La panique et le vrai problème

Votre organisation va paniquer. Tout le secteur de la sécurité de l'information est en émoi à propos des failles zero-day, de la micro-segmentation et du modèle zero-trust.

Je parie qu'ils sont tous tellement occupés à courir partout, et vu la lenteur de leur équipe EA, que personne n'a même eu le temps de s'en occuper. a demandé de l'aide.

Les alertes au tsunami illustrent bien ce phénomène. Elles sont émises tôt, non pas pour provoquer la panique, mais pour vous donner le temps de réagir. Là où j'habite, Victoria (Colombie-Britannique), J'ai vu trois alertes de ce type cette année, chacune avec un préavis de 8 à 12 heures. Alors, si personne ne vous l'a demandé, préparez-vous. Le temps presse et vous n'avez pas à attendre. Il y a plusieurs points à prendre en compte. TOGAF ADM où la méthode formelle prend en charge un demande de travaux d'architecture rédigée par le demandeur lui-même. J'apprécie le pragmatisme qui est au cœur de la TOGAF.

Nous nous sommes immédiatement heurtés au premier défi critique de notre méthodologie : quel est le problème que nous sommes en train de concevoir ? La phase A de l'ADM a distingué la ' demande ' (Demande de travaux d'architecture) du véritable problème architectural (Déclaration des travaux architecturaux).

Prenons une minute pour développer les connaissances produites par la phase A.

Nous commençons par énoncer clairement la réalité.

Glasswing est une salle blanche. Les cybercriminels n'ont pas accès à la feuille de route des failles zero-day. Les outils d'analyse de code basés sur l'IA sont certes performants, mais ils nécessitent encore beaucoup de temps pour parcourir l'ensemble du code source. Surtout si cette exploration doit être dissimulée à l'administrateur système du fournisseur LLM en s'exécutant en local. On peut supposer que les cybercriminels les plus courants attendent le correctif.

Dès qu'un fournisseur majeur – celui qui conçoit les bibliothèques et systèmes essentiels utilisés par tous – publie un correctif, c'est le début des attaques. Le développement assisté par l'IA réduit considérablement le délai entre la publication d'un correctif et son exploitation. C'est particulièrement vrai lorsque de nombreux correctifs permettent d'accéder à la vulnérabilité la plus exploitable.

Il faut s'attendre à des " mises à jour de sécurité " vagues plutôt qu'à des CVE. Au moins, les plus paresseux n'auront pas de feuille de route toute tracée. Cependant, il faut s'attendre à naviguer à vue. Nous ne pourrons ni évaluer les risques ni établir de priorités.

Viennent ensuite les fournisseurs secondaires. Ceux qui ne font pas partie de Glasswing et qui utilisent les produits du fournisseur principal pour développer les leurs. Il s'agit des fournisseurs commerciaux, des fournisseurs de plateformes, des fournisseurs de bibliothèques et des fournisseurs vraiment redoutables : ceux qui fournissent des systèmes d'exploitation informatique. Nos fournisseurs secondaires apparaissent en même temps que les fournisseurs les plus douteux.

Au moins certains de nos fournisseurs ne pourront pas, ou ne voudront pas, effectuer de rétroportage. Nous recevrons des notifications qui réduiront le nombre de mises à jour à L'ancienne version est irrémédiablement compromise, vous devez effectuer une mise à jour majeure..

Nous allons donc devoir faire face à des mises à jour en cascade sur toute notre infrastructure. Vous vous souvenez de Log4J ? Tout le monde a eu droit à une mise à jour de Log4J. Imaginons 10 mises à jour Log4J simultanées. Voire 100.

Nous faisons face exposition synchronisée, retard garanti, et le déploiement en cascade de correctifs inter-piles. Même si nous pouvions surpasser un adversaire à la vitesse d'une machine en matière de correctifs dans un environnement hérité sur mesure, le premier problème réside dans les vulnérabilités latentes qui subsisteront à mesure que les correctifs se propageront à travers la pile. Notre problème critique n'est pas… Comment patcher plus rapidement. Le problème, c'est de survivre à un délai inévitable.

