NIST Zero Trust Architektur und die Rolle des NDR
"Zero Trust (ZT) ist ein Cybersecurity-Paradigma, das sich auf den Schutz von Ressourcen und die Prämisse konzentriert, dass Vertrauen niemals implizit gewährt wird, sondern kontinuierlich evaluiert werden muss."
- NIST
Letztes Jahr habe ich über den Entwurf des National Institute for Standards and Technology (NIST) für eine Veröffentlichung zur Zero Trust Architektur(NIST SP 800-207) oder ZTA. Vor kurzem haben wir auch darüber berichtet, warum die Netzwerkerkennung und -reaktion (NDR) eine wesentliche Komponente der NIST ZTA ist.
Mit der breiten Einführung von verschlüsseltem Datenverkehr und Software-as-a-Service (SaaS)-Anwendungen sowie nicht unternehmenseigenen Ressourcen (z. B. beauftragte Dienste, die die Unternehmensinfrastruktur für den Zugriff auf das Internet nutzen) haben Überwachungslösungen, die auf Deep Packet Inspection (DPI) basieren, Schwierigkeiten, einen möglichen Angreifer im Netzwerk zu erkennen.
Das NIST stellt jedoch fest : "Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, den verschlüsselten Datenverkehr im Netzwerk zu analysieren. Das Unternehmen kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese verwenden, um einen aktiven Angreifer oder eine mögliche malware zu erkennen, die im Netzwerk kommunizieren. Techniken des maschinellen Lernens ... können zur Analyse von Datenverkehr verwendet werden, der nicht entschlüsselt und untersucht werden kann.
Warum das NIST von der Entschlüsselung in Zero Trust
Wir haben geschrieben, dass Sie sich nicht auf die Entschlüsselung verlassen müssen, um Bedrohungen zu erkennen, und warum die Entschlüsselung zur Überprüfung des Datenverkehrs ein unkluger Ansatz ist. In der Tat haben wir unsere Kunden seit langem ermutigt, alles zu verschlüsseln.
Im Grunde genommen geht es um ein paar wesentliche Punkte:
1. Sie gewinnen nichts durch die Entschlüsselung von Paketen
Alle Informationen, die für die Erkennung von Bedrohungen benötigt werden, können durch die Anwendung von maschinellem Lernen auf den Datenverkehr und die Metadaten selbst ermittelt werden, wie das NIST feststellt.
2. Es wird immer schwieriger werden, den Datenverkehr zu entschlüsseln, und Lösungen, die sich auf diese
Die Einführung von TLS 1.3 und Sicherheitserweiterungen wie HTTP Public Key Pinning (HPKP), HTTP Strict Transport Security (HSTS), DNS over HTTPS (DoH) und Encrypted Server Name Indication (ESNI) werden die Überprüfung des Datenverkehrs von vornherein erschweren.
3. Sie werden niemals in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln
Angreifer verwenden Ihre Verschlüsselungsschlüssel nicht und werden in vielen Fällen nicht über Ihre Endpunkte gehen, die den Man-in-the-Middle-Verkehr entschlüsseln.
4. Außerdem gibt es zahlreiche Datenschutz- und Compliance-Probleme bei der Entschlüsselung von Daten zu Analysezwecken und deren Speicherung
Dies könnte zum Beispiel zu gespeicherten PII oder anderen sensiblen Daten wie Zahlungskarten oder SSN führen.
Die Verschlüsselung des gesamten Datenverkehrs im Netz ist grundsätzlich gut. Daher erfordert die erfolgreiche Implementierung von ZTA eine moderne NDR-Lösung, die Metadaten über den verschlüsselten Datenverkehr sammeln und maschinelles Lernen einsetzen kann, um bösartige Kommunikation von malware oder Angreifern im Netzwerk zu erkennen - ohne auf den Overhead von Agenten angewiesen zu sein.
NDR von Vectra: Unverzichtbar für die NIST Zero Trust Architektur
Vectra ist der einzige FIPS-konforme NDR mit Sitz in den USA, der auf der CDM-Liste des Department of Homeland Security steht und künstliche Intelligenz verwendet. Unsere KI umfasst Deep Learning und neuronale Netze, um durch die kontinuierliche Überwachung des gesamten Netzwerkverkehrs, von Konten, Identitäten, relevanten Protokollen und cloud Ereignissen Transparenz in groß angelegten Infrastrukturen zu schaffen.
Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, so dass auch Server, Laptops, Drucker, BYOD- und IoT-Geräte sowie alle Betriebssysteme und Anwendungen erfasst werden.
Die Cognito-Plattform von Vectra kann fortschrittliche Angriffe erkennen, während sie im gesamten Datenverkehr stattfinden, von cloud/SaaS und Rechenzentren bis hin zu Benutzern und IoT-Geräten. Wir tun dies, indem wir Metadaten aus allen Paketen und Protokollen extrahieren, ohne dass eine Entschlüsselung erforderlich ist.
Die Cognito-Plattform bewertet alle Identitäten in der Plattform nach denselben Kriterien wie Hosts. So können Sie die beobachteten Berechtigungen in Ihrem System im Gegensatz zu den statisch zugewiesenen Berechtigungen sehen.
Wir begrüßen es, dass das NIST die Bedeutung einer NDR-Lösung als Schlüsselkomponente jeder ZTA hervorhebt. Wir von Vectra sind stolz darauf, Unternehmen auf ihrem Weg zur Implementierung einer modernen Sicherheitsarchitektur eine schlüsselfertige NDR-Lösung anbieten zu können.
Um herauszufinden, wie NDR und Zero Trust Unternehmen dabei helfen können, diese Ziele zu erreichen, vereinbaren Sie noch heute einen Termin für eine Demo.