Interviews Prêtes à l'Emploi : Jason Garbis Expert en Zero Trust
Geoffrey Burke: Bonjour à tous, nous avons avec nous aujourd'hui un expert en Zero Trust et auteur de nombreux travaux sur le ZTDR.
Bienvenue Jason, parlez-nous un peu de vous.
Jason Garbis: J'ai passé toute ma carrière dans l'industrie technologique, ce qui fait presque 35 ans à ce jour. Cela me rend donc extrêmement vieux.
J'ai commencé en tant qu'ingénieur logiciel, écrivant du code C et C++ pour des systèmes distribués. Dans ce rôle, j'ai non seulement compris comment fonctionnent réellement les systèmes logiciels, mais aussi comment fonctionnent les architectures d'entreprise. Après cela, je suis passé à un rôle de consultant en services professionnels pour un fournisseur de middleware. Dans ce rôle, j'ai eu l'opportunité de voyager, de visiter et de travailler avec de nombreuses entreprises qui utilisaient le middleware de ce fournisseur particulier pour construire des systèmes distribués à grande échelle. Cela m'a exposé à la vue d'ensemble des défis d'entreprise.
J'ai commencé à entrer dans le monde de la sécurité il y a environ 15 ans, en travaillant dans le domaine de la gestion des identités : identité, gouvernance et gestion du cycle de vie. De là, je suis passé à ce que nous appelons aujourd'hui l'accès réseau Zero Trust, en travaillant pour un fournisseur dans cet espace. Je dirigeais l'équipe de gestion de produits là-bas, mais j'ai également pris un rôle de leadership avec la Cloud Security Alliance en tant que membre du groupe de travail sur le périmètre défini par logiciel à l'époque.
Aujourd'hui, je dirige ce groupe, et nous l'avons transformé et élargi pour nous concentrer sur le zero trust. Dans ces rôles, je travaille beaucoup avec des entreprises et avec des personnes occupant différents postes, comme l'équipe de sécurité, l'équipe informatique, et maintenant, au cours des dernières années, avec les personnes ici chez Object first, l'équipe de protection des données, de sauvegarde et de récupération.
Parlons de Zero Trust
Geoffrey Burke: Où avez-vous entendu parler du Zero Trust pour la première fois ? Était-ce plus d'un point de vue réseau ?
Jason Garbis: Je pense que c'était vers 2015. Je travaillais pour une entreprise de gestion des identités, qui a été acquise par RSA en 2013. C'était juste après ou peu après la publication du premier document sur le zero trust par John Kinderrock chez Forester. C'était en 2010, donc j'en avais une certaine connaissance. Ensuite, j'ai quitté RSA et rejoint une entreprise qui lançait ce que nous appelons aujourd'hui une solution d'accès réseau zero trust.
Dans cet espace, j'ai été exposé au concept de zero trust et j'ai réalisé que c'était vraiment intéressant. Cela prend tout ce que j'ai fait autour de la gestion des identités, de la gouvernance des identités et des meilleures pratiques et l'applique à un niveau réseau réel.
Dans le monde de la gestion des identités, vous devez vous assurer de comprendre qui devrait avoir accès à quoi. La gouvernance des identités fait des choses d'un point de vue des processus métier, en s'assurant que les personnes sont dans les bons groupes et en appliquant la séparation des fonctions. Cependant, il n'y avait jamais eu de véritable application stricte.
Ensuite, nous sommes passés dans le monde du zero trust et avons reconnu que vous devez l'appliquer au niveau du réseau également, car il y a tant de vulnérabilités et tant de surface d'attaque qui peuvent être exploitées que vous avez besoin de ces politiques conscientes de l'identité et contextuellement conscientes pour être appliquées au niveau des processus, au niveau de l'identité, au niveau de l'application et au niveau du réseau.
Geoffrey Burke: Les ransomwares ont dû considérablement renforcer le besoin de Zero Trust dans l'industrie. L'un des principes fondamentaux du zero trust est de supposer une violation. Pensez-vous que les professionnels de l'informatique ont accepté ce concept ?
