Sécurité informatique Zero Trust - Cybersécurité en profondeur

Zero Trust est un type de politique de confiance antivirus qui considère tout fichier et tout programme comme potentiellement dangereux - sauf si des exclusions manuelles sont définies. On pourrait dire que Zero Trust est votre bouclier contre les attaques zero-day.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

Qu'est-ce que la sécurité Zero Trust? Principes du modèle Zero Trust en 2023

Qu'est-ce que le Zero Trust?

September 01, 2023

Dans la vie réelle, la confiance est un élément significatif des relations humaines. Dans le monde informatique, c'est également le cas, mais les programmes ne sont pas assez intelligents pour comprendre qu'ils sont manipulés à des fins malveillantes. C'est pourquoi à un moment donné, les fournisseurs d'antivirus ont décidé de ne faire confiance à personne du tout.

Le Zero Trust est une politique de sécurité régissant le niveau de confiance de certaines applications. Comme son nom l'indique, le Zero Trust suppose que aucun programme n'est totalement digne de confiance. Cette mesure est rigoureuse, mais extrêmement efficace pour prévenir les injections de logiciels malveillants. Dans ce mode, un programme anti-malware considère que toute application s'exécutant dans le système est potentiellement dangereuse et examine les commandes exécutées, les DLL accédées et les dossiers consultés.

En vérifiant l'activité de toutes les applications, l'outil de sécurité (qui peut être la solution EDR ou même un antivirus classique) peut facilement filtrer les éléments douteux. Ensuite, le spécialiste de la sécurité qui gère le système de protection reçoit un rapport avec tous ces cas et choisit les mesures à appliquer.

Pourquoi mettre en place une politique de Zero Trust?

Auparavant, au début de la diffusion des logiciels anti-malveillants, tous les programmes de ce type divisaient les applications tierces en dignes de confiance et non dignes de confiance. La troisième catégorie - les applications système - a également été ultérieurement regroupée dans la catégorie des dignes de confiance. Ainsi, les applications de la liste des dignes de confiance étaient libres de faire ce qu'elles voulaient - les programmes antivirus ignoraient leurs activités. Celles considérées comme non dignes de confiance étaient vérifiées méticuleusement. Cette classification était excellente à moins que l'on se souvienne qu'il était assez facile d'atteindre la "dignité de confiance". Par conséquent, seules certaines applications douteuses provenant de sites de distribution de logiciels, des applets Java faits main et des scripts étaient considérés comme dangereux.

Principales caractéristiques du Zero Trust
Principaux vecteurs de la sécurité Zero Trust

Le mod√®le global semble assez bon car il offre toujours un contr√īle manuel, la possibilit√© de modifications et d'autres √©l√©ments qui fournissent de la flexibilit√©. √Ä moins que nous ne nous souvenions des vuln√©rabilit√©s, ces derni√®res peuvent appara√ģtre dans toutes sortes d'applications - y compris celles consid√©r√©es comme s√Ľres. Les vuln√©rabilit√©s peuvent permettre aux pirates d'ex√©cuter un code arbitraire, d'escalader des privil√®ges, de modifier les param√®tres du syst√®me et de faire toutes sortes d'actions malveillantes. Cette situation an√©antit compl√®tement l'efficacit√© du syst√®me de confiance divis√©.

Au début, le problème a simplement été ignoré, car l'exploitation des vulnérabilités n'était pas aussi répandue. Il n'y avait pas de solutions de sécurité spéciales disponibles sur le marché - vous ne pouviez les commander qu'à un prix plus élevé. Et les entreprises ne s'inquiétaient pas de cela - l'efficacité des programmes antivirus était suffisante pour le moment. Lorsque les cybercriminels ont changé leurs méthodes de diffusion des logiciels malveillants des astuces classiques aux exploits, les solutions classiques sont devenues beaucoup moins efficaces. On pourrait même dire - inutiles.

Principes du Zero Trust

Nous avons d√©j√† d√©crit le fonctionnement des antivirus avec la politique Zero Trust ci-dessus. Il s'agit d'une description assez rudimentaire car il existe une liste beaucoup plus √©tendue d'actions. Le Zero Trust ne s'applique pas uniquement aux applications en cours d'ex√©cution, mais √©galement aux fichiers pr√©sents sur le disque mais non utilis√©s √† ce moment-l√†. Le contr√īle de cela n√©cessite l'application simultan√©e de solutions typiques et de nouvelles approches vari√©es.

