Une version antérieure de ce billet de blog a été publiée sur NASDAQ le 1er juin 2023
Si l'on fait abstraction du jargon, des politiques, des titres et des normes, la cybersécurité a toujours été une affaire de chiffres. Les équipes de sécurité doivent protéger X utilisateurs, applications, droits et environnements. Les organisations s'appuient sur Y professionnels de la sécurité pour protéger ces ressources. Elles disposent d'un budget Z à consacrer aux technologies, aux outils et à la formation.
Ces chiffres nous échappent. L'univers de l'identité s'étend bien plus vite que les acteurs humains ne peuvent le faire : en un an et demi, le monde de l'identité est en pleine expansion. 2021 plus de 80% des personnes interrogées ont déclaré que le nombre d'identités qu'elles géraient avait plus que doublé, et 25% ont fait état d'une multiplication par 10.
Et ce n'est pas seulement que nous créons plus d'identités - nous créons des identités qui peuvent faire bien plus que nécessaire. En gros 98% des autorisations ne sont pas utilisées. Ces risques augmentent au fur et à mesure que les entreprises ajoutent des environnements en nuage : Gartner prévoit que "la gestion inadéquate des identités, des accès et des privilèges sera à l'origine de 75% de défaillances de la sécurité de l'informatique en nuage" cette année, et que la moitié des entreprises exposeront par erreur certaines de leurs ressources directement au public.
Il n'est donc pas surprenant que les 58% des fois, les équipes de sécurité découvrent qu'elles ont été victimes d'une intrusion par l'intermédiaire d'un acteur de la menace. C'est exact : plus de la moitié du temps, les organisations n'ont appris qu'elles avaient été battues que lorsque les malfaiteurs leur ont annoncé qu'elles avaient perdu.
À maintes reprises, nous avons vu des acteurs menaçants exploiter ces chiffres en attaquant les infrastructures d'identité des organisations et en lançant certaines des cyberattaques les plus médiatisées et les plus préjudiciables de mémoire récente. Colonial Pipeline, SolarWinds, LAPSUS$ et les acteurs de la menace parrainés par l'État ont tous démontré à quel point les infrastructures d'identité sont devenues vastes, interconnectées et vulnérables.
Ne vous méprenez pas : je ne veux pas blâmer les équipes de cybersécurité pour ces violations. Ce n'est pas seulement que leurs adversaires ont été intelligents, ou chanceux, ou les deux. Ce n'est pas seulement que les organisations privées ne peuvent pas rivaliser avec les ressources d'un État-nation. En se concentrant sur ces variables, on passe à côté de l'essentiel, à savoir qu'on ne peut plus attendre des acteurs humains qu'ils assurent la sécurité, la conformité et la commodité du parc informatique d'une organisation. La vitesse, la portée et la complexité de ce que nous devons protéger ont augmenté de plusieurs magnitudes au-delà de ce que l'esprit humain peut même concevoir, et encore moins sécuriser.
Ce n'est pas que les chiffres ne s'additionnent pas, c'est que leur somme dépasse les capacités humaines.
Compte tenu de la taille et de la complexité de l'univers informatique actuel - et de la taille et de la complexité qu'il est appelé à prendre - il n'est pas raisonnable d'attendre des équipes chargées de l'identité et de la sécurité qu'elles créent des univers informatiques sûrs, conformes et pratiques. Je ne pense pas que les humains peut le faire de leur propre chef.
La bonne nouvelle, c'est qu'ils n'ont pas à le faire. Alors que l'univers de l'identité s'étend au-delà des capacités humaines, l'intelligence artificielle (IA) a atteint un point où elle peut contribuer à sécuriser l'ensemble du cycle de vie de l'identité. Nous créons de nouveaux outils adaptés à ce moment et capables de protéger les lacunes et les angles morts exploités par les acteurs de la menace.
L'IA est adaptée à ce moment parce qu'elle est capable de faire quelque chose que les humains ont toujours eu du mal à faire : donner un sens à de grandes quantités de données rapidement.
À titre d'exemple, rappelons que 98% des droits ne sont jamais utilisés. C'est probablement le résultat d'un surprovisionnement des comptes par les équipes informatiques et d'identité dès l'intégration d'un nouvel utilisateur et la création d'un compte. Nous avons trop de droits intégrés dès le départ et nous ne pouvons pas réagir assez rapidement pour fournir l'accès approprié en cas de besoin.
Les humains ont tendance à voir le monde en approximations grossières : nous pensons que l'ingénierie a besoin d'accéder au serveur Dev, que l'équipe Ops a besoin d'accéder au serveur Prod et que les administrateurs ont besoin d'accéder aux deux. De nombreuses solutions de gouvernance reposent sur ces approximations grossières : le contrôle d'accès basé sur les rôles (RBAC) attribue des privilèges en fonction du service auquel une personne est affectée au sein d'une organisation. Les employés du marketing devraient avoir accès aux droits A, B et C, tandis que les employés de la finance devraient avoir accès aux droits D, E et F.
Et si les approximations grossières sont utiles, elles sont fondamentalement en contradiction avec la directive "confiance zéro" qui consiste à fournir le strict minimum de droits nécessaires à l'accomplissement d'un rôle. La confiance zéro exige une analyse et une prise de décision fine et juste à temps. Pour parvenir à la confiance zéro, il faut avoir une compréhension quasi moléculaire de l'utilisateur, de ce dont il a besoin, quand il en a besoin, comment il doit l'utiliser et pourquoi. Il faut également réexaminer ces informations presque à chaque instant et s'assurer en permanence que la demande est appropriée.
