Interviews Prêtes à l'Emploi : Jason Garbis Expert en Zero Trust
Geoffrey Burke: Bonjour à tous, nous avons avec nous aujourd'hui. Expert en Zero Trust et auteur de nombreux travaux sur le ZTDR.
Bienvenue Jason, parlez-nous un peu de vous.
Jason Garbis: J'ai passé toute ma carrière dans l'industrie technologique, ce qui fait presque 35 ans à ce jour. Cela me rend donc extrêmement vieux.
J'ai commencé en tant qu'ingénieur logiciel, écrivant du code C et C++ pour des systèmes distribués. Dans ce rôle, j'ai non seulement compris comment fonctionnent réellement les systèmes logiciels, mais aussi comment fonctionnent les architectures d'entreprise. Après cela, je suis passé à un rôle de consultant en services professionnels pour un fournisseur de middleware. Dans ce rôle, j'ai eu l'opportunité de voyager, de visiter et de travailler avec de nombreuses entreprises qui utilisaient le middleware de ce fournisseur particulier pour construire des systèmes distribués à grande échelle. Cela m'a, à son tour, exposé à la vue d'ensemble des défis d'entreprise.
J'ai commencé à m'intéresser au monde de la sécurité il y a environ 15 ans, en travaillant dans le domaine de la gestion des identités : identité, gouvernance et gestion du cycle de vie. De là, je suis passé à ce que nous appelons aujourd'hui l'accès réseau Zero Trust, en travaillant pour un fournisseur dans ce domaine. Je dirigeais l'équipe de gestion de produit là-bas, mais j'ai également pris un rôle de leadership avec la Cloud Security Alliance en tant que membre du groupe de travail sur le périmètre défini par logiciel à l'époque.
Aujourd'hui, je dirige ce groupe, et nous l'avons transformé et élargi pour nous concentrer sur le zero trust. Dans ces rôles, je travaille beaucoup avec des entreprises et beaucoup avec des personnes occupant différents postes comme l'équipe de sécurité, l'équipe informatique, et maintenant, au cours des dernières années, en travaillant avec les personnes ici chez Object first, l'équipe de protection des données, de sauvegarde et de récupération.
Parlons de Zero Trust
Geoffrey Burke : Où avez-vous entendu parler du Zero Trust pour la première fois ? Était-ce plutôt d'un point de vue réseau ?
Jason Garbis : Je pense que c'était vers 2015. Je travaillais pour une entreprise de gestion des identités, qui a été acquise par RSA en 2013. C'était juste après ou peu de temps après, le premier document sur le zero trust a été publié par John Kinderrock chez Forester. C'était en 2010, donc j'en avais une certaine connaissance. Ensuite, j'ai quitté RSA et rejoint une entreprise qui lançait ce que nous appelons aujourd'hui une solution d'accès réseau zero trust.
Dans ce domaine, j'ai été exposé au concept de zero trust et j'ai réalisé que c'est vraiment intéressant. Cela prend tout ce que j'ai fait autour de la gestion des identités, de la gouvernance des identités et des meilleures pratiques et l'applique à un niveau réseau réel.
Dans le monde de la gestion des identités, vous devez vous assurer de comprendre qui devrait avoir accès à quoi. La gouvernance des identités fait des choses d'un point de vue processus métier, en s'assurant que les gens sont dans les bons groupes et en appliquant la séparation des fonctions. Cependant, il n'y avait jamais eu de mise en œuvre stricte.
Ensuite, nous sommes entrés dans le monde du zero trust et avons reconnu que vous devez l'appliquer au niveau du réseau également, car il y a tant de vulnérabilités et tant de surface d'attaque qui peuvent être exploitées que vous avez besoin de ces politiques conscientes des identités et contextuellement conscientes pour être appliquées au niveau des processus, au niveau des identités, au niveau des applications et au niveau du réseau.
Geoffrey Burke : Les ransomwares ont dû considérablement renforcer le besoin de Zero Trust dans l'industrie. L'un des principes fondamentaux du zero trust est de supposer une violation. Pensez-vous que les professionnels de l'informatique ont accepté ce concept ?