Les processus sont obligatoirement vérifiés par plusieurs mécanismes de détection. Dans les premières versions, ils étaient vérifiés en cours d'exécution, permettant au programme de s'exécuter dans le système. Une telle approche présente des avantages mais expose le système à des risques. Les antivirus plus modernes avec une politique de Zero Trust exécutent chaque application dans un bac à sable avant de lui permettre de s'exécuter dans le système. Dans le cas d'un site Web ou d'un serveur distant, il peut être lancé simultanément dans le bac à sable et dans le navigateur - pour minimiser le décalage. La même chose est effectuée pour les connexions entrantes - même lorsqu'elles n'effectuent aucune action, le programme surveille et enregistre chaque action lorsqu'elle devient active.

Fonctionnement du Zero Trust

En réalité, ces vérifications ne sont pas nouvelles pour les logiciels anti-malveillants. Toutes les applications disposant d'un mécanisme de vérification avancé effectuent les opérations décrites. Mais avec une politique de Zero Trust, des précautions de sécurité sont appliquées à toutes les applications et fichiers. Toutes ces vérifications doivent être soutenues par les meilleurs systèmes de détection pour assurer une efficacité maximale. Les moteurs heuristiques et les mécanismes de détection de réseau neuronal doivent avoir une haute performance avec une consommation de ressources modérée. Les bases de données de détection doivent être maintenues en conséquence - avec des mises à jour horaires et une surveillance continue des nouvelles menaces possibles.

√Čtant donn√© que le Zero Trust est presque synonyme de syst√®mes EDR, l'application la plus efficace pour cette politique ne peut √™tre rencontr√©e qu'avec les fonctionnalit√©s d'une solution de point de terminaison. Cette derni√®re offre g√©n√©ralement la division du r√©seau prot√©g√© en parties pour faciliter le contr√īle global du syst√®me. Dans ce cas, le Zero Trust vous permet de mettre en place des v√©rifications suppl√©mentaires pour les programmes consid√©r√©s comme plus dangereux ou de modifier la liste des v√©rifications appliqu√©es.

Zero Trust dans les programmes anti-malveillants

La plupart des programmes qui exemplifient une politique Zero Trust sont des solutions de Détection et de Réponse aux Points de Terminaison, ou EDR. Ces applications représentent une nouvelle vision de la cybersécurité d'entreprise. Alors que les solutions antérieures protégeaient chaque ordinateur séparément, les solutions EDR fournissent un bouclier qui couvre l'ensemble du réseau simultanément. Comme les cybercriminels utilisent souvent des menaces avancées, la recherche d'applications potentiellement compromises nécessite une tolérance minimale.

Les solutions antivirus grand public pour les systèmes à utilisateur unique appliquent rarement une politique Zero Trust. La seule présente sur tous les ordinateurs équipés de Windows 11 est Windows Defender - un outil de sécurité notoire de Microsoft. Il obtient de bons résultats en matière de protection en cours d'exécution, mais il présente tellement de bugs et de problèmes de sécurité que son utilité est discutable. Et bien qu'il exécute un Zero Trust complet, les mécanismes de sécurité mentionnés ci-dessus sont limités. Par exemple, le bac à sable en mode de sécurité réseau ne fonctionne qu'avec le navigateur Edge; les mécanismes de surveillance avancée des scripts ne sont disponibles que pour les scripts PowerShell.

Pourquoi les fournisseurs d'antivirus tardent-ils à appliquer cette politique?

Le "Zero Trust" peut sembler être une solution miracle pour la sécurité informatique. La nouvelle idéologie de réaction des logiciels anti-malveillants aux programmes dans le système peut considérablement augmenter leur efficacité sans apporter d'améliorations au mécanisme de détection. Cependant, quelques écueils rendent cette solution moins prometteuse, voire inutile.

