Pourquoi les identités des machines sont importantes (et ce qu'il faut faire)

Le thème de la semaine 4 du Mois de la sensibilisation à la cybersécurité, "La cybersécurité d'abord", offre l'occasion d'aider les professionnels de l'informatique et de l'infosécurité à sensibiliser leurs équipes à l'importance de la cybersécurité. Ce blog se veut un outil pour aider votre organisation à comprendre l'importance de l'infrastructure à clé publique (PKI) et des identités des machines, et le rôle qu'elles jouent pour devenir une entreprise qui donne la priorité à la cybersécurité.

Si vous avez travaillé dans le domaine de la cybersécurité, vous ne la décririez probablement pas comme un art, ni comme une science. Ce n'est pas non plus une série dramatique de Netflix (pensez à Mr. Robot). En réalité, c'est une corvée. 

Protéger les réseaux, les appareils et les données contre les menaces d'attaque n'est pas une tâche facile, et la pression pour garder une longueur d'avance sur les cybercriminels pèse lourd. Parfois, il s'agit d'une poussée d'adrénaline, parfois d'un travail banal et répétitif. 

Il peut s'agir de répondre à des tickets, de rechercher des anomalies, d'examiner des journaux, de travailler sur des stratégies à long terme, d'évaluer des technologies et, surtout, d'éduquer les utilisateurs finaux sur l'importance de la cybersécurité, sensibiliser les utilisateurs finaux à l'importance de la cybersécurité (même si cela implique de répondre à des questions "stupides").

L'instauration d'une culture de la cybersécurité va bien au-delà de votre pile informatique et des équipes qui la mettent en œuvre. Malheureusement, de nombreux articles se concentrent sur les dernières technologies (la "science") ou sur le manque de personnel qualifié (l'"art") en matière de cybersécurité, mais ils ne reconnaissent pas l'importance de la formation, en particulier pour les utilisateurs non techniques et les chefs d'entreprise.

Dans ce blog, nous souhaitons sensibiliser les équipes à un élément essentiel de la cybersécurité, mais souvent mal compris et négligé : l'identité des machines. les identités des machines.

Commençons par quelque chose de familier : l'identité. Notre identité est tout. Elle va de ce que nous sommes à ce à quoi nous avons accès. Chaque jour, les humains s'appuient sur leur identité pour conduire leur voiture, voyager à l'étranger, acheter des biens et des services et accéder à tout, de leur compte Instagram à leur ordinateur portable, au travail ou à la maison.

Notre familiarité avec l'identité signifie que la plupart des responsables informatiques et des praticiens reconnaissent et comprennent l'importance de la gestion des identités et des accès (IAM). C'est pourquoi les organisations ont dépensé près de 14 milliards de dollars à la gestion des identités et des accès en 2021, ce qui en fait l'un des principaux postes budgétaires en matière de sécurité de l'information, avec la sécurité du cloud et des applications.

Jusqu'à présent, l'IAM s'est surtout concentré sur la protection des identités des utilisateurs (ou humains). Pour répondre aux exigences de l'IAM, ils utilisent des outils tels que l'authentification unique (SSO), l'authentification multifactorielle (MFA) et la gestion des accès privilégiés (PAM). 

Le problème est que les humains ne représentent qu'une partie de la main-d'œuvre.

Aujourd'hui, les machines sont beaucoup plus nombreuses que les humains. Mais loin des notions de science-fiction d'un futur dystopique dominé par les robots, les machines nous libèrent, nous les humains, des tâches dangereuses, chronophages ou tout simplement ennuyeuses que nous préférerions éviter. 

Ces machines sont composées d'appareils hardware , tels que des appareils mobiles, IoT/OT, des serveurs et des ordinateurs de bureau, et software-de charges de travail définies, y compris des conteneurs, des machines virtuelles (VM), des services et des applications.

Tout comme les humains, chaque machine a besoin d'une ou plusieurs identités uniques pour s'authentifier et communiquer en toute sécurité les unes avec les autres. Cependant, contrairement à leurs homologues humains, les identités des machines font l'objet de beaucoup moins d'attention.

Selon Gartnerles outils IAM couramment déployés, tels que la gestion des accès (AM), la gouvernance et l'administration des identités (IGA) et les outils PAM, ont été historiquement orientés vers le besoin le plus imminent de gérer les identités humaines. Il faut désormais accorder la même attention à la gestion et à la gouvernance des machines".

Lorsque nous commençons à penser à la gestion des identités des machines, telles que les certificats X.509, les choses deviennent floues pour la plupart des gens. Malgré l'utilisation répandue des clés et des certificats par les développeurs, les administrateurs informatiques, les ingénieurs d'infrastructure et autres, on sait très peu de choses à leur sujet. 

Le problème sous-jacent est que les identités des machines et l'infrastructure à clé publique (PKI) qui les sous-tend sont considérées comme des "marchandises". En d'autres termes, tous les membres de l'organisation informatique ont besoin d'un certificat, mais la plupart d'entre eux ne savent pas où se les procurer ni comment les configurer et les installer correctement. Les différentes équipes et les utilisateurs finaux recherchent la solution la plus simple et la moins chère, ce qui entraîne une prolifération incontrôlée d'émetteurs(CA)et de certificats.

