Qu'est-ce que le Zero Trust?
August 31, 2023
Le Zero Trust est une politique de sécurité régissant le niveau de confiance de certaines applications. Comme son nom l'indique, le Zero Trust suppose que aucun programme n'est totalement digne de confiance. Cette mesure est rigoureuse, mais extrêmement efficace pour prévenir les injections de logiciels malveillants. Dans ce mode, un programme anti-malware considère que toute application s'exécutant dans le système est potentiellement dangereuse et examine les commandes exécutées, les DLL accédées et les dossiers consultés.
En vérifiant l'activité de toutes les applications, l'outil de sécurité (qui peut être la solution EDR ou même un antivirus classique) peut facilement filtrer les éléments douteux. Ensuite, le spécialiste de la sécurité qui gère le système de protection reçoit un rapport avec tous ces cas et choisit les mesures à appliquer.
Pourquoi mettre en place une politique de Zero Trust?
Auparavant, au début de la diffusion des logiciels anti-malveillants, tous les programmes de ce type divisaient les applications tierces en dignes de confiance et non dignes de confiance. La troisième catégorie - les applications système - a également été ultérieurement regroupée dans la catégorie des dignes de confiance. Ainsi, les applications de la liste des dignes de confiance étaient libres de faire ce qu'elles voulaient - les programmes antivirus ignoraient leurs activités. Celles considérées comme non dignes de confiance étaient vérifiées méticuleusement. Cette classification était excellente à moins que l'on se souvienne qu'il était assez facile d'atteindre la "dignité de confiance". Par conséquent, seules certaines applications douteuses provenant de sites de distribution de logiciels, des applets Java faits main et des scripts étaient considérés comme dangereux.
Le modèle global semble assez bon car il offre toujours un contrôle manuel, la possibilité de modifications et d'autres éléments qui fournissent de la flexibilité. À moins que nous ne nous souvenions des vulnérabilités, ces dernières peuvent apparaître dans toutes sortes d'applications - y compris celles considérées comme sûres. Les vulnérabilités peuvent permettre aux pirates d'exécuter un code arbitraire, d'escalader des privilèges, de modifier les paramètres du système et de faire toutes sortes d'actions malveillantes. Cette situation anéantit complètement l'efficacité du système de confiance divisé.
Au début, le problème a simplement été ignoré, car l'exploitation des vulnérabilités n'était pas aussi répandue. Il n'y avait pas de solutions de sécurité spéciales disponibles sur le marché - vous ne pouviez les commander qu'à un prix plus élevé. Et les entreprises ne s'inquiétaient pas de cela - l'efficacité des programmes antivirus était suffisante pour le moment. Lorsque les cybercriminels ont changé leurs méthodes de diffusion des logiciels malveillants des astuces classiques aux exploits, les solutions classiques sont devenues beaucoup moins efficaces. On pourrait même dire - inutiles.
Principes du Zero Trust
Nous avons déjà décrit le fonctionnement des antivirus avec la politique Zero Trust ci-dessus. Il s'agit d'une description assez rudimentaire car il existe une liste beaucoup plus étendue d'actions. Le Zero Trust ne s'applique pas uniquement aux applications en cours d'exécution, mais également aux fichiers présents sur le disque mais non utilisés à ce moment-là. Le contrôle de cela nécessite l'application simultanée de solutions typiques et de nouvelles approches variées.
Les processus sont obligatoirement vérifiés par plusieurs mécanismes de détection. Dans les premières versions, ils étaient vérifiés en cours d'exécution, permettant au programme de s'exécuter dans le système. Une telle approche présente des avantages mais expose le système à des risques. Les antivirus plus modernes avec une politique de Zero Trust exécutent chaque application dans un bac à sable avant de lui permettre de s'exécuter dans le système. Dans le cas d'un site Web ou d'un serveur distant, il peut être lancé simultanément dans le bac à sable et dans le navigateur - pour minimiser le décalage. La même chose est effectuée pour les connexions entrantes - même lorsqu'elles n'effectuent aucune action, le programme surveille et enregistre chaque action lorsqu'elle devient active.
En réalité, ces vérifications ne sont pas nouvelles pour les logiciels anti-malveillants. Toutes les applications disposant d'un mécanisme de vérification avancé effectuent les opérations décrites. Mais avec une politique de Zero Trust, des précautions de sécurité sont appliquées à toutes les applications et fichiers. Toutes ces vérifications doivent être soutenues par les meilleurs systèmes de détection pour assurer une efficacité maximale. Les moteurs heuristiques et les mécanismes de détection de réseau neuronal doivent avoir une haute performance avec une consommation de ressources modérée. Les bases de données de détection doivent être maintenues en conséquence - avec des mises à jour horaires et une surveillance continue des nouvelles menaces possibles.
