Cos'è Zero Trust del NIST
Il 23 settembre, il National Institute for Standards and Technology (NIST) ha pubblicato la bozza della pubblicazione relativa al Zero Trust (NIST SP 800-207), o ZTA.
Secondo il NIST, "Nessuna azienda può eliminare completamente i rischi legati alla sicurezza informatica. Se integrata con le politiche e le linee guida esistenti in materia di sicurezza informatica, la gestione delle identità e degli accessi, il monitoraggio continuo e l'igiene informatica generale, la ZTA può ridurre l'esposizione complessiva al rischio e proteggere dalle minacce più comuni".
Vectra accoglie con favore la pubblicazione e il punto di vista del NIST, soprattutto perché è in linea con quanto abbiamo discusso in precedenza sull'importanza della visibilità della rete per rafforzare Zero Trust . E mentre questo documento di quasi 50 pagine copre diversi modelli di implementazione e casi d'uso, ci sono due punti chiave sulla ZTA su cui vogliamo concentrarci in questo blog: deprioritizzare la decrittografia e guardare oltre gli host.
Il NIST raccomanda di non dare priorità alla decrittografia del traffico nel modello Zero Trust
Le reti aziendali moderne stanno subendo cambiamenti rapidi e di ampia portata, dovuti sia alla crescente mobilità e al lavoro da remoto dei dipendenti, sia alla rapida espansione dei cloud .
Inoltre, le organizzazioni fanno sempre più affidamento su sistemi e applicazioni non di proprietà dell'azienda. Questi sistemi e applicazioni di terze parti sono spesso resistenti al monitoraggio passivo, il che significa che l'esame del traffico crittografato e l'ispezione approfondita dei pacchetti (DPI) non sono praticabili nella maggior parte dei casi.
Di conseguenza, gli strumenti tradizionali di analisi della rete che si basano sulla visibilità agli endpoint delle reti locali, come i sistemi di rilevamento delle intrusioni (IDS), stanno rapidamente diventando obsoleti.
Ma come sottolinea il NIST, "Ciò non significa che l'azienda non sia in grado di analizzare il traffico crittografato che rileva sulla rete. L'azienda può raccogliere metadati sul traffico crittografato e utilizzarli per rilevare eventuali malware sulla rete o un aggressore attivo. Le tecniche di apprendimento automatico... possono essere utilizzate per analizzare il traffico che non può essere decrittografato ed esaminato".
Abbiamo già scritto in precedenza che non è necessario affidarsi alla decrittografia per rilevare le minacce.
Fondamentalmente si riduce a pochi punti chiave:
- Non si ottiene nulla decriptando i pacchetti. Tutte le informazioni necessarie per rilevare le minacce possono essere ricavate dal traffico e dai metadati stessi.
- Sarà più difficile decriptare il traffico. L'adozione di estensioni di sicurezza come HTTP Public Key Pinning (HPKP) renderà più difficile l'ispezione del traffico per motivi di progettazione.
- Non sarai mai in grado di decriptare il traffico degli hacker. Gli hacker non useranno comunque le tue chiavi.
Per implementare con successo lo ZTA è invece necessaria una soluzione moderna di rilevamento e risposta di rete (NDR) in grado di raccogliere metadati sul traffico crittografato e utilizzare l'apprendimento automatico per rilevare comunicazioni dannose provenienti da malware aggressori nella rete.
Ottenere una visibilità completa della rete con Zero Trust
Una parte fondamentale Zero Trust consiste nel monitorare l'utilizzo dei privilegi sulla rete e nel controllare costantemente gli accessi in base ai comportamenti. Il DHS definisce questo processo "Continuous Diagnostics and Mitigation" (CDM, diagnostica e mitigazione continue).
Ma il CDM va oltre la semplice osservazione degli ospiti. Cerca di rispondere alle seguenti domande:
- Quali dispositivi, applicazioni e servizi sono connessi alla rete e vengono utilizzati dalla rete?
- Quali utenti e account (compresi gli account di servizio) stanno accedendo alla rete?
- Quali modelli di traffico e messaggi vengono scambiati sulla rete?
Ancora una volta, questo ci riporta all'importanza della visibilità della rete. Le organizzazioni devono avere visibilità su tutti gli attori e i componenti della loro rete per monitorare e rilevare le minacce. Infatti, come sottolineato nel rapporto del NIST, "un solido programma CDM è fondamentale per il successo dello ZTA".
Vectra AI: essenziale per Zero Trust di successo
Vectra è l'unico NDR conforme allo standard FIPS con sede negli Stati Uniti presente nell'elenco dei prodotti approvati dal CDM del Dipartimento della Sicurezza Nazionale che utilizza l'intelligenza artificiale. La nostra IA include deep learning e reti neurali per garantire visibilità nelle infrastrutture su larga scala attraverso il monitoraggio continuo del traffico di rete, dei log e cloud .
Vectra AI è in grado di rilevare attacchi avanzati mentre si verificano in tutto il traffico aziendale, compresi i data center e il cloud. Lo facciamo estraendo i metadati da tutti i pacchetti. Ogni dispositivo abilitato IP sulla rete viene identificato e tracciato, estendendo la visibilità a server, laptop, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e le applicazioni.
Vectra AI assegna un punteggio a tutte le identità presenti nella piattaforma in base agli stessi criteri utilizzati per gli host. Ciò consente di visualizzare i privilegi osservati nel sistema anziché i privilegi assegnati in modo statico.
Ci congratuliamo con il NIST per aver sottolineato l'importanza di una soluzione NDR come elemento chiave di qualsiasi ZTA. Noi di Vectra AI siamo orgogliosi di poter offrire una soluzione NDR chiavi in mano a qualsiasi organizzazione che intenda implementare un'architettura moderna e sicura.