Jason Garbis : Oui, c'est le cas. Je pense que nous pouvons tous regarder la prévalence, les dommages et la fréquence de ces attaques majeures par ransomware et comprendre à quel point notre paysage de menaces est difficile. Le principe de supposer une violation, de segmenter votre réseau et d'appliquer le principe du moindre privilège est un excellent antidote aux ransomwares et garantit que vous rendez plus difficile pour les attaquants de faire quoi que ce soit.
Supposer une violation
Geoffrey Burke : L'un des défis avec le Zero Trust et l'idée de supposer une violation est que vous dites essentiellement que votre système a été compromis avant même que cela ne se produise. Certains responsables pourraient ne pas apprécier ce genre de vision pessimiste.
Jason Garbis : Vous soulevez un point intéressant, et c'est l'une des raisons pour lesquelles nous avons besoin du Zero Trust. Lorsque vous parlez aux équipes de mise en réseau d'entreprise et écoutez ce qu'elles ont dû faire, cela a été très difficile car elles n'ont pas eu les outils de sécurité ou le vocabulaire nécessaires pour appliquer de véritables politiques d'accès. Les équipes de mise en réseau ont dû changer leur focus. Leurs objectifs dans le passé étaient principalement de construire des réseaux fiables, rapides et résilients, mais elles n'ont pas eu la capacité d'appliquer la sécurité à laquelle le réseau est lié. Des choses comme l'identité et le contexte. Avant, c'était comme si nous ne savions rien sur l'application. Nous ne savons rien sur l'utilisateur, et si notre utilisateur est malveillant, devinez quoi ? Leurs paquets malveillants arriveront tout aussi rapidement et de manière fiable que ceux de tout le monde.
Le Zero Trust vous donne maintenant la chance de vous éloigner de cela et de dire que nous savons quelle identité se trouve sur cet appareil, et nous allons soit autoriser soit interdire ces paquets en fonction de la politique.
Geoffrey Burke : Est-il vrai qu'aujourd'hui, les équipes de protection des données et de sécurité doivent travailler ensemble plus que jamais en raison de la grande variété de menaces ?
Jason Garbis : Oui, absolument. Vous avez soulevé un point important : la nécessité pour les équipes de sécurité et les équipes de sauvegarde et de récupération des données de travailler ensemble et de reconnaître que, d'abord, tout ce que nous faisons dans notre entreprise est désormais numérisé. Tout fonctionne dessus, et donc, tout est une cible et doit être sécurisé. Il n'est pas juste de traiter le système de données, de sauvegarde et de récupération comme une autre application car ce n'est pas le cas. C'est une énorme cible pour les attaquants. C'est aussi un parachute d'urgence.
Si vous êtes attaqué et que vous avez investi tout cet argent dans des systèmes de récupération de sauvegarde, vous voulez vous assurer qu'ils sont toujours disponibles en cas d'urgence et que les sauvegardes ont été validées comme étant récupérables régulièrement par le biais de tests de DR.
Utilisation des stratégies Zero Trust
Geoffrey Burke : Quelles stratégies donneriez-vous aux personnes essayant d'atteindre ce qui précède ?
Jason Garbis : C'est une conversation d'une heure entière. J'ai vu des situations vraiment mauvaises où vous obtenez de la résistance de la part des personnes non sécuritaires dans l'entreprise. Il y a de nombreuses mauvaises façons de faire les choses, mais il y a aussi de nombreuses bonnes façons de faire les choses. Il y a un équilibre clair entre la carotte et le bâton en termes de motivation ou de contrainte des gens à suivre ces procédures.
Nous savons qu'aller en tant qu'équipe de sécurité et, métaphoriquement, frapper les gens sur la tête avec un bâton en disant : "Non, vous devez faire cela", n'est pas une excellente façon d'imposer les choses, mais parfois, vous devez avoir des éléments de cela.
Nous regardons ce que nos entreprises font aujourd'hui. Je ne pense pas que quiconque revendiquera la victoire et dira que nous faisons du bon travail. Nous sommes dans un environnement d'adversité. Nous, en tant que société, avons maîtrisé tant de choses techniques, comme l'ingénierie électrique, le transport, la communication et la médecine.
Dans toutes ces choses, nous avons réalisé des avancées phénoménales, pourtant nous sommes vraiment mauvais en matière de sécurité de manière objective.