Étant donné que le Zero Trust est presque synonyme de systèmes EDR, l'application la plus efficace pour cette politique ne peut être rencontrée qu'avec les fonctionnalités d'une solution de point de terminaison. Cette dernière offre généralement la division du réseau protégé en parties pour faciliter le contrôle global du système. Dans ce cas, le Zero Trust vous permet de mettre en place des vérifications supplémentaires pour les programmes considérés comme plus dangereux ou de modifier la liste des vérifications appliquées.
Zero Trust dans les programmes anti-malveillants
La plupart des programmes qui exemplifient une politique Zero Trust sont des solutions de Détection et de Réponse aux Points de Terminaison, ou EDR. Ces applications représentent une nouvelle vision de la cybersécurité d'entreprise. Alors que les solutions antérieures protégeaient chaque ordinateur séparément, les solutions EDR fournissent un bouclier qui couvre l'ensemble du réseau simultanément. Comme les cybercriminels utilisent souvent des menaces avancées, la recherche d'applications potentiellement compromises nécessite une tolérance minimale.
Les solutions antivirus grand public pour les systèmes à utilisateur unique appliquent rarement une politique Zero Trust. La seule présente sur tous les ordinateurs équipés de Windows 11 est Windows Defender - un outil de sécurité notoire de Microsoft. Il obtient de bons résultats en matière de protection en cours d'exécution, mais il présente tellement de bugs et de problèmes de sécurité que son utilité est discutable. Et bien qu'il exécute un Zero Trust complet, les mécanismes de sécurité mentionnés ci-dessus sont limités. Par exemple, le bac à sable en mode de sécurité réseau ne fonctionne qu'avec le navigateur Edge; les mécanismes de surveillance avancée des scripts ne sont disponibles que pour les scripts PowerShell.
Pourquoi les fournisseurs d'antivirus tardent-ils à appliquer cette politique?
Le "Zero Trust" peut sembler être une solution miracle pour la sécurité informatique. La nouvelle idéologie de réaction des logiciels anti-malveillants aux programmes dans le système peut considérablement augmenter leur efficacité sans apporter d'améliorations au mécanisme de détection. Cependant, quelques écueils rendent cette solution moins prometteuse, voire inutile.
- Le Zero Trust affecte les performances de l'ordinateur. Le même outil consommera beaucoup plus de RAM et surtout de puissance CPU pour effectuer toutes les vérifications et exécuter le bac à sable. Imaginez que vous ayez activé la protection en cours d'exécution, mais qu'elle nécessite des opérations qui nécessitent trois fois plus de puissance de calcul. Bien sûr, vous ne rencontrerez pas de problèmes significatifs sur les systèmes haut de gamme, mais les produits anti-malveillants sont destinés au grand public - sinon, cela ne sera pas rentable. Les EDR avec une politique Zero Trust souffrent beaucoup moins car la plupart des calculs sont effectués sur le contrôleur de domaine.
- Les utilisateurs individuels sont rarement victimes de menaces avancées. Alors que les entreprises sont constamment exposées au risque d'être attaquées avec l'utilisation de logiciels malveillants complexes, ce n'est pas le cas pour les particuliers. Le nombre d'endroits où le Zero Trust peut être utile pour un utilisateur unique est limité - par rapport aux effets négatifs que nous avons mentionnés dans le paragraphe précédent. Pour contrer les attaques avec des logiciels malveillants "classiques", un antivirus classique avec une liste de confiance suffit.
- Utilisation compliquée. Le Zero Trust ne se limite pas à contrôler tout ce qui s'exécute sur votre système. Pour atteindre une efficacité maximale, l'outil de sécurité doit être configuré spécifiquement pour le système où il s'exécutera - sinon, ce ne sera qu'un logiciel superflu. Et comme vous pouvez l'imaginer, les configurations manuelles ne sont pas quelque chose que le grand public appréciera. Passer des heures sur des manuels et des réglages convient aux administrateurs système qui ont mis en place la protection dans l'entreprise, mais c'est moins approprié lorsque vous voulez que le programme fonctionne correctement dès la sortie de la boîte.
Le Zero Trust est une politique très prometteuse pour les logiciels anti-malveillants. Cependant, il peut à peine exister sur le marché grand public en raison des problèmes susmentionnés. Il semble qu'il deviendra un élément complémentaire, voire obligatoire, des solutions EDR - où il atteint son efficacité maximale. Mais nous pouvons difficilement imaginer son avenir en tant que partie d'une solution anti-malveillants classique - du moins sur le marché grand public.