Jason Garbis: Oui, je pense que nous pouvons tous constater la prévalence, les dommages et la fréquence de ces attaques de ransomware majeures et comprendre à quel point notre paysage de menaces est difficile. Le principe de supposer une violation, de segmenter votre réseau et d'appliquer le principe du moindre privilège est un excellent antidote aux ransomwares et garantit que vous rendez la tâche plus difficile aux attaquants.
Supposer une violation
Geoffrey Burke: L'un des défis du Zero Trust et de l'idée de supposer une violation est que vous dites essentiellement que votre système a été compromis avant le fait. Certains managers pourraient ne pas apprécier ce genre de vision pessimiste.
Jason Garbis: Vous soulevez un point intéressant, et c'est l'une des raisons pour lesquelles nous avons besoin du zero trust. Lorsque vous parlez aux équipes de réseau d'entreprise et écoutez ce qu'elles ont dû faire, cela a été très difficile car elles n'ont pas eu les outils de sécurité ou le vocabulaire pour appliquer de véritables politiques d'accès. Les équipes réseau ont dû changer leur focus. Leurs objectifs dans le passé étaient principalement de construire des réseaux fiables, rapides et résilients, mais elles n'ont pas eu la capacité d'appliquer la sécurité à laquelle le réseau est lié. Des choses comme l'identité et le contexte. Avant, c'était comme si nous ne savions rien sur l'application. Nous ne savons rien sur l'utilisateur, et si notre utilisateur est malveillant, devinez quoi ? Leurs paquets malveillants arriveront aussi rapidement et de manière fiable que ceux de tout le monde.
Le Zero Trust vous donne maintenant la possibilité de vous éloigner de cela et de dire que nous savons quelle identité est sur cet appareil, et nous allons soit autoriser, soit interdire ces paquets en fonction de la politique.
Geoffrey Burke: Est-il vrai qu'aujourd'hui, les équipes de protection des données et de sécurité doivent travailler ensemble plus que jamais en raison de la grande variété de menaces ?
Jason Garbis: Oui, absolument. Vous avez soulevé un point important : la nécessité pour les équipes de sécurité et les équipes de sauvegarde et de récupération des données de travailler ensemble et de reconnaître que, d'abord, tout ce que nous faisons dans notre entreprise est désormais numérisé. Tout fonctionne dessus, et donc, tout est une cible et doit être sécurisé. Il n'est pas juste de traiter le système de données, de sauvegarde et de récupération comme une autre application, car ce n'est pas le cas. C'est une énorme cible pour les attaquants. C'est aussi un parachute d'urgence.
Si vous êtes attaqué et que vous avez investi tout cet argent dans des systèmes de récupération de sauvegarde, vous voulez vous assurer qu'ils sont toujours disponibles en cas d'urgence et que les sauvegardes ont été validées comme étant récupérables régulièrement par le biais de tests de DR.
Utilisation des stratégies Zero Trust
Geoffrey Burke: Quelles stratégies donneriez-vous aux personnes essayant d'atteindre ce qui précède ?
Jason Garbis: C'est une conversation qui pourrait durer une heure. J'ai vu des situations vraiment mauvaises où vous obtenez de la résistance de la part des personnes non sécuritaires dans l'entreprise. Il y a de nombreuses mauvaises façons de faire les choses, mais il y a aussi de nombreuses bonnes façons de faire les choses. Il y a un équilibre clair entre la carotte et le bâton en termes de motivation ou de contrainte des gens à suivre ces procédures.
Nous savons que sortir en tant qu'équipe de sécurité et, métaphoriquement, frapper les gens sur la tête avec un bâton en disant : "Non, vous devez faire cela", n'est pas une excellente façon d'appliquer les choses, mais parfois, vous devez avoir des éléments de cela.
Nous regardons ce que nos entreprises font aujourd'hui. Je ne pense pas que quiconque puisse revendiquer la victoire et dire que nous faisons bien. Nous sommes dans un environnement d'adversité. Nous, en tant que société, avons maîtrisé tant de choses techniques, comme l'ingénierie électrique, le transport, la communication et la médecine.
Dans toutes ces choses, nous avons fait des avancées phénoménales, pourtant nous sommes vraiment mauvais en matière de sécurité de manière objective.