Nous avons des adversaires qui sont tout aussi innovants, bien financés et malveillants et qui suivent le rythme de nos contre-mesures d'investissement. Ainsi, les équipes de sécurité doivent reconnaître qu'elles ont la responsabilité d'améliorer la sécurité de leur entreprise, et les gens devront accepter des changements à cet égard.
Nous devons grandir en tant qu'industrie, et les équipes de sécurité doivent reconnaître qu'il faut simplement faire les bases correctement. Vous ne pouvez pas avoir des personnes déployant des serveurs ou des services sur votre réseau dont vous n'êtes pas au courant et qui ne sont pas classés de la bonne manière.
C'est tout simplement inacceptable.
De même, les utilisateurs ne peuvent pas simplement connecter des appareils aléatoires au réseau et accéder à des choses. La bonne nouvelle est qu'avec l'ensemble moderne de technologies liées à la sécurité, nous pouvons améliorer l'expérience utilisateur et la sécurité. Nous pouvons adopter l'authentification biométrique, l'authentification sans mot de passe et d'autres mesures. Une initiative de zéro confiance peut apporter de la valeur à l'entreprise de plusieurs manières, et la bonne approche est d'utiliser un peu de bâton et beaucoup de carottes.
Geoffrey Burke : Nous ne possédons pas nécessairement tout dans nos environnements. Prenez la chaîne d'approvisionnement, par exemple. L'industrie informatique prend-elle cela au sérieux et est-elle capable d'appliquer les principes de zéro confiance dans des endroits comme celui-là ?
Jason Garbis : Oui, et il y a une initiative significative, surtout dans le gouvernement, autour des S bombs, des factures de matériaux logiciels, et de la compréhension de leur provenance. Si vous lisez certaines des directives de la NSA sur le zéro confiance concernant les appareils, elles vont en profondeur sur ce sujet, comme vous pouvez l'imaginer.
- Des questions comme d'où vient ce matériel ?
- Comment savez-vous que ce matériel n'a pas été altéré ?
- Avez-vous des composants malveillants intégrés là-dedans ?
Prenez, par exemple, ce qui s'est passé récemment. Heureusement, une bibliothèque open-source avec du code malveillant intégré a été interceptée avant sa diffusion. Si j'étais un acteur malveillant, je poursuivrais une voie vraiment intéressante : m'intégrer dans un projet open-source, contribuer pendant quelques années, puis insérer du code malveillant dans le projet.
Donc, je veux terminer le dernier point là, vous savez, la violation présumée, ce qui me semble évident ici. Vous ne pourrez pas valider chaque morceau de code open-source présent dans votre environnement. Il y a un niveau de confiance que vous devez avoir dans la communauté, et clairement, vous devriez faire cela pour le scan du code source de vos applications personnalisées, vous savez, dynamique et statique et des choses comme ça, mais.
Vous voulez également atteindre un point où il n'y a pas de jour entre ce que vous attendez d'une application ou d'un système sur le réseau et ce qu'il fait réellement.
Geoffrey Burke : C'est un bon point. J'allais aussi vous interroger sur l'avenir parce que j'étais à la Conférence de sécurité de Winnipeg en avril, et leur grand conférencier invité était Mike Rogers, l'Amiral Mike Rogers, ancien chef de Qu'est-ce qui vous fait le plus peur ? Qu'est-ce qui vous empêche de dormir la nuit ? Il m'a surpris en disant que dans les trois prochaines années, ce sera une combinaison d'IA et d'informatique quantique. Vous savez, je pensais à 10-15 ans.
Jason Garbis : Je vais commencer par parler de la chose facile : je ne suis pas très inquiet pour le quantique en ce moment. Bien qu'il y ait clairement un ensemble de fournisseurs et de chercheurs qui s'y intéressent beaucoup, ils n'investissent pas dans le quantique ou l'agilité cryptographique pour l'instant. Ils veulent en être conscients, mais ils ne sont pas prêts. Quand le moment viendra, ils pourront compter sur leurs bibliothèques ou fournisseurs pour mettre à jour les algorithmes résistants au quantique.
