui les rend particulièrement vulnérables aux attaques de ransomwares. En outre, selon l’étude Forrester, les équipes informatiques et de sécurité constatent qu’adopter une approche manuelle de la segmentation réseau avancée dépasse leurs capacités.

Par conséquent, la plupart des entreprises ont une compréhension et une visibilité limitées de la topologie de leur réseau et s’appuient sur des feuilles de calcul pour suivre les actifs qui se trouvent sur le réseau. « Le manque de visibilité est un thème commun à de nombreuses organisations disposant d’un réseau sur site. La plupart des organisations ne comprennent pas où se trouvent leurs données de grande valeur et comment elles se déplacent. Et la grande majorité des organisations avec lesquelles nous parlons ne font pas suffisamment de découverte et de classification des données, qui sont toutes deux nécessaires dans une certaine mesure pour un projet de microsegmentation approprié. Le simple fait de savoir quelles données vous avez et où elles se trouvent est un problème difficile à résoudre », David Holmes, analyste principal chez Forrester et auteur du rapport, a déclaré à VentureBeat.

Étant donné que les équipes informatiques et de sécurité sont déjà débordées de travail, il n’est pas possible de segmenter et de pare-feu manuellement les applications. Forrester observe également que la vision de l’utilisation d’un accès défini par logiciel et basé sur l’intention promue par les fournisseurs d’infrastructure ne fonctionne pas comme prévu pour aucune organisation.

Les DSI et les RSSI qui réussissent font ces choses

Forrester a constaté que les responsables de la sécurité qui réussissent avec des projets de microsegmentation se concentrent sur les facteurs qui réduisent les obstacles à des implémentations réussies tout en renforçant leur cadre de confiance zéro.

Investissez du temps pour obtenir une classification et une visibilité correctes des données

Les DSI ont déclaré à Forrester qu’ils utilisaient la classification des données comme dépendance pour les projets zéro confiance afin de savoir ce qu’ils essayaient de protéger. Les DSI ont également confié à Forrester que leurs organisations ont peu de capacité à découvrir des données nouvelles ou complexes à grande échelle et à les catégoriser avec succès.

Bien que ces organisations aient des politiques de catégorisation et de classification des données, elles ne sont pas régulièrement appliquées. Les DSI et leurs équipes qui excellent dans la classification et la visibilité des données ont un taux de réussite plus élevé avec la microsegmentation.

La microsegmentation doit être un contrôle de sécurité primaire pour les réseaux locaux

Forrester a constaté que les DSI et les RSSI qui supprimaient tout potentiel de connexions de confiance implicites entre les identités et les identités de machine à machine étaient ceux qui réussissaient le mieux à obtenir des résultats de leurs projets de microsegmentation.

Il doit y avoir une forte adhésion à la confiance zéro à l’échelle de l’entreprise

Plus les entreprises et les cadres supérieurs sont déterminés à affiner et à améliorer continuellement leur cadre de confiance zéro, plus leurs DSI et RSSI réussissent à éliminer les obstacles.

L’un des plus grands obstacles auxquels sont confrontés les responsables de la sécurité est de réussir à faire fonctionner la microsegmentation sur les réseaux sur site, dont beaucoup reposent sur des relations de confiance interdomaines et des contrôleurs de réseau hérités d’il y a des décennies. En conséquence, ils sont une cible privilégiée pour rançongiciel et les cyberattaques, car les cybercriminels peuvent facilement exploiter les failles de confiance implicites. Lorsque la confiance zéro bénéficie d’un solide soutien de l’entreprise, les DSI et les RSSI obtiennent le budget et le soutien nécessaires pour combler rapidement les écarts de confiance implicites afin de parvenir à une microsegmentation.

Les meilleures pratiques de Forrester

Les entreprises se précipitent dans des projets de microsegmentation et ne prennent pas le temps de les planifier en premier. Les conclusions de Forrester impliquent que les entreprises tentent de faire fonctionner la microsegmentation avec les réseaux sur site sans identifier d’abord où se trouvent les obstacles – ou pire, sans obtenir de support de niveau C pour supprimer les obstacles une fois qu’ils sont trouvés lors de la mise en œuvre.

Sur la base d’entretiens réalisés avec des entreprises à différents niveaux de réussite avec des projets de microsegmentation, Forrester a conçu les six étapes suivantes :

Forrester recommande aux entreprises d’envisager ces six étapes de microsegmentation pour rationaliser les projets de mise en œuvre à grande échelle.