Que se passe-t-il ? Que ce soit par un adversaire, un partenaire, un contractant ou un employé interne, les certificats peuvent facilement être mal configurés et mal utilisés. Au cours de l'année écoulée, nous avons constaté plusieurs incidents résultant de l'émission et de l'utilisation incontrôlées d'identités de machines :

• Fortinet, Palo Alto, Cloudflare et des dizaines d'entreprises technologiques de premier plan ont connu des problèmes de service lorsque l'autorité de certification racine IdenTrust DST X3 (utilisée par Let's Encrypt) a expiré.
• La NSA a mis en garde les organisations contre l'utilisation de certificats Wildcard TLS afin de minimiser le risque d'une nouvelle forme d'attaque de décryptage de TLS connue sous le nom d'"ALPACA".
• Fortnite a connu une panne généralisée de plusieurs heures. qui a commencé avec un certificat wildcard TLS expiré installé sur des centaines de services de production différents.
• Microsoft a imputé à un problème de rotation des clés une panne de grande ampleur qui a affecté un grand nombre de ses services Microsoft 365 pendant plus de 14 heures.

Pour prendre le contrôle de la situation, il faut changer radicalement de mentalité. PKI Les identités des utilisateurs et des machines ne sont pas un "produit de base", mais une infrastructure critique qui sous-tend la sécurité et la disponibilité de pratiquement tous les appareils et charges de travail de l'entreprise. qui sous-tend la sécurité et la disponibilité de pratiquement tous les appareils et charges de travail de l'entreprise.

Comment prendre le contrôle de la situation ? Cela commence par l'éducation et la sensibilisation, puis par l'examen de votre technologie et de vos processus. Tous, des utilisateurs finaux aux responsables informatiques, doivent mieux comprendre l'importance et le rôle des identités des machines dans les initiatives qu'ils entreprennent. Nous avons rassemblé ici quelques conseils et stratégies pour vous aider à démarrer :

Pour PKI et les équipes de sécurité :

• Sensibiliser les employés de l'organisation informatique à l'importance des certificats et à la manière dont ils doivent être traités. Créez des antisèches et des guides sur la manière d'obtenir des certificats, de s'assurer qu'ils sont conformes à la politique et, si l'automatisation n'est pas en place, d'installer et de renouveler correctement leurs certificats.
• Assurez-vous que les utilisateurs finaux et les équipes chargées des applications disposent d'un moyen simple et rapide d'obtenir des certificats. Si vous ne pouvez pas répondre efficacement aux demandes de certificats de vos utilisateurs, il y a fort à parier qu'ils iront voir ailleurs. Les certificats auto-signés et les AC intégrées insuffisantes (par exemple, Kubernetes Secrets, HashiCorp Vault) ne doivent pas être utilisés aveuglément.
• Développez votre ensemble d'outils pour la visibilité et l'automatisation. L'éducation est le point de départ, mais c'est la technologie qui permettra de mettre en œuvre les meilleures pratiques. Évaluez les solutions de gestion des certificats qui permettent la découverte et l'automatisation du cycle de vie des certificats. d'automatisation du cycle de vie du cycle de vie.

Pour les utilisateurs finaux :

• Évitez d'utiliser des certificats de type "wildcard". Bien sûr, certificats génériques sont une solution à court terme, mais le risque l'emporte largement sur la récompense. Il suffit de penser au récent avertissement de la NSA ou à la panne de plus de 5 heures de Fortnite pour comprendre pourquoi il faut les éviter. Consultez plutôt votre PKI ou votre équipe de sécurité pour savoir comment obtenir des certificats de confiance.
• N'utilisez pas de certificats auto-signés sur les systèmes de production. Les certificats auto-signés ont leur place, mais pas dans les domaines de production ou publics. Les cybercriminels peuvent tirer parti de certificats auto-signés mal gérés pour mener des attaques de type "man-in-the-middle" (MitM) afin d'usurper une identité de confiance.
• Si les certificats sont une source d'ennuis, aidez à les justifier. Si vous êtes frustré de devoir demander, installer et renouveler des certificats manuellement, il y a de fortes chances que votre équipe PKI/sécurité en soit également fatiguée. Plutôt que de pointer du doigt, aidez à développer l'automatisation pour faciliter les choses pour tout le monde.

Pour les responsables informatiques :

• Faire de l'identité des machines une priorité dans votre stratégie de gestion des identités et des accès. Le fait que la cryptographie soit perçue comme un concept hautement technique et non comme un concept d'"identité" déjà bien compris comme un concept hautement technique à un concept déjà bien compris d'"identité" contribuera à une meilleure compréhension et à une meilleure normalisation dans l'ensemble de l'entreprise.
• Définir les identités des machines et élaborer un plan clair Aidez à définir une image claire des identités des machines dans votre environnement et à élaborer un cadre stratégique à l'échelle de l'entreprise sur la manière dont elles doivent être utilisées et gérées.
• Contribuer à la création d'un centre d'excellence en cryptographie (CCOE). Une fois que vous aurez établi une stratégie et une politique de base, vous devrez veiller à ce que vos équipes élaborent des orientations claires pour les utilisateurs de certificats. Il s'agit notamment d'attribuer la propriété des outils et des processus à utiliser pour les différents types d'identités des machines.

• Lire le Rapport 2021 sur l'état de la gestion des identités des machines et partagez-le avec vos équipes pour sensibiliser l'entreprise.
• Visitez le site web du produit pour découvrir comment la Keyfactor plateforme Crypto-Agility offre une visibilité, un contrôle et une automatisation complets pour chaque identité de machine.