Il ne s'agit plus d'un problème de gestion des vulnérabilités, mais d'un problème d'architecture défini par le temps, le décalage et la survie dans un contexte de vitesse asymétrique.

Pas de fausses solutions

Nous devons fournir des conseils sur la survie dans un environnement militarisé latence garantie.

Phase B, Phase C, et Phase D Tous commencent par la même étape : déterminer quels modèles d'architecture et quels modèles de référence vous aideront à comprendre le problème et à trouver une solution.

Franchement, le tableau blanc de mon premier matin était rempli de choses assez classiques. architecture de sécurité J'avais des documents : NIST, MITRE ATT&CK, OWASP10. J'avais aussi des gribouillis et des notes.

Puis j'ai regardé attentivement survivre au décalage militarisé. J'ai secoué la tête. Dans chaque Atelier sur l'engagement des parties prenantes Je demande à notre client : ' Qui a dit que c'était… » la priorité'?

Je me suis laissé emporter par l'euphorie ambiante. J'ai supposé que, face à la menace d'un tsunami, nous devions tous paniquer. J'ai alors projeté un ensemble de suppositions, de priorités et de préférences.

J'ai donc sorti mes documents SABSA et j'ai regardé risque. Plus précisément, nous nous sommes intéressés à l'appétit pour le risque et aux indicateurs clés de risque (ICR). Il nous fallait dépasser l'erreur fondamentale de la plupart des analyses de risques : se baser sur l'appétit pour le risque des parties prenantes et se concentrer sur les ICR. Les ICR sont… tourné vers l'avenir. Le point où nous serons, et nous conseiller de prendre les mesures nécessaires pour rester dans les limites de son appétit pour le risque.

Ne vous mettez pas en sécurité. Entrez. appétit pour le risque.

C'est un point subtil, mais c'est précisément sur ces points subtils que les cadres de bonnes pratiques établis comme SABSA, DAMA et TOGAF trouvent toute leur utilité. meilleures pratiques.

Nous acceptons beaucoup de risques pour faire des affaires. Nous proposons des facilités de paiement à nos clients. Nous embauchons des personnes que nous ne connaissons pas. Nous soutenons des projets. Chaque jour, je traverse à vélo une zone touristique très fréquentée.

Être plus en sécurité

Comment savoir si nous sommes plus en sécurité ? Lire DBIR de Verizon, Mandiant, et Rapport de Microsoft sur la défense numérique 2025 nous a fait échouer trois tests pour plus sûr. Nous avons conclu que la sécurité est concrètement améliorée par :

1. Réduire les accès non autorisés
   Les acteurs malveillants s'introduisent dans le système grâce à des identifiants compromis et à une mauvaise configuration.
2. Réduire le temps de séjour non autorisé
   L'accès non détecté et l'exercice d'une autorité non autorisée créent un risque latent et cumulatif.
3. Réduire le ' rayon d'action ' potentiel des accès non autorisés
   L'accès supplémentaire (déplacement latéral) est généralement assuré par la recherche plus d'accès alors que logement.

L'accès et le temps passé sur le réseau étaient des facteurs aggravants. Les déplacements latéraux semblent particulièrement sensibles aux identifiants compromis dans les systèmes d'exploitation informatique.

Notre appétit pour le risque

Nous y voilà. Le premier rapport que j'ai lu disait Zéro confiance ! Il est temps de prendre la micro-segmentation au sérieux. Sérieusement. Nous avons un signal d'alarme. Nous ignorons l'ampleur de la vague et sa date d'arrivée. On nous conseille de persévérer dans une voie qui, en dix ans d'efforts, n'a mené à aucun progrès significatif.

Dans toute diatribe d'expert, on trouve une idée de départ intéressante. Mais il faut la confronter à la réalité.