Les humains ne peuvent pas fonctionner à ce niveau ou à cette vitesse. L'IA, elle, le peut. Une machine n'est pas intimidée par des milliers d'utilisateurs dont les droits changent par millions à chaque seconde. Au contraire, une machine peut devenir plus efficace en apprenant à partir d'un ensemble de données plus large. Alors que les humains peuvent être submergés par une telle quantité de données, les machines peuvent les utiliser pour développer une cybersécurité plus forte, meilleure et plus rapide.
Je l'ai déjà dit, mais cela vaut la peine de le répéter : nous n'avons aucune chance d'atteindre la confiance zéro sans l'IA.
Nous avons pu constater par nous-mêmes les contributions de l'IA à la cybersécurité. Depuis près de 20 ans, RSA utilise l'apprentissage automatique et l'analyse comportementale pour améliorer l'authentification des clients. Notre capacité Risk AI apprend le comportement typique de chaque utilisateur, puis applique des signaux contextuels, y compris l'heure à laquelle un utilisateur fait une demande, l'appareil qu'il utilise, son adresse IP, ses habitudes d'accès et d'autres facteurs, pour obtenir un score de confiance de l'identité et, si nécessaire, automatiser l'authentification de niveau supérieur.
Et il ne s'agit que de l'authentification : les organisations peuvent obtenir de meilleurs résultats, une plus grande valeur et une sécurité plus forte en appliquant l'intelligence de l'identité à travers une plate-forme d'identité unifiée qui intègre l'authentification avec l'accès, la gouvernance et le cycle de vie. RSA a récemment annoncé de nouvelles capacités automatisées d'intelligence de l'identité pour Gouvernance et cycle de vie de l'ASR. Bientôt, nous ajouterons à nos solutions des tableaux de bord et des informations supplémentaires pour aider les clients à comprendre leur position globale en matière de risques d'accès, à identifier les utilisateurs, les applications et les sites à haut risque, et à déterminer les changements de politique nécessaires pour mieux sécuriser les actifs critiques.
L'identité a toujours été le bouclier d'une organisation. L'identité nous dit qui nous devons laisser entrer et établit comment nous vérifions que quelqu'un est bien celui qu'il prétend être. Elle dicte ce à quoi nos utilisateurs doivent avoir accès.
L'identité crée les défenses initiales et les plus critiques de chaque organisation. Mais si l'identité est le bouclier du défenseur, elle est aussi la cible de l'attaquant. En fait, l'identité est la partie la plus attaquée de la surface d'attaque : 84% des organisations ont signalé une violation liée à l'identité en 2022, selon la Alliance pour la sécurité définie par l'identité. Verizon a constaté que les mots de passe étaient la cause principale de toutes les violations de données. chaque année depuis 15 ans.
Nous ne pouvons pas attendre que le centre d'opérations de sécurité (SOC) intervienne : un univers d'identité en croissance rapide signifie plus de points d'extrémité, de trafic réseau et d'infrastructure en nuage à surveiller. Les équipes SOC n'ont déjà aucune visibilité sur les menaces liées à l'identité telles que la force brute, les tables arc-en-ciel ou l'activité inhabituelle des utilisateurs - il n'est pas raisonnable d'attendre d'elles qu'elles s'attaquent aux menaces liées à l'identité maintenant qu'elles deviennent plus prononcées.
Avec un SOC débordé et une identité attaquée, l'identité doit s'adapter. Il ne suffit pas qu'une plateforme d'identité soit excellente en matière de défense. À l'avenir, l'identité devra également être excellente en matière d'autodéfense.
Nous devons créer des plateformes qui assurent intrinsèquement la détection et la réponse aux menaces liées à l'identité (ITDR), non pas comme une fonction ou une option, mais comme un élément fondamental de leur nature.
Notre industrie s'efforce de développer ces capacités. Chez RSA, nous développons l'authentification basée sur le risque à travers notre plate-forme d'identité unifiée pour prévenir les risques, détecter les menaces et automatiser les réponses.
Nous devons donner la priorité à ce travail, car nos adversaires utilisent déjà l'IA pour affiner et accélérer leurs attaques. L'IA peut écrire logiciel malveillant polymorphe, améliorer et exécuter campagnes d'hameçonnage, et même de pirater le jugement et le raisonnement humains de base avec des fausses couches.
L'intégration de l'IA dans la cybersécurité sera une tâche difficile mais essentielle. Elle se traduira à terme par une cybersécurité meilleure, plus intelligente, plus rapide et plus solide. Notre secteur n'en est qu'à ses débuts dans l'utilisation de l'IA pour sécuriser les organisations, mais les signes sont prometteurs : IBM a révélé que les organisations ayant déployé une sécurité IA et une automatisation complètes ont réduit de 74 jours le temps nécessaire pour identifier et contenir une violation et ont réduit le coût d'une violation de données de plus de $3 millions.
Mais cela ne se fera pas sans difficultés : nous, les êtres humains, sommes confrontés à un problème de santé publique en suspens. crise d'identité. Les professionnels de la cybersécurité devront réimaginer leur rôle aux côtés de l'IA. Nous devrons acquérir de nouvelles compétences en matière de formation, de supervision, de contrôle et même de protection de l'IA. Nous devrons donner la priorité à l'amélioration de l'IA questions, Il s'agit d'un système de gestion de l'information, qui définit ses politiques et affine ses algorithmes afin de garder une longueur d'avance sur nos adversaires.
En fin de compte, ce n'est pas seulement la technologie qui doit évoluer. Nous sommes tous concernés.
