Jusqu'à récemment, la plupart des systèmes de sécurité des réseaux reposaient sur des défenses périmétriques robustes encerclant un environnement d'utilisateurs et de programmes de confiance. À l'instar d'une ville médiévale fortifiée, ce modèle se concentrait sur l'authentification et la vérification des utilisateurs, des applications et des processus à leurs points d'entrée. Cependant, une fois à l'intérieur du réseau, les acteurs malveillants ou les logiciels malveillants peuvent se déplacer latéralement avec une relative facilité en raison de l'absence de surveillance et de défenses internes. Le modèle de défense périmétrique a également été compliqué par les changements fondamentaux en cours dans la topologie du réseau. L'emplacement de nombreuses charges de travail informatiques se déplace des sites centralisés vers la périphérie du réseau. Les charges de travail elles-mêmes sont de plus en plus " cloud-native ", hébergées dans des conteneurs et conçues pour être transitoires et mobiles. Dans ce type d'environnement distribué, il n'est plus viable de protéger les ressources en les entourant de clôtures. Au lieu de mesures telles que des pare-feu matériels, la sécurité logicielle est appliquée directement à la charge de travail. Les environnements de sécurité réseau "zéro confiance" prennent la place de leurs prédécesseurs axés sur le périmètre. Dans ce nouveau modèle, chaque interaction avec des données ou d'autres ressources est authentifiée individuellement. Ce changement dans l'autorisation d'accès a un certain nombre d'implications pour les opérations de renseignement légales.
Principales implications de la confiance zéro pour le renseignement légal
Alors que les ingénieurs en sécurité des réseaux travaillent à la mise en œuvre d'architectures de confiance zéro, le cryptage de toutes les connexions est un objectif clé. Par conséquent, une proportion croissante du contenu des communications reste dans l'ombre, hors de portée d'une interception légale. Cette réalité contribue au rôle croissant des métadonnées dans les opérations de renseignement légales. Avec les plateformes et l'expertise adéquates, les métadonnées peuvent être tout aussi utiles aux enquêteurs que le contenu original des messages. Dans le même temps, l'architecture de confiance zéro crée elle-même de nouvelles opportunités dont les services de renseignement légitimes peuvent souvent tirer parti. De telles topologies de réseau nécessitent un examen fréquent des points d'application des politiques dans l'environnement afin de déterminer si une personne est autorisée à accéder à une ressource spécifique. Chaque demande de ce type crée un drapeau numérique qui indique un flux de données unique pour un individu spécifique, qui peut être comparé aux mandats actifs dans le système. L'architecture de confiance zéro offre donc aux forces de l'ordre de nouveaux moyens de discerner et de suivre des chemins de données distincts pertinents pour une enquête. Cette visibilité de l'architecture d'accès de confiance zéro dépend de la robustesse avec laquelle les propriétaires de réseaux mettent en œuvre les exigences en matière de journalisation. Étant donné que l'analyse des journaux permet d'obtenir des informations sur tous les aspects, de la performance et de l'efficacité du réseau à la cybersécurité, les organisations capturent, normalisent et utilisent de plus en plus ces données dans le cadre de leurs activités quotidiennes. Cela profite naturellement aux opérations de renseignement légal en améliorant la qualité des données disponibles.
Médiation à travers de multiples réseaux avec une confiance nulle
Outre des contrôles d'accès aux ressources plus rigoureux dans les flux de données du réseau, la sécurité zéro confiance modifie les flux eux-mêmes. L'intelligence légale doit en tenir compte, en particulier lorsque plusieurs nuages publics ou d'autres réseaux tiers interagissent dans un environnement de confiance zéro, comme dans le cas d'une application d'entreprise sur Amazon Web Services (AWS) qui a besoin de données résidant sur Microsoft Azure. Dans une approche traditionnelle, l'application AWS disposerait simplement d'identifiants Azure et extrairait des données selon ses besoins, sans impliquer directement l'entreprise. Dans une architecture de confiance zéro, l'entreprise détient les identifiants Azure, et l'application AWS doit effectuer plusieurs requêtes individuelles pour accéder aux données d'Azure. Les parties supplémentaires à une transaction ajoutent de la complexité à ces flux de données, ce qui a un impact sur le renseignement licite similaire à celui de la transition des appels vocaux vers la VoIP, dans laquelle les chemins de données des messages peuvent voyager n'importe où.
L'autorisation légale dans un cadre de confiance zéro
En mettant l'accent sur la sécurité des entités et des ressources individuelles plutôt que sur le périmètre du réseau, l'architecture de confiance zéro crée un ensemble de considérations plus nuancées lorsqu'il s'agit de négocier l'accès à des fins de renseignement licite. La complexité du processus d'accès aux ressources s'accroît avec l'interaction entre les protocoles techniques et les instruments juridiques tels que les mandats. L'enquête sur une personne d'intérêt dans un environnement de confiance zéro peut impliquer la délivrance de mandats distincts à un fournisseur de services de communication (FSC) pour des téléphones personnels, des tablettes et/ou d'autres appareils. Si les appareils de l'entreprise de l'individu doivent également être analysés, les mandats pourraient également devoir être signifiés à son employeur, à moins que l'enquête ne doive être tenue secrète. Les capacités de gestion des mandats du SS8 régissent l'accès légal à ces flux de données, et notre plateforme Intellego XT les synthétise avec d'autres flux de données pour créer une chronologie composite des communications et de l'activité en ligne qui fait avancer l'enquête.
Conclusion
Dans un environnement de confiance zéro, une communication ou un flux de données donné nécessite des autorisations multiples, ce qui signifie que les FSC doivent mettre en œuvre des contrôles robustes et spécialisés sur la gestion des mandats, la médiation et le transfert de données. En outre, les services répressifs ont besoin d'outils puissants et intuitifs pour guider les enquêtes à travers de multiples flux d'informations et les synthétiser de manière efficace. Les plateformes d'intelligence légale SS8 ont été développées en phase avec l'évolution des technologies de réseau depuis plus de vingt ans, et nous continuons à fournir des informations techniques robustes à partir d'architectures de réseau anciennes et de confiance zéro dans le cadre légal.
À propos du Dr Eric Burger
M. Burger était auparavant directeur adjoint du Bureau de la politique scientifique et technologique de la Maison Blanche, responsable de la politique des États-Unis en matière de télécommunications et de cybersécurité. À ce titre, il rendait compte au CTO américain au sein du bureau exécutif du président. Auparavant, M. Burger a été directeur technique de la FCC, en tant que conseiller du président et expert technologique principal de l'agence. Il a également été président du conseil d'administration d'atfCYBER, membre du conseil consultatif de Dexrex LLC, membre du conseil d'administration d'Ascension Technology Group et directeur technique de Neustar. Il est actuellement professeur d'informatique à l'université de Georgetown. Pour en savoir plus sur M. Burger, consultez sa page LinkedIn. ici.
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation. Sa technologie intègre les méthodologies évoquées dans ce blog et les portefeuilles de produits Xcipio® et Intellego® XT sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