Tout d'abord, nos applications web. Vous connaissez les innombrables connexions Port 443/HTTPS conçues pour permettre à des inconnus d'envoyer des commandes à nos logiciels d'entreprise. Ou encore les connexions internes, plus inquiétantes, où nos employés connectent leur ordinateur portable et… applications web internes qui ont une identité implicite. Oui, une identité implicite parce que le ordinateur portable de l'entreprise Il est utilisé. Vous savez, cet ordinateur portable, celui qui a passé la semaine à parcourir les points d'accès Wi-Fi et les applications web au hasard. Jetez un œil aux rapports Zscalar ou aux rapports d'hameçonnage : ces ordinateurs portables sont utilisés par de nombreux inconnus. Pourtant, ils constituent la base de l'identité visuelle de l'entreprise.

Deuxièmement, les systèmes hérités. Ces environnements hérités, vieux de 30 ans et à forte entropie. C'est comme demander à notre service de sécurité de trouver les malfaiteurs en visionnant les caméras de surveillance de la gare de Tokyo. N'oubliez pas que 5 000 personnes vont… bousculer quelqu'un pour chaque laissez-passer de pickpocket.

Maintenant, soyons francs : ce que je viens de décrire, c'est… dans les limites de notre tolérance au risque. Peut-être que c'est Jaune, selon les termes KRI de SABSA. Probablement, Ceci est vert!

SABSA Mathématiques et décision des parties prenantes

Au cours de la dernière décennie, la plupart des entreprises ont fait des compromis et se sont contentées de vivre dans un environnement instable. Orange pour la sécurité et la résilience. Les infrastructures traditionnelles génèrent des revenus. Les correctifs fragilisent ces sources de revenus. Les solutions proposées ne nous permettent pas réellement de… Vert. Au lieu de cela, ils orientent notre appétit pour le risque en matière de résilience vers Rouge. Personne ne choisit le rouge. Personne.

Ma première question est donc la suivante : le choc de Glasswing a-t-il brutalement bouleversé notre posture de sécurité ? RougeSommes-nous en dehors de notre seuil de tolérance au risque ? Ma formation SABSA est claire : la règle est absolue, on ne peut pas choisir consciemment de rester dans le rouge. Il faut tout laisser tomber et foncer droit au vert.

Vous dépassez votre tolérance au risque. Je vais peut-être faire du vélo. à travers La zone touristique de Victoria et en descendant une route principale avec un piste cyclable peinte. Je ne le fais pas aux heures de pointe. Pendant ces heures de pointe, quelqu'un tente involontairement de me tuer chaque jour. Je profite du fait que je vis sur le fuseau horaire du Pacifique et que je travaille sur celui de l'Est. En rentrant chez moi à 14h30 (17h30 heure de l'Est), il n'y a qu'une tentative d'assassinat. une fois par semaine. Et c'est tout. dans les limites de ma tolérance au risque.

À ce stade, l'analyse cesse d'apporter de la valeur ajoutée — seule une recommandation circonscrite, respectant la tolérance au risque, en apporte.

Et alors ? nous amène au vert?

Nous avons recommandé trois actions :

• Déployer un WAF à mise à jour automatique sur chaque interface web dans les systèmes hérités.
  Les fournisseurs de pare-feu applicatifs web (WAF) commerciaux sont en salle blanche. Nous prévoyons qu'ils coordonneront les mises à jour en temps réel.
• Faites passer chaque partenaire commercial interagissant avec l'API par une passerelle API.
• mettre un canari dans chaque périmètre—un système sans aucune utilité légitime possible qui nous révélera sans équivoque quelque chose de mauvais recherche d'accès Il suffit de chercher à accéder au système. Même s'ils utilisent des identifiants d'administrateur compromis ou une identité d'ordinateur portable implicite, le fait de détecter une faille de sécurité est incontestable : un pirate tente de contourner le système existant.

Nous avons posé deux questions difficiles :

• Est-ce acceptable que les applications héritées cessent de fonctionner lorsque signatures illégitimes connues sont utilisées pour une transaction normale et le WAF mis à jour automatiquement la bloque ?
• Autoriserez-vous la suspension immédiate de l'accès au réseau pour tout système qui déclenche une alerte ? Le pire scénario serait qu'un pirate informatique, tapi dans l'ombre, passe de l'espionnage discret à la destruction totale dès qu'il se sent repéré.

