Cos'è l'Architettura Zero Trust del NIST
Il 23 settembre, il National Institute for Standards and Technology (NIST) ha rilasciato la bozza di pubblicazione di Zero Trust (NIST SP 800-207), o ZTA.
Secondo il NIST, "nessuna azienda può eliminare completamente il rischio di cybersecurity. Se integrata con le politiche e le linee guida esistenti in materia di cybersecurity, la gestione delle identità e degli accessi, il monitoraggio continuo e l'igiene informatica generale, la ZTA può ridurre l'esposizione complessiva al rischio e proteggere dalle minacce più comuni".
Vectra accoglie con favore la pubblicazione e la prospettiva del NIST, soprattutto perché si allinea strettamente con quanto abbiamo discusso in precedenza sull'importanza della visibilità della rete per rafforzare una Zero Trust Architecture. Sebbene questo documento di quasi 50 pagine copra diversi modelli di implementazione e casi d'uso, sono due i punti chiave della ZTA su cui vogliamo concentrarci in questo blog: la privazione della decodifica e lo sguardo oltre gli host.
Il NIST raccomanda di dare priorità alla decodifica del traffico in Zero Trust
Le reti aziendali moderne stanno subendo grandi e rapidi cambiamenti, dovuti sia a una forza lavoro sempre più mobile e remota sia alla rapida espansione dei servizi cloud .
Inoltre, le organizzazioni si affidano sempre più a sistemi e applicazioni non di proprietà dell'azienda. Questi sistemi e applicazioni di terze parti sono spesso resistenti al monitoraggio passivo, il che significa che l'esame del traffico crittografato e la deep packet inspection (DPI) non sono praticabili nella maggior parte dei casi.
Di conseguenza, i tradizionali strumenti di analisi di rete che si basano sulla visibilità degli endpoint delle reti on-premises, come i sistemi di rilevamento delle intrusioni (IDS), stanno rapidamente diventando obsoleti.
Tuttavia, come osserva il NIST, "questo non significa che l'azienda non sia in grado di analizzare il traffico crittografato che vede sulla rete. L'azienda può raccogliere metadati sul traffico crittografato e utilizzarli per individuare eventuali malware che comunicano sulla rete o un attaccante attivo. Le tecniche di apprendimento automatico... possono essere utilizzate per analizzare il traffico che non può essere decifrato ed esaminato".
Abbiamo già scritto che non è necessario affidarsi alla decrittazione per rilevare le minacce.
Fondamentalmente si riduce ad alcuni punti chiave:
- Non si ottiene nulla decriptando i pacchetti. Tutte le informazioni necessarie per rilevare le minacce possono essere determinate dal traffico e dai metadati stessi.
- Sarà più difficile decriptare il traffico. L'adozione di estensioni di sicurezza come HTTP Public Key Pinning (HPKP) renderà più difficile l'ispezione del traffico.
- Non sarete mai in grado di decriptare il traffico degli aggressori. Gli aggressori non useranno comunque le vostre chiavi.
Un'implementazione di successo della ZTA richiede invece una moderna soluzione di rilevamento e risposta della rete (NDR) in grado di raccogliere metadati sul traffico crittografato e di utilizzare l'apprendimento automatico per rilevare comunicazioni dannose da parte di malware o aggressori nella rete.
Visibilità completa della rete con l'architettura Zero Trust
Una parte fondamentale dell'architettura Zero Trust si basa sul monitoraggio dell'uso dei privilegi sulla rete e sul controllo continuo dell'accesso in base ai comportamenti. Il DHS la chiama "diagnostica e mitigazione continua" (CDM).
Ma la CDM va oltre la semplice osservazione degli ospiti. Cerca di rispondere a quanto segue:
- Quali dispositivi, applicazioni e servizi sono connessi alla rete e vengono utilizzati dalla rete?
- Quali utenti e account (compresi gli account di servizio) accedono alla rete?
- Quali sono i modelli di traffico e i messaggi scambiati sulla rete?
Anche in questo caso, si torna all'importanza della visibilità della rete. Le organizzazioni devono avere visibilità su tutti gli attori e i componenti della rete per monitorare e rilevare le minacce. Infatti, come si legge nel rapporto del NIST, "un solido programma CDM è fondamentale per il successo della ZTA".
Vectra AI: essenziale per un'architettura Zero Trust di successo
Vectra è l'unico NDR statunitense conforme ai requisiti FIPS nell'elenco dei prodotti approvati dal CDM del Dipartimento della Sicurezza Nazionale che utilizza l'intelligenza artificiale. La nostra intelligenza artificiale comprende l'apprendimento profondo e le reti neurali per dare visibilità alle infrastrutture su larga scala monitorando continuamente il traffico di rete, i registri e gli eventi cloud .
La piattaforma Vectra AI è in grado di rilevare gli attacchi avanzati mentre si verificano in tutto il traffico aziendale, compresi i data center e il cloud. Per farlo, estraiamo i metadati da tutti i pacchetti. Ogni dispositivo abilitato IP sulla rete viene identificato e tracciato, estendendo la visibilità a server, laptop, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e alle applicazioni.
La piattaforma Vectra AI assegna un punteggio a tutte le identità della piattaforma in base agli stessi criteri degli host. Ciò consente di vedere i privilegi osservati nel sistema rispetto ai privilegi statici assegnati.
Ci congratuliamo con il NIST per aver sottolineato l'importanza di una soluzione NDR come parte fondamentale di qualsiasi ZTA. Noi di Vectra AI siamo orgogliosi di poter offrire una soluzione NDR "chiavi in mano" a qualsiasi organizzazione nel suo percorso di implementazione di una moderna architettura sicura.