Nous avons des adversaires qui sont tout aussi innovants, bien financés et malveillants et qui suivent le rythme de nos contre-mesures d'investissement. Ainsi, les équipes de sécurité doivent reconnaître qu'elles ont la responsabilité d'améliorer la sécurité de leur entreprise, et les gens devront accepter des changements à cet égard.
Nous devons grandir en tant qu'industrie, et les équipes de sécurité doivent reconnaître que vous devez simplement faire les bases correctement. Vous ne pouvez pas avoir des personnes déployant des serveurs ou des services sur votre réseau dont vous n'êtes pas au courant et qui ne sont pas classés de la bonne manière.
C'est tout simplement inacceptable.
De même, les utilisateurs ne peuvent pas simplement connecter des appareils aléatoires au réseau et accéder à des choses. La bonne nouvelle est qu'avec l'ensemble moderne de technologies liées à la sécurité, nous pouvons améliorer l'expérience utilisateur et la sécurité. Nous pouvons adopter l'authentification biométrique, l'authentification sans mot de passe et d'autres mesures. Une initiative de zero trust peut apporter de la valeur à l'entreprise de nombreuses manières, et la bonne approche est d'utiliser un peu de bâton et beaucoup de carottes.
Geoffrey Burke: Nous ne possédons pas nécessairement tout dans nos environnements. Prenez la chaîne d'approvisionnement, par exemple. L'industrie informatique prend-elle cela au sérieux et est-elle capable d'appliquer les principes du zero trust dans des endroits comme celui-ci ?
Jason Garbis: Oui, et il y a une initiative significative, en particulier dans le gouvernement, autour des S bombs, des factures de matériaux logiciels, et de la compréhension de leur provenance. Si vous lisez certaines des directives de la NSA sur le zero trust concernant les appareils, elles vont en profondeur à ce sujet, comme vous pouvez l'imaginer.
- Des questions comme d'où vient ce matériel ?
- Comment savez-vous que ce matériel n'a pas été altéré ?
- Avez-vous des composants malveillants intégrés là-dedans ?
Prenons, par exemple, ce qui s'est passé récemment. Heureusement, une bibliothèque open-source avec du code malveillant intégré a été interceptée avant sa diffusion. Si j'étais un acteur malveillant, je poursuivrais une voie vraiment intéressante : m'intégrer dans un projet open-source, contribuer pendant quelques années, puis placer du code malveillant dans le projet.
Je veux donc terminer le dernier point ici, vous savez, la violation supposée, qui je pense est évidente ici. Vous ne pourrez pas valider chaque morceau de code open source présent dans votre environnement. Il y a un niveau de confiance que vous devez avoir dans la communauté, et clairement, vous devriez faire cela pour le scan du code source de vos applications personnalisées, vous savez, dynamique et statique et des choses comme ça, mais.
Vous voulez également atteindre un point où il n'y a pas de jour entre ce que vous attendez d'une application ou d'un système sur le réseau et ce qu'il fait réellement.
Geoffrey Burke: C'est un bon point. Je voulais aussi vous demander sur l'avenir parce que j'étais à la Conférence de sécurité de Winnipeg en avril, et leur grand conférencier invité était Mike Rogers, l'amiral Mike Rogers, ancien chef de la Qu'est-ce qui vous fait le plus peur ? Qu'est-ce qui vous empêche de dormir la nuit ? Il m'a surpris en disant que dans les trois prochaines années, ce sera une combinaison d'IA et d'informatique quantique. Vous savez, je pensais à 10-15 ans.
Jason Garbis: Je vais commencer par parler de la partie facile : je ne suis pas très inquiet pour le quantique en ce moment. Bien qu'il y ait clairement un ensemble de fournisseurs et de chercheurs qui s'y intéressent beaucoup, ils n'investissent pas dans le quantique ou l'agilité cryptographique pour le moment. Ils veulent en être conscients, mais ils ne sont pas prêts. Quand le moment viendra, ils pourront compter sur leurs bibliothèques ou fournisseurs pour mettre à jour les algorithmes résistants au quantique.
