Was ist die Zero-Trust-Architektur des NIST?
Am 23. September veröffentlichte das National Institute for Standards and Technology (NIST) den Entwurf einer Veröffentlichung für die Zero Trust Architecture(NIST SP 800-207), kurz ZTA.
Laut NIST "kann kein Unternehmen das Cybersecurity-Risiko vollständig ausschalten. Wenn sie mit bestehenden Cybersicherheitsrichtlinien und -anweisungen, Identitäts- und Zugriffsmanagement, kontinuierlicher Überwachung und allgemeiner Cyberhygiene ergänzt wird, kann ZTA das Gesamtrisiko reduzieren und vor allgemeinen Bedrohungen schützen."
Vectra begrüßt die Veröffentlichung und die Perspektive des NIST, zumal sie sich eng mit dem deckt, was wir zuvor über die Bedeutung der Netzwerktransparenz zur Stärkung einer Zero Trust Architecture diskutiert haben. Und obwohl dieses fast 50-seitige Dokument mehrere Einsatzmodelle und Anwendungsfälle abdeckt, möchten wir uns in diesem Blog auf zwei wichtige Punkte zur ZTA konzentrieren: die Entschlüsselung zu entpriorisieren und über die Hosts hinauszuschauen.
Warum NIST empfiehlt, die Entschlüsselung des Datenverkehrs zu depriorisieren
Moderne Unternehmensnetze unterliegen großen und raschen Veränderungen, die sowohl auf eine zunehmend mobile und dezentrale Belegschaft als auch auf die rasche Ausweitung der Dienste von cloud zurückzuführen sind.
Darüber hinaus verlassen sich Unternehmen zunehmend auf Systeme und Anwendungen, die nicht zum Unternehmen gehören. Diese Systeme und Anwendungen von Drittanbietern sind oft resistent gegen eine passive Überwachung, was bedeutet, dass die Untersuchung von verschlüsseltem Datenverkehr und Deep Packet Inspection (DPI) in den meisten Fällen nicht praktikabel ist.
Infolgedessen werden herkömmliche Netzwerkanalysetools, die sich auf die Sichtbarkeit von Endpunkten lokaler Netzwerke stützen, wie z. B. Intrusion Detection Systeme (IDS), schnell überflüssig.
Das NIST stellt jedoch fest: "Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, den verschlüsselten Datenverkehr im Netzwerk zu analysieren. Das Unternehmen kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese verwenden, um mögliche Malware, die im Netzwerk kommuniziert, oder einen aktiven Angreifer zu erkennen. Techniken des maschinellen Lernens ... können zur Analyse von Datenverkehr verwendet werden, der nicht entschlüsselt und untersucht werden kann.
Wir haben schon früher geschrieben, dass man sich nicht auf die Entschlüsselung verlassen muss, um Bedrohungen zu erkennen.
Im Grunde genommen geht es um ein paar wesentliche Punkte:
- Das Entschlüsseln von Paketen bringt nichts. Alle Informationen, die zur Erkennung von Bedrohungen erforderlich sind, können aus dem Datenverkehr und den Metadaten selbst ermittelt werden.
- Es wird schwieriger sein, den Datenverkehr zu entschlüsseln. Die Einführung von Sicherheitserweiterungen wie HTTP Public Key Pinning (HPKP) wird die Überprüfung des Datenverkehrs von vornherein erschweren.
- Sie werden niemals in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln. Die Angreifer werden Ihre Schlüssel ohnehin nicht verwenden.
Stattdessen erfordert eine erfolgreiche Implementierung von ZTA eine moderne Network Detection and Response (NDR)-Lösung, die Metadaten über den verschlüsselten Datenverkehr erfassen und mithilfe von maschinellem Lernen bösartige Kommunikation von Malware oder Angreifern im Netzwerk erkennen kann.
Mit einer Zero-Trust-Architektur erhalten Sie Einblick in alle Benutzer- und Systemverhaltensweisen
Ein grundlegender Bestandteil der Zero-Trust-Architektur ist die Überwachung der Nutzung von Privilegien im Netz und die kontinuierliche Kontrolle des Zugangs auf der Grundlage des Verhaltens. Das DHS nennt dies Continuous Diagnostics and Mitigation (CDM).
CDM geht jedoch über die reine Beobachtung von Wirten hinaus. Es versucht, die folgenden Fragen zu beantworten:
- Welche Geräte, Anwendungen und Dienste sind mit dem Netz verbunden und werden vom Netz genutzt?
- Welche Benutzer und Konten (einschließlich Dienstkonten) greifen auf das Netzwerk zu?
- Welche Verkehrsmuster und Nachrichten werden über das Netz ausgetauscht?
Dies ist ein weiterer Hinweis auf die Bedeutung der Netzwerktransparenz. Unternehmen müssen einen Einblick in alle Akteure und Komponenten in ihrem Netzwerk haben, um Bedrohungen zu überwachen und zu erkennen. Wie im NIST-Bericht festgestellt wird, ist "ein starkes CDM-Programm der Schlüssel zum Erfolg von ZTA".
Vectra Cognito ist ein Eckpfeiler einer erfolgreichen Zero Trust Architektur
Vectra ist der einzige FIPS-konforme NDR mit Sitz in den USA, der auf der CDM-Liste des Department of Homeland Security steht und künstliche Intelligenz verwendet. Unsere KI umfasst Deep Learning und neuronale Netzwerke, um durch die kontinuierliche Überwachung von Netzwerkverkehr, Protokollen und cloud Ereignissen Transparenz in großen Infrastrukturen zu schaffen.
Die Cognito-Plattform von Vectra kann fortschrittliche Angriffe erkennen, während sie im gesamten Datenverkehr des Unternehmens stattfinden, einschließlich der Rechenzentren und der Website cloud. Wir tun dies, indem wir Metadaten aus allen Paketen extrahieren. Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, wodurch die Sichtbarkeit auf Server, Laptops, Drucker, BYOD- und IoT-Geräte sowie alle Betriebssysteme und Anwendungen erweitert wird.
Die Cognito-Plattform bewertet alle Identitäten in der Plattform nach denselben Kriterien wie Hosts. Dadurch können Sie die beobachteten Berechtigungen in Ihrem System im Gegensatz zu den statisch zugewiesenen Berechtigungen sehen.
Wir begrüßen es, dass das NIST die Bedeutung einer NDR-Lösung als Schlüsselkomponente jeder ZTA hervorhebt. Wir von Vectra sind stolz darauf, jedem Unternehmen auf dem Weg zur Implementierung einer modernen sicheren Architektur eine schlüsselfertige NDR-Lösung anbieten zu können.