Je ne travaille pas dans la communauté du renseignement mais dans le secteur privé commercial et même pour des agences fédérales non-DoD. Nous reconnaissons que cela arrive, mais ils ne font pas de manière proactive des choses comme passer à différents algorithmes. Donc, je ne suis pas très inquiet à ce sujet. Cela viendra, et il y aura beaucoup de travail. Ce sera, vous savez, comme le problème de l'an 2000 multiplié par dix.
C'est un excellent exemple de quand l'industrie a investi beaucoup de travail, et cela est devenu un non-problème lorsque le changement de millénaire est arrivé grâce à tous les investissements et travaux. Je pense que nous verrons la même chose avec l'informatique quantique.
L'IA, je crois, est un problème beaucoup plus grand. Ce n'est pas tant d'un angle de sécurité directe parce que l'IA n'est pas créative. Elle ne créera pas une toute nouvelle façon d'attaquer, mais elle vous permettra d'amplifier l'ensemble actuel des méthodes d'attaque par 100, 1000 ou 1 000 000. Les organisations doivent être prêtes pour cela, mais je dirais que le problème le plus difficile vient des deepfakes et de l'incapacité à distinguer une interaction avec quelqu'un ou quelque chose.
Nous avons tous vu cela comme réel contre faux, où vous obtenez des entités générées par l'IA lors d'un appel Zoom comme celui-ci. Je veux dire, comment savez-vous que je suis réel et non généré par l'IA ?
L'avenir du Zero Trust
Geoffrey Burke : Voyez-vous le zero trust évoluer davantage ? Que voyez-vous dans l'avenir à cet égard ?
Jason Garbis : Il y a plusieurs angles ici. Clairement, un système d'IA doit être protégé de la bonne manière, tout comme toute application précieuse que vous souhaitez appliquer à vos principes de confiance.
La notion de contexte n'a pas encore trouvé sa place dans aucune application, encore moins dans les applications d'IA, donc nous ne pouvons pas dire que nous allons au modèle d'IA, et qu'il va vous retourner potentiellement des informations différentes en fonction des attributs vous concernant. Nous ne sommes pas à ce stade dans l'industrie.
Je pense qu'il y a un besoin général pour cela, qui est la capacité de toute application, qu'il s'agisse d'IA ou d'une application standard, d'être consciente et de consommer le contexte de zero trust et de prendre des décisions basées sur cela.
Un exemple vraiment simple est la localisation géographique. Nous avons une application qui contient des données. Vous pouvez y accéder en fonction de votre emplacement, selon les réglementations sur la protection des données ou la vie privée. C'est un type de chose très basique, mais il est plus difficile que vous ne le pensez de garantir que nous pouvons rester productifs car cela repose sur des données ou des métadonnées appropriées.
Geoffrey Burke : Disons que je suis complètement nouveau au Zero Trust. Je vois que Veeam et Numberline ont développé cette nouvelle Résilience des données Zero Trust pratique.
Comment cela est-il arrivé ? Qu'est-ce que le ZTDR en résumé ? Comment l'appliquons-nous ?
Jason Garbis : Nous avons examiné l'état de l'industrie, en particulier le modèle de maturité du zero trust. J'ai mentionné les piliers qu'il couvre, y compris les dispositifs d'identité, les réseaux, les charges de travail des applications et les données. Cependant, il y a des lacunes dans des domaines où ce modèle est silencieux. En particulier, il ne mentionne rien sur la sauvegarde et la récupération des données. Nous voulions fournir des conseils et un leadership éclairé autour de ce sujet. Comment les gens devraient-ils appliquer les principes de zero trust aux domaines des données, de la sauvegarde et de la récupération ? Nous avons créé ce concept appelé Résilience des données Zero Trust.
Nous étendons le Modèle Zero Trust et fournissons des concepts et un chemin de maturité dans ce domaine.
Résilience des données Zero Trust est construit sur trois concepts principaux :
- Tout d'abord, suivez le principe de segmentation et de séparation du Zero Trust : Vous devez séparer votre logiciel de sauvegarde de votre stockage de sauvegarde. Ils doivent être géographiquement isolés et avoir des points de contrôle différents. Dans le modèle de violation présumée, si l'un de ces composants est compromis, vous voulez vous assurer que l'autre ne l'est pas.