Je ne travaille pas dans la communauté du renseignement mais dans le secteur privé commercial et même pour des agences fédérales non-DoD. Nous reconnaissons que cela arrive, mais ils ne font pas de choses proactives comme passer à différents algorithmes. Donc, je ne suis pas très inquiet à ce sujet. Cela viendra, et il y aura beaucoup de travail. Ce sera, vous savez, comme le problème du Y2K multiplié par dix.
C'est un excellent exemple de quand l'industrie a investi beaucoup de travail, et cela est devenu un non-problème lorsque le changement de millénaire est arrivé grâce à tous les investissements et travaux. Je pense que nous verrons la même chose avec l'informatique quantique.
L'IA, je crois, est un problème beaucoup plus important. Ce n'est pas tant d'un angle de sécurité directe parce que l'IA n'est pas créative. Elle ne va pas créer une toute nouvelle façon d'attaquer, mais elle vous permettra d'amplifier l'ensemble actuel des méthodes d'attaque par 100, 1000 ou 1 000 000. Les organisations doivent être prêtes pour cela, mais je dirais que le problème le plus difficile vient des deepfakes et de l'incapacité à distinguer une interaction avec quelqu'un ou quelque chose.
Nous avons tous vu cela comme réel contre faux, où vous obtenez des entités générées par l'IA lors d'un appel Zoom comme celui-ci. Je veux dire, comment savez-vous que je suis réel et non généré par l'IA ?
L'avenir du Zero Trust
Geoffrey Burke: Voyez-vous le zero trust évoluer davantage ? Que voyez-vous dans l'avenir à cet égard ?
Jason Garbis: Il y a quelques angles ici. Clairement, un système d'IA doit être protégé de la bonne manière, tout comme toute application précieuse à laquelle vous souhaitez appliquer vos principes de confiance.
La notion de contexte n'a pas fait son chemin dans aucune application, encore moins dans les applications d'IA, donc nous ne pouvons pas dire que nous allons au modèle d'IA, et il va vous retourner potentiellement des informations différentes en fonction des attributs vous concernant. Nous ne sommes pas à ce point dans l'industrie.
Je pense qu'il y a un besoin pour cela en général, qui est la capacité pour toute application, qu'elle soit IA ou application standard, d'être consciente et de consommer le contexte de zero trust et de prendre des décisions basées là-dessus.
Un exemple vraiment simple est la localisation géographique. Nous avons une application qui contient des données. Vous pouvez y accéder en fonction de votre emplacement, en fonction des réglementations de protection des données ou de confidentialité. C'est un type de chose vraiment basique, mais il est plus difficile que vous ne le pensez de s'assurer que nous pouvons toujours être productifs car cela repose sur des données ou des métadonnées appropriées.
Geoffrey Burke: Disons que je suis tout nouveau dans le Zero Trust. Je vois que Veeam et Numberline ont développé cette nouvelle Résilience des données Zero Trust pratique.
Comment cela est-il arrivé ? Qu'est-ce que le ZTDR en un mot ? Comment l'appliquons-nous ?
Jason Garbis: Nous avons examiné l'état de l'industrie, en particulier le modèle de maturité du zero trust. J'ai mentionné les piliers qu'il couvre, y compris les identités, les appareils, les réseaux, les charges de travail des applications et les données. Cependant, il y a des lacunes dans des domaines où ce modèle est silencieux. En particulier, il ne mentionne rien sur la sauvegarde et la récupération des données. Nous voulions fournir des conseils et un leadership éclairé autour de ce sujet. Comment les gens devraient-ils appliquer les principes du zero trust aux domaines des données, de la sauvegarde et de la récupération ? Nous avons créé ce concept appelé Résilience des données Zero Trust.
Nous étendons le modèle Zero Trust et fournissons des concepts et un chemin de maturité dans ce domaine.
Résilience des données Zero Trust est construit sur trois concepts principaux :
- Tout d'abord, suivez le principe de segmentation et de séparation du Zero Trust : Vous devez séparer votre logiciel de sauvegarde de votre stockage de sauvegarde. Ils doivent être géographiquement isolés et avoir des points de contrôle différents. Dans le modèle de violation supposée, si l'un de ces composants est compromis, vous voulez vous assurer que l'autre ne l'est pas.
