NIST's Zero Trust Architecture Modell und NDR
"Zero Trust (ZT) ist ein Cybersecurity-Paradigma, das sich auf den Schutz von Ressourcen und die Prämisse konzentriert, dass Vertrauen niemals implizit gewährt wird, sondern kontinuierlich evaluiert werden muss."
- NIST
Letztes Jahr habe ich über den Entwurf der Veröffentlichung des National Institute for Standards and Technology (NIST) für die Zero Trust Architecture(NIST SP 800-207) oder ZTA geschrieben. Kürzlich haben wir auch über die Gründe berichtet , warum Netzwerkerkennung und -reaktion (NDR) eine wesentliche Komponente der NIST ZTA ist.
Mit der breiten Einführung von verschlüsseltem Datenverkehr und Software-as-a-Service (SaaS)-Anwendungen sowie nicht unternehmenseigenen Ressourcen (z. B. beauftragte Dienste, die die Unternehmensinfrastruktur für den Zugriff auf das Internet nutzen) haben Überwachungslösungen, die auf Deep Packet Inspection (DPI) basieren, Schwierigkeiten, einen möglichen Angreifer im Netzwerk zu erkennen.
Das NIST stellt jedoch fest : "Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, den verschlüsselten Datenverkehr im Netzwerk zu analysieren. Das Unternehmen kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese nutzen, um einen aktiven Angreifer oder mögliche Malware zu erkennen, die über das Netzwerk kommuniziert. Techniken des maschinellen Lernens ... können zur Analyse von Datenverkehr verwendet werden, der nicht entschlüsselt und untersucht werden kann.
Warum Sie laut NIST nicht entschlüsseln sollten
Wir haben geschrieben, dass Sie sich nicht auf die Entschlüsselung verlassen müssen, um Bedrohungen zu erkennen, und warum die Entschlüsselung zur Überprüfung des Datenverkehrs ein unkluger Ansatz ist. In der Tat haben wir unsere Kunden seit langem ermutigt, alles zu verschlüsseln.
Im Grunde genommen geht es um ein paar wesentliche Punkte:
Sie gewinnen nichts durch die Entschlüsselung von Paketen
Alle Informationen, die für die Erkennung von Bedrohungen benötigt werden, können durch die Anwendung von maschinellem Lernen auf den Datenverkehr und die Metadaten selbst ermittelt werden, wie das NIST feststellt.
Es wird immer schwieriger werden, den Datenverkehr zu entschlüsseln, und Lösungen, die sich auf diese
Die Einführung von TLS 1.3 und Sicherheitserweiterungen wie HTTP Public Key Pinning (HPKP), HTTP Strict Transport Security (HSTS), DNS over HTTPS (DoH) und Encrypted Server Name Indication (ESNI) werden die Überprüfung des Datenverkehrs von vornherein erschweren.
Sie werden niemals in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln.
Angreifer verwenden Ihre Verschlüsselungsschlüssel nicht und werden in vielen Fällen nicht über Ihre Endpunkte gehen, die den Man-in-the-Middle-Verkehr entschlüsseln.
Außerdem gibt es zahlreiche Datenschutz- und Compliance-Probleme bei der Entschlüsselung von Daten zu Analysezwecken und deren Speicherung.
Dies könnte zum Beispiel zu gespeicherten PII oder anderen sensiblen Daten wie Zahlungskarten oder SSN führen.
Die Verschlüsselung des gesamten Datenverkehrs im Netz ist grundsätzlich gut. Daher erfordert die erfolgreiche Implementierung von ZTA eine moderne NDR-Lösung, die Metadaten über den verschlüsselten Datenverkehr sammeln und maschinelles Lernen einsetzen kann, um bösartige Kommunikation von Malware oder Angreifern im Netzwerk zu erkennen - ohne auf den Overhead von Agenten angewiesen zu sein.
VectraNDR: ein Schlüsselelement der Zero Trust Architecture des NIST
Vectra ist der einzige FIPS-konforme NDR mit Sitz in den USA, der auf der CDM-Liste des Department of Homeland Security steht und künstliche Intelligenz verwendet. Unsere KI umfasst Deep Learning und neuronale Netze, um durch die kontinuierliche Überwachung des gesamten Netzwerkverkehrs, von Konten, Identitäten, relevanten Protokollen und cloud Ereignissen Transparenz in groß angelegten Infrastrukturen zu schaffen.
Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, so dass auch Server, Laptops, Drucker, BYOD- und IoT-Geräte sowie alle Betriebssysteme und Anwendungen erfasst werden.
Die Cognito-Plattform von Vectra kann fortschrittliche Angriffe erkennen, während sie im gesamten Datenverkehr stattfinden, von cloud/SaaS und Rechenzentren bis hin zu Benutzern und IoT-Geräten. Wir tun dies, indem wir Metadaten aus allen Paketen und Protokollen extrahieren, ohne dass eine Entschlüsselung erforderlich ist - lesen Siemehr in unserem Whitepaper hier.
Die Cognito-Plattform bewertet alle Identitäten in der Plattform nach denselben Kriterien wie Hosts. So können Sie die beobachteten Berechtigungen in Ihrem System im Gegensatz zu den statisch zugewiesenen Berechtigungen sehen.
Wir begrüßen es, dass das NIST die Bedeutung einer NDR-Lösung als Schlüsselkomponente jeder ZTA hervorhebt. Wir von Vectra sind stolz darauf, Unternehmen auf ihrem Weg zur Implementierung einer modernen Sicherheitsarchitektur eine schlüsselfertige NDR-Lösung anbieten zu können.
Um herauszufinden, wie NDR und Zero Trust Unternehmen dabei helfen können, diese Ziele zu erreichen, vereinbaren Sie noch heute einen Termin für eine Demo.