Les bonnes pratiques de Forrester en matière de microsegmentation incluent les éléments suivants :

Les champions de niveau C font une grande différence dans le succès de la microsegmentation

La première bonne pratique de Forrester consiste à former un champion de niveau C pour obtenir le soutien nécessaire pour surmonter les obstacles politiques. D’après leur expérience personnelle sur des projets de cybersécurité, les cadres de niveau C peuvent éliminer les obstacles en quelques heures ; il faudrait des semaines ou des mois aux administrateurs ou aux gestionnaires pour que cela soit fait. Ils doivent également exprimer leur soutien à la microsegmentation zéro confiance et expliquer pourquoi le faire correctement réduit les risques les plus graves auxquels l’entreprise sera confrontée.

Classer vos données

Forrester conseille à ses clients de classer les données avant de mettre en œuvre des projets de microsegmentation. Sinon, il n’y a pas d’idée claire de ce qui est sécurisé ou non. Une taxonomie et une approche cohérentes de la catégorisation des données sont essentielles pour que la microsegmentation fonctionne. Le rapport de Forrester montre l’intérêt de prendre du temps dès le début pour mettre en œuvre cette meilleure pratique, car cela augmente la probabilité de réussite d’un projet de microsegmentation.

Collecter des informations sur le trafic réseau et les ressources

Forrester observe qu’il est préférable d’utiliser les capteurs des plates-formes de microsegmentation pour collecter le trafic réseau en mode surveillance, en intégrant les données collectées dans une base de données de gestion de configuration (CMDB) et en les analysant avec des outils d’inventaire des actifs. La définition de politiques pour garantir l’exactitude de la CMDB et l’utilisation de sa gestion des adresses IP (IPAM) est au cœur de cette bonne pratique et contribue à un cadre de confiance zéro efficace.

Analyser et prioriser la politique suggérée

Le test des faux positifs et des anomalies à l’aide des capacités de modélisation automatisées incluses dans les systèmes de microsegmentation est une autre bonne pratique recommandée par Forrester. Les CISO et les CIO ont dit à VentureBeat dans le passé qu’ils devaient stocker plus de données de flux pour mieux comprendre les données de télémétrie. Comme pour toutes ces meilleures pratiques, elles deviennent les plus utiles lorsqu’elles sont utilisées pour combler les lacunes de confiance implicites sur les réseaux d’entreprise sur site.

Impliquez les propriétaires d’applications dès le début

Il est essentiel, du point de vue de la gestion du changement et d’une bonne pratique, d’obtenir la prise en charge des politiques de segmentation par la ligne de propriétaires d’applications critiques. Ils seront les plus préoccupés par l’impact de la microsegmentation sur la logique métier de leurs applications et voudront travailler avec vous pour concilier la politique de segmentation suggérée avec leurs applications. Forrester recommande d’apporter des rapports qui incluent les applications, les topologies, les inventaires de serveurs et les listes de propriétaires aux services concernés et de solliciter des demandes d’exception pour les connexions requises telles que les sauvegardes, la gestion des vulnérabilités, l’analyse et l’administration.

Obtenez des gains rapides avant de tenter la microsegmentation

Holmes de Forrester conseille aux entreprises mettant en œuvre des programmes de confiance zéro d’aborder la microsegmentation vers le milieu ou la fin de leur feuille de route. “D’autres projets de confiance zéro, comme la centralisation de l’identité, le déploiement de l’authentification unique (SSO) et la mise en œuvre de l’authentification multifacteur (MFA) ont une plus grande visibilité dans l’ensemble de l’organisation et sont plus susceptibles de réussir rapidement”, déclare Holmes.

Obtenir une série de gains rapides dès le début d’un projet de sécurité à grande échelle est essentiel pour protéger et augmenter le budget. « Des gains rapides (et largement visibles) sont importants dans un long projet de sécurité, ne serait-ce que pour maintenir le budget. Les projets de microsegmentation nécessitent de la vigilance et de la discipline, et lorsqu’ils sont exécutés correctement, personne ne s’en aperçoit. [they’re] travailler », a déclaré Holmes à VentureBeat.

Lorsqu’un projet de microsegmentation échoue ou échoue, il provoque immédiatement des pannes, des tickets de service et des maux de tête pour les équipes informatiques et de sécurité. Holmes dit que les clients de Forrester comprennent cela et lorsqu’ils sont interrogés sur leurs principales priorités en matière de sécurité informatique pour les 12 prochains mois, la microsegmentation ne figure généralement pas encore dans le top 10. Cependant, avec ces meilleures pratiques, les entreprises qui prévoient de mettre en œuvre la microsegmentation dans un proche avenir peuvent, espérons-le, avoir plus de succès avec moins de perturbations.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.



#Meilleures #pratiques #Forrester #pour #microsegmentation #zéro #confiance

Leave a Comment

Your email address will not be published.