- Le deuxième principe est d'activer plusieurs zones résilientes. Nous connaissons tous le concept 3-2-1, et cela l'étend en disant que vous devez vous assurer que ces sauvegardes sont dans des endroits géographiquement distribués.
- Puis le troisième élément est l'immuabilité. Les données de sauvegarde doivent être immuables et soutenues par la bonne plateforme afin que vous soyez protégé même en cas de violation par quelqu'un qui peut supprimer ces données de sauvegarde. Ce sont donc les trois concepts fondamentaux, puis nous formalisons cela un peu en définissant quelques capacités supplémentaires.
Par exemple, modéliser comment votre système de sauvegarde et de récupération accède aux sources de données sauvegardant l'entreprise, en s'assurant que les systèmes de production sont surveillés, et le système de surveillance doit également être protégé par des politiques de zero trust. De même, l'accès au stockage de sauvegarde, tant pour la lecture que pour l'écriture, doit être protégé par des politiques de zero trust afin que seules les bonnes entités (le logiciel de sauvegarde) puissent lire et écrire.
L'accès à l'administration de la sauvegarde, comme tout système privilégié, doit être soigneusement contrôlé et une authentification forte appliquée.
Vous vous assurez que même lorsque votre personne principale est, vous savez, en vacances ou absente, quelqu'un sait comment suivre le runbook avec succès. Ces types de choses constituent tout ce concept de résilience des données zero trust. Nous avons donc donné cela à l'industrie, et cela fournit une feuille de route pour le faire. Cela permet également aux équipes de sauvegarde et de récupération d'avoir des conversations éclairées avec l'équipe de sécurité sur l'ajout de la protection des données aux initiatives globales de Zero Trust.
Que se passe-t-il ensuite ?
Geoffrey Burke: En guise de dernière question, quels sont vos projets pour l'avenir ? Vous vous voyez écrire un autre livre. Vous avez déjà écrit deux livres, au moins sur le zero trust, n'est-ce pas ?
Jason Garbis: Oui, je le fais. Je passe beaucoup de mon temps à travailler avec des entreprises sur leur stratégie et leur architecture zero trust. C'est-à-dire que j'apprécie vraiment cela. J'apprends quelque chose de chaque engagement, et en faisant cela, je perfectionne continuellement le modèle, l'approche et la méthodologie qui l'entourent. C'est donc quelque chose que je veux continuer à faire, aider les entreprises et perfectionner et améliorer ce modèle. C'est quelque chose qui devient plus mature, et je le partagerai avec la communauté au sens large.
Je suis aux premières étapes de réflexion sur à quoi ressemblerait une deuxième édition du livre, avec un champ d'application élargi et un véritable accent sur cela. Fournir des conseils pratiques sur la façon d'appliquer ce modèle de maturité. Comment créer une feuille de route ? Comment cartographier les capacités de votre plateforme vers l'objectif ultime ? Quelle est la définition et l'application de ces politiques d'accès ?
Geoffrey Burke: Comment restez-vous dans les tranchées tout en travaillant également en tant qu'éducateur ? Il y a toujours un dilemme : si vous devenez enseignant, vous devenez plus théoricien. Vous n'êtes pas sur le terrain à vous battre, donc vous commencez à ressentir une sorte de séparation. Êtes-vous toujours impliqué au niveau du travail, comme au niveau des tranchées du zero trust, en plus d'écrire des livres ?
Jason Garbis: Oui, et il n'y a pas de substitut au travail vraiment difficile d'être sur site avec un client et une entreprise, de mener un atelier de deux jours et d'interviewer des dizaines de personnes pour comprendre.
- Comment gèrent-ils la gestion des identités ?
- Comment gèrent-ils leurs réseaux ?
- À quoi ressemble leur stratégie de protection des données ou de sécurité des données ?
C'est un travail difficile, mais c'est aussi revigorant d'en apprendre davantage à ce sujet parce que, comme je l'ai dit, j'apprends quelque chose de chacun d'eux. Je partage cela et y réfléchis avec chaque entreprise avec laquelle je travaille à l'avenir.