Zero Trust del NIST e ruolo dell'NDR
"Zero trust ZT) è un paradigma di sicurezza informatica incentrato sulla protezione delle risorse e sul presupposto che la fiducia non viene mai concessa implicitamente, ma deve essere continuamente valutata."
– NIST
L'anno scorso ho scritto della bozza di pubblicazione del National Institute for Standards and Technology (NIST) relativa al Zero Trust Architecture (NIST SP 800-207) o ZTA. Recentemente abbiamo anche trattato i motivi per cui il rilevamento e la risposta di rete (NDR) è una componente essenziale dello standard NIST ZTA.
Con l'ampia diffusione del traffico crittografato, delle applicazioni SaaS (Software as a Service) e delle risorse non di proprietà dell'azienda (ad esempio servizi in appalto che utilizzano l'infrastruttura aziendale per accedere a Internet), le soluzioni di monitoraggio basate sul DPI (Deep Packet Inspection) avranno difficoltà a valutare la presenza di possibili aggressori sulla rete.
Ma come sottolinea il NIST, "Ciò non significa che l'azienda non sia in grado di analizzare il traffico crittografato che vede sulla rete. L'azienda può raccogliere metadati sul traffico crittografato e utilizzarli per rilevare un aggressore attivo o malware possibile malware sulla rete. Le tecniche di apprendimento automatico... possono essere utilizzate per analizzare il traffico che non può essere decrittografato ed esaminato".
Perché il NIST sconsiglia la decrittografia in un modello Zero Trust
Abbiamo scritto che non è necessario affidarsi alla decrittografia per rilevare le minacce e perché la decrittografia per ispezionare il traffico è un approccio sconsigliabile. Infatti, da tempo incoraggiamo i nostri clienti a crittografare tutto.
Fondamentalmente si tratta di alcuni punti chiave:
1. Non ottieni nulla decriptando i pacchetti
Tutte le informazioni necessarie per rilevare le minacce possono essere determinate applicando l'apprendimento automatico al traffico e ai metadati stessi, come osservato dal NIST.
2. Sarà sempre più difficile decriptare il traffico e le soluzioni che si basano su questo.
L'adozione di TLS 1.3 e di estensioni di sicurezza come HTTP public key pinning (HPKP), HTTP strict transport security (HSTS), DNS over HTTPS (DoH) e encrypted server name indication (ESNI) renderà più difficile l'ispezione del traffico.
3. Non sarai mai in grado di decriptare il traffico dell'aggressore
Gli aggressori non utilizzano le tue chiavi di crittografia e, in molti casi, non passeranno attraverso i tuoi endpoint che decrittografano il traffico man-in-the-middle.
4. Esistono inoltre numerose questioni relative alla protezione dei dati e alla conformità con la decrittografia dei dati per l'analisi e l'archiviazione.
Ad esempio, ciò potrebbe comportare la memorizzazione di dati personali identificativi (PII) o altri dati sensibili quali carte di pagamento o numeri di previdenza sociale.
Crittografare tutto il traffico sulla rete è fondamentalmente positivo. Pertanto, l'implementazione efficace dello ZTA richiede una soluzione NDR moderna in grado di raccogliere metadati sul traffico crittografato e utilizzare l'apprendimento automatico per rilevare comunicazioni dannose provenienti da malware aggressori nella rete, senza fare affidamento sul sovraccarico degli agenti.
NDR di Vectra: essenziale per Zero Trust del NIST
Vectra è l'unico NDR conforme allo standard FIPS con sede negli Stati Uniti presente nell'elenco dei prodotti approvati dal CDM del Dipartimento della Sicurezza Nazionale che utilizza l'intelligenza artificiale. La nostra IA include deep learning e reti neurali per fornire visibilità nelle infrastrutture su larga scala monitorando continuamente tutto il traffico di rete, gli account, le identità, i log rilevanti e cloud .
Ogni dispositivo abilitato IP sulla rete viene identificato e tracciato, estendendo la visibilità a server, laptop, stampanti, dispositivi personali (BYOD) e dispositivi IoT, nonché a tutti i sistemi operativi e le applicazioni.
La piattaforma Cognito di Vectra è in grado di rilevare attacchi avanzati mentre si verificano in tutto il traffico, dai carichi di lavoro cloud e data center ai dispositivi degli utenti e IoT. Lo facciamo estraendo i metadati da tutti i pacchetti e i log, senza richiedere la decrittografia.
La piattaforma Cognito assegna un punteggio a tutte le identità presenti nella piattaforma in base agli stessi criteri utilizzati per gli host. Ciò consente di visualizzare i privilegi osservati nel sistema anziché i privilegi assegnati in modo statico.
Ci congratuliamo con il NIST per aver sottolineato l'importanza di una soluzione NDR come elemento chiave di qualsiasi ZTA. Noi di Vectra siamo orgogliosi di offrire una soluzione NDR chiavi in mano alle organizzazioni che stanno intraprendendo il percorso verso l'implementazione di un'architettura di sicurezza moderna.
Per scoprire in che modo NDR e Zero Trust le organizzazioni a raggiungere questi obiettivi, prenota oggi stesso una demo.