  • Le Zero Trust affecte les performances de l'ordinateur. Le m√™me outil consommera beaucoup plus de RAM et surtout de puissance CPU pour effectuer toutes les v√©rifications et ex√©cuter le bac √† sable. Imaginez que vous ayez activ√© la protection en cours d'ex√©cution, mais qu'elle n√©cessite des op√©rations qui n√©cessitent trois fois plus de puissance de calcul. Bien s√Ľr, vous ne rencontrerez pas de probl√®mes significatifs sur les syst√®mes haut de gamme, mais les produits anti-malveillants sont destin√©s au grand public - sinon, cela ne sera pas rentable. Les EDR avec une politique Zero Trust souffrent beaucoup moins car la plupart des calculs sont effectu√©s sur le contr√īleur de domaine.
  • Les utilisateurs individuels sont rarement victimes de menaces avanc√©es. Alors que les entreprises sont constamment expos√©es au risque d'√™tre attaqu√©es avec l'utilisation de logiciels malveillants complexes, ce n'est pas le cas pour les particuliers. Le nombre d'endroits o√Ļ le Zero Trust peut √™tre utile pour un utilisateur unique est limit√© - par rapport aux effets n√©gatifs que nous avons mentionn√©s dans le paragraphe pr√©c√©dent. Pour contrer les attaques avec des logiciels malveillants "classiques", un antivirus classique avec une liste de confiance suffit.
  • Utilisation compliqu√©e. Le Zero Trust ne se limite pas √† contr√īler tout ce qui s'ex√©cute sur votre syst√®me. Pour atteindre une efficacit√© maximale, l'outil de s√©curit√© doit √™tre configur√© sp√©cifiquement pour le syst√®me o√Ļ il s'ex√©cutera - sinon, ce ne sera qu'un logiciel superflu. Et comme vous pouvez l'imaginer, les configurations manuelles ne sont pas quelque chose que le grand public appr√©ciera. Passer des heures sur des manuels et des r√©glages convient aux administrateurs syst√®me qui ont mis en place la protection dans l'entreprise, mais c'est moins appropri√© lorsque vous voulez que le programme fonctionne correctement d√®s la sortie de la bo√ģte.

Le Zero Trust est une politique tr√®s prometteuse pour les logiciels anti-malveillants. Cependant, il peut √† peine exister sur le march√© grand public en raison des probl√®mes susmentionn√©s. Il semble qu'il deviendra un √©l√©ment compl√©mentaire, voire obligatoire, des solutions EDR - o√Ļ il atteint son efficacit√© maximale. Mais nous pouvons difficilement imaginer son avenir en tant que partie d'une solution anti-malveillants classique - du moins sur le march√© grand public.

Foire Aux Questions

Quelle est la différence entre les produits VPN traditionnels et les solutions ZTNA modernes?
La diff√©rence entre un VPN et un ZTNA r√©side dans les concepts cl√©s. Un VPN est simplement le m√©canisme qui redirige le trafic des utilisateurs via un serveur VPN, souvent celui g√©r√© par une entreprise. Le VPN ne propose aucune approche s√©rieuse en mati√®re de s√©curit√©. Le ZTNA connecte directement les utilisateurs aux applications priv√©es et offre des d√©tails et une flexibilit√© gr√Ęce √† des politiques de s√©curit√© adaptatives. Le ZTNA est un service de s√©curit√© cloud qui vous permet de contr√īler les connexions r√©seau depuis une position √† distance.
Le ZTNA est-il un produit?
Zero Trust Network Access (ZTNA) est un produit qui crée une frontière d'accès logique basée sur des identités et un contexte autour d'une application ou d'un ensemble d'applications. Ces applications ou ensembles d'applications sont cachés et l'accès via le courtier de confiance est limité à une liste d'entités nommées. Cette approche réduit au minimum les risques de connexion non souhaitée.
Qui a défini Zero Trust?
Le terme Zero Trust a été initialement inventé par Forrester Research et l'analyste John Kindervag. Sa devise était "ne jamais faire confiance, toujours vérifier". Il supposait que le risque était un facteur inhérent à l'intérieur et à l'extérieur du réseau. Ensuite, ce concept a été accepté comme règle par défaut par de nombreux fournisseurs de logiciels anti-malware.