Was ist die Zero Trust Architektur des NIST?
Am 23. September veröffentlichte das National Institute for Standards and Technology (NIST) den Entwurf einer Veröffentlichung für Zero Trust Architektur(NIST SP 800-207), oder ZTA, veröffentlicht.
Laut NIST "kann kein Unternehmen das Cybersecurity-Risiko vollständig ausschalten. Wenn sie mit bestehenden Cybersicherheitsrichtlinien und -anweisungen, Identitäts- und Zugriffsmanagement, kontinuierlicher Überwachung und allgemeiner Cyberhygiene ergänzt wird, kann ZTA das Gesamtrisiko reduzieren und vor allgemeinen Bedrohungen schützen."
Vectra begrüßt die Veröffentlichung und die Sichtweise des NIST, zumal sie sich eng mit dem deckt, was wir zuvor über die Bedeutung der Netzwerktransparenz zur Stärkung einer Zero Trust Architektur diskutiert haben. Während das fast 50-seitige Dokument mehrere Einsatzmodelle und Anwendungsfälle abdeckt, möchten wir uns in diesem Blog auf zwei wichtige Punkte zu ZTA konzentrieren: die Depriorisierung der Entschlüsselung und den Blick über die Hosts hinaus.
NIST empfiehlt Depriorisierung der Verkehrsentschlüsselung in Zero Trust
Moderne Unternehmensnetze unterliegen großen und raschen Veränderungen, die sowohl auf eine zunehmend mobile und dezentrale Belegschaft als auch auf die rasche Ausweitung der Dienste von cloud zurückzuführen sind.
Darüber hinaus verlassen sich Unternehmen zunehmend auf Systeme und Anwendungen, die nicht zum Unternehmen gehören. Diese Systeme und Anwendungen von Drittanbietern sind oft resistent gegen eine passive Überwachung, was bedeutet, dass die Untersuchung von verschlüsseltem Datenverkehr und Deep Packet Inspection (DPI) in den meisten Fällen nicht praktikabel ist.
Infolgedessen werden herkömmliche Netzwerkanalysetools, die sich auf die Sichtbarkeit von Endpunkten lokaler Netzwerke stützen, wie z. B. Intrusion Detection Systeme (IDS), schnell überflüssig.
Das NIST stellt jedoch fest: "Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, den verschlüsselten Datenverkehr im Netzwerk zu analysieren. Das Unternehmen kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese verwenden, um mögliche malware , die im Netzwerk kommunizieren, oder einen aktiven Angreifer zu erkennen. Techniken des maschinellen Lernens ... können zur Analyse von Datenverkehr verwendet werden, der nicht entschlüsselt und untersucht werden kann.
Wir haben schon früher geschrieben, dass man sich nicht auf die Entschlüsselung verlassen muss, um Bedrohungen zu erkennen.
Im Grunde genommen geht es um ein paar wesentliche Punkte:
- Das Entschlüsseln von Paketen bringt nichts. Alle Informationen, die zur Erkennung von Bedrohungen erforderlich sind, können aus dem Datenverkehr und den Metadaten selbst ermittelt werden.
- Es wird schwieriger sein, den Datenverkehr zu entschlüsseln. Die Einführung von Sicherheitserweiterungen wie HTTP Public Key Pinning (HPKP) wird die Überprüfung des Datenverkehrs von vornherein erschweren.
- Sie werden niemals in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln. Die Angreifer werden Ihre Schlüssel ohnehin nicht verwenden.
Stattdessen erfordert eine erfolgreiche Implementierung von ZTA eine moderne Network Detection and Response (NDR)-Lösung, die Metadaten über den verschlüsselten Datenverkehr sammeln und mithilfe von maschinellem Lernen bösartige Kommunikationen von malware oder Angreifern im Netzwerk erkennen kann.
Vollständige Netzwerktransparenz mit der Zero Trust Architektur erreichen
Ein grundlegender Teil der Zero Trust Architektur beruht auf der Überwachung der Nutzung von Privilegien im Netz und der kontinuierlichen Kontrolle des Zugangs auf der Grundlage des Verhaltens. Das DHS nennt dies "Continuous Diagnostics and Mitigation" (CDM).
CDM geht jedoch über die reine Beobachtung von Wirten hinaus. Es versucht, die folgenden Fragen zu beantworten:
- Welche Geräte, Anwendungen und Dienste sind mit dem Netz verbunden und werden vom Netz genutzt?
- Welche Benutzer und Konten (einschließlich Dienstkonten) greifen auf das Netzwerk zu?
- Welche Verkehrsmuster und Nachrichten werden über das Netz ausgetauscht?
Dies ist ein weiterer Hinweis auf die Bedeutung der Netzwerktransparenz. Unternehmen müssen einen Einblick in alle Akteure und Komponenten in ihrem Netzwerk haben, um Bedrohungen zu überwachen und zu erkennen. Wie im NIST-Bericht festgestellt wird, ist "ein starkes CDM-Programm der Schlüssel zum Erfolg von ZTA".
Vectra AI: Wesentlich für eine erfolgreiche Zero Trust Architektur
Vectra ist der einzige FIPS-konforme NDR mit Sitz in den USA, der auf der CDM-Liste des Department of Homeland Security steht und künstliche Intelligenz verwendet. Unsere KI umfasst Deep Learning und neuronale Netze, um durch die kontinuierliche Überwachung von Netzwerkverkehr, Protokollen und cloud Ereignissen Transparenz in groß angelegten Infrastrukturen zu schaffen.
Die Plattform Vectra AI kann fortschrittliche Angriffe erkennen, während sie im gesamten Datenverkehr des Unternehmens stattfinden, einschließlich Rechenzentren und cloud. Wir tun dies, indem wir Metadaten aus allen Paketen extrahieren. Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, sodass auch Server, Laptops, Drucker, BYOD- und IoT-Geräte sowie alle Betriebssysteme und Anwendungen erfasst werden.
Die Plattform Vectra AI bewertet alle Identitäten in der Plattform nach denselben Kriterien wie Hosts. Dies ermöglicht es Ihnen, die beobachteten Privilegien in Ihrem System zu sehen, im Gegensatz zu den statisch zugewiesenen Privilegien.
Wir begrüßen es, dass das NIST die Bedeutung einer NDR-Lösung als Schlüsselkomponente jeder ZTA hervorhebt. Wir von Vectra AI sind stolz darauf, jedem Unternehmen auf dem Weg zur Implementierung einer modernen sicheren Architektur eine schlüsselfertige NDR-Lösung anbieten zu können.