Te voilà de retour en vert. Je me rends tranquillement au travail à vélo et j'accepte une tentative d'assassinat par semaine.

Une fois de retour dans le vert, nous pourrons nous pencher sur d'autres pistes pour renforcer notre sécurité et la résilience de nos applications. Après tout, nous avons besoin que nos sources de revenus traditionnelles, parfois fragiles, continuent d'alimenter l'entreprise. Nous sommes confrontés à de réels problèmes commerciaux – droits de douane, concurrence, confiance des consommateurs – et nous avons besoin de liquidités. Des changements sont en cours qui amélioreront notre compétitivité et notre rapport coût-efficacité, tout en renforçant progressivement la sécurité et la résilience.

Conclusion de la conception du choc Glasswing

En termes TOGAF, nous sommes simplement passés de architecte ceci à un cible recommandée. Tout comme Claude Mythos, nous sommes dépourvus de jugement moral. Vous me décrivez le contexte de votre entreprise, ses objectifs, ses attentes en matière de performance, ses contraintes, et… appétit pour le risque et je fabriquerai votre meilleure cible. C'est meilleures pratiques EA—nos parties prenantes sont responsables des gains comme des pertes. En tant que architecte d'entreprise Je donne d'excellents conseils. Je leur dis des vérités qui dérangent. Quand ils prennent une décision, je l'assume pleinement, comme si c'était la mienne. Après tout, leur décision est la décision officielle de l'organisation, prise par un décideur habilité.

J'espère que vous avez apprécié le voyage. Mon équipe a parcouru ce trajet en quelques jours. En cours de route, nous avons dû à plusieurs reprises revenir sur nos pas. sans jugement. Oui, un jour, j'ai fini par travailler tard et j'ai roulé aux heures de pointe. J'ai les images de ma caméra embarquée qui montrent les tentatives d'assassinat qui ont suivi. Franchement, couper la piste cyclable, c'est dangereux !

Voici donc votre défi. Je sais que vous voulez être le meilleur. architecte d'entreprise Dans votre entreprise. Je sais que vous rêvez de ces histoires inspirantes de transformation que je raconte. Franchement, elles sont là, à portée de main, il suffit d'appliquer les meilleures pratiques de notre profession. Prenez vos responsabilités, mettez-vous au travail. Dites la vérité à vos parties prenantes. Je sais que cela demande du courage.

Après avoir fait les calculs, on se retrouve avec les experts en la matière monomaniaques et Cassandres Devant le bureau du dirigeant, des Cassandres pointant du doigt le désastre travaillent gratuitement sur internet. Votre rôle est de faire les calculs et de formuler une recommandation qui améliore la situation de votre entreprise. retour au vert. Il pourrait s'agir d'une percée sur un nouveau marché.

Croyez-moi. Ils attendent de bons conseils.

Pour conclure, regardons vers l'avenir. Si Claude Mythos est que Doué pour lire le code et concevoir des systèmes fonctionnels – capable de se faufiler entre les API imprévues et d'écrire du code fonctionnel sans le moindre scrupule… Waouh, j'en veux ! Je veux cet assistant IA à mes côtés. J'aimerais lui imposer quelques contraintes supplémentaires et lui demander de démontrer sa sécurité, sa résilience et sa modularité. Je veux un pipeline CI/CD moderne, ultra-rapide et auto-testé. Le développement assisté par l'IA révolutionne à jamais les tests et la résilience. Ma prochaine génération de produits numériques sera… renaître en toute sécurité.

Faites les calculs. Guidez le changement.

Passe une bonne journée!

Salutations,

Dave

Dave Hornford
Conexiam

PS : Si vous êtes pressé, jetez un coup d'œil à notre Atelier sur la gouvernance de l'architecture Ou parlons de la mise en place d'une feuille de route dynamique. Le confinement ne doit pas forcément prendre beaucoup de temps.