- Le deuxième principe est d'activer plusieurs zones résilientes. Nous sommes tous familiers avec le concept 3-2-1, et cela l'étend en disant que vous devez vous assurer que ces sauvegardes se trouvent dans des endroits géographiquement distribués.
- Ensuite, le troisième élément est l'immuabilité. Les données de sauvegarde doivent être immuables et soutenues par la bonne plateforme afin que vous soyez protégé même en cas de violation par quelqu'un qui peut supprimer ces données de sauvegarde. Ce sont donc les trois concepts fondamentaux, puis nous formalisons cela un peu en définissant quelques capacités supplémentaires.
Par exemple, modéliser comment votre système de sauvegarde et de récupération accède aux sources de données sauvegardant l'entreprise, en s'assurant que les systèmes de production sont surveillés, et le système de surveillance doit également être protégé par des politiques de zero trust. De même, l'accès au stockage de sauvegarde, tant en lecture qu'en écriture, doit être protégé par des politiques de zero trust afin que seules les bonnes entités (le logiciel de sauvegarde) puissent lire et écrire.
L'accès à l'administration de la sauvegarde, comme tout système privilégié, doit être soigneusement contrôlé et une authentification forte appliquée.
Vous vous assurez que même lorsque votre personne principale est, vous savez, en vacances ou absente, quelqu'un sait comment suivre le runbook avec succès. Ces types de choses constituent tout ce concept de résilience des données en zero trust. Donc, nous avons donné cela à l'industrie, et cela fournit une feuille de route pour le faire. Cela permet également aux équipes de sauvegarde et de récupération d'avoir des conversations éclairées avec l'équipe de sécurité sur l'ajout de la protection des données aux initiatives globales de Zero Trust.
Que vient-il ensuite ?
Geoffrey Burke : En guise de dernière question, quels sont vos projets pour l'avenir ? Vous vous voyez écrire un autre livre. Vous avez déjà écrit deux livres, du moins sur le zéro confiance, n'est-ce pas ?
Jason Garbis : Oui, c'est exact. J'ai passé beaucoup de temps à travailler avec des entreprises sur leur stratégie et leur architecture de zéro confiance. C'est-à-dire que j'apprécie vraiment de faire cela. J'ai appris quelque chose de chaque engagement, et en faisant cela, je perfectionne continuellement le modèle, l'approche et la méthodologie qui l'entourent. Donc, c'est quelque chose que je veux continuer à faire, aider les entreprises et perfectionner et améliorer ce modèle. C'est quelque chose qui devient plus mature, et je le partagerai avec la communauté au sens large.
Je suis aux premières étapes de réflexion sur à quoi ressemblerait une deuxième édition du livre, avec un champ d'application élargi et un véritable accent sur cela. Créer et fournir des conseils pratiques sur la façon d'appliquer ce modèle de maturité. Comment créez-vous une feuille de route ? Comment cartographiez-vous les capacités de votre plateforme par rapport à l'objectif ultime ? Quelle est la définition et l'application de ces politiques d'accès ?
Geoffrey Burke : Comment restez-vous dans les tranchées tout en travaillant également en tant qu'éducateur ? Il y a toujours un dilemme : si vous devenez enseignant, vous devenez plus théoricien. Vous n'êtes pas sur le terrain à vous battre, donc vous commencez à ressentir une sorte de séparation. Êtes-vous toujours impliqué au niveau du travail, comme au niveau des tranchées de zéro confiance, en plus d'écrire les livres ?
Jason Garbis : Oui, et il n'y a pas de substitut au travail vraiment difficile d'être sur site avec un client et une entreprise, de mener un atelier de deux jours et d'interviewer des dizaines de personnes pour comprendre.
- Comment gèrent-ils la gestion des identités ?
- Comment gèrent-ils leurs réseaux ?
- À quoi ressemble leur stratégie de protection des données ou de sécurité des données ?
C'est un travail difficile, mais c'est aussi revigorant d'en apprendre davantage à ce sujet parce que, comme je l'ai dit, j'ai appris quelque chose de chacun d'eux. Je partage cela et j'y réfléchis avec chaque entreprise avec laquelle je travaille à l'avenir.