Perché l'architettura NIST Zero Trust non richiede più la decifrazione

14 gennaio 2021

Architettura NIST Zero Trust e ruolo dell'NDR

"LaZero trust ) è un paradigma di cybersecurity incentrato sulla protezione delle risorse e sulla premessa che la fiducia non viene mai concessa implicitamente, ma deve essere continuamente valutata".
- NIST

L'anno scorso ho scritto della bozza di pubblicazione del National Institute for Standards and Technology (NIST) per il progetto "Zero Trust". Zero Trust (NIST SP 800-207) o ZTA. Recentemente abbiamo anche illustrato i motivi per cui il rilevamento e la risposta di rete (NDR) sono un componente essenziale della ZTA NIST.

Con l'ampia adozione di traffico crittografato e di applicazioni software as a service (SaaS) e di asset non di proprietà dell'azienda (ad esempio, servizi a contratto che utilizzano l'infrastruttura aziendale per accedere a Internet), le soluzioni di monitoraggio che si basano sulla deep packet inspection (DPI) faranno fatica a valutare un possibile attaccante sulla rete.

Tuttavia, come osserva il NIST, "questo non significa che l'azienda non sia in grado di analizzare il traffico crittografato che vede sulla rete. L'azienda può raccogliere metadati sul traffico criptato e utilizzarli per individuare un attaccante attivo o un possibile malware che comunica sulla rete. Le tecniche di apprendimento automatico... possono essere utilizzate per analizzare il traffico che non può essere decifrato ed esaminato".

Perché il NIST sconsiglia la decrittazione in Zero Trust

Abbiamo scritto che non è necessario affidarsi alla decrittografia per rilevare le minacce e che la decrittografia per ispezionare il traffico è un approccio sconsiderato. In effetti, da tempo incoraggiamo i nostri clienti a crittografare tutto.

Fondamentalmente si riduce ad alcuni punti chiave:

1. Non si guadagna nulla decriptando i pacchetti

Tutte le informazioni necessarie per rilevare le minacce possono essere determinate applicando l'apprendimento automatico al traffico e ai metadati stessi, come ha osservato il NIST.

2. Sarà sempre più difficile decriptare il traffico e le soluzioni che si basano su questo

L'adozione di TLS 1.3 e di estensioni di sicurezza come HTTP public key pinning (HPKP), HTTP strict transport security (HSTS), DNS over HTTPS (DoH) e encrypted server name indication (ESNI) renderanno più difficile l'ispezione del traffico.

3. Non sarete mai in grado di decriptare il traffico degli aggressori.

Gli aggressori non utilizzano le vostre chiavi di crittografia e in molti casi non passano attraverso i vostri endpoint che decifrano il traffico man-in-the-middle.

4. Esistono inoltre numerosi problemi di protezione dei dati e di conformità con la decodifica dei dati per l'analisi e l'archiviazione.

Ad esempio, questo potrebbe portare alla memorizzazione di PII o di altri dati sensibili come carte di pagamento o SSN.

La crittografia di tutto il traffico in rete è fondamentalmente positiva. Pertanto, l'implementazione di ZTA richiede una soluzione NDR moderna in grado di raccogliere metadati sul traffico crittografato e di utilizzare l'apprendimento automatico per rilevare comunicazioni dannose da parte di malware o aggressori nella rete, senza fare affidamento sull'overhead degli agenti.

NDR di Vectra: essenziale per l'architettura NIST Zero Trust

Vectra è l'unico NDR FIPS-compliant con sede negli Stati Uniti nell'elenco dei prodotti approvati dal Department of Homeland Security CDM che utilizza l'intelligenza artificiale. La nostra intelligenza artificiale include l'apprendimento profondo e le reti neurali per fornire visibilità nelle infrastrutture su larga scala, monitorando continuamente tutto il traffico di rete, gli account, le identità, i log rilevanti e gli eventi cloud .

Ogni dispositivo abilitato all'IP sulla rete viene identificato e tracciato, estendendo la visibilità a server, laptop, stampanti, dispositivi BYOD (Bring Your Own Device) e IoT, nonché a tutti i sistemi operativi e alle applicazioni.

La piattaforma Cognito di Vectra è in grado di rilevare gli attacchi avanzati mentre si verificano in tutto il traffico, dai carichi di lavoro di cloud e data center ai dispositivi utente e IoT. Per farlo, estraiamo i metadati da tutti i pacchetti e i log, senza doverli decifrare.

La piattaforma Cognito assegna un punteggio a tutte le identità della piattaforma in base agli stessi criteri degli host. Ciò consente di vedere i privilegi osservati nel vostro sistema rispetto ai privilegi statici assegnati.

Ci congratuliamo con il NIST per aver sottolineato l'importanza di una soluzione NDR come parte fondamentale di qualsiasi ZTA. Noi di Vectra siamo orgogliosi di offrire una soluzione NDR "chiavi in mano" alle organizzazioni nel loro percorso di implementazione di una moderna architettura di sicurezza.

Per scoprire come NDR e Zero Trust possono aiutare le aziende a raggiungere questi obiettivi, programmate una demo oggi stesso.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

DOMANDE FREQUENTI

Perché il NIST raccomanda di non decifrare in Zero Trust?

Il NIST sconsiglia la decrittazione a causa della crescente difficoltà e dei vantaggi limitati, e raccomanda invece l'analisi dei metadati.

Qual è il ruolo dei metadati nel rilevamento delle minacce?

I metadati forniscono informazioni cruciali sui modelli di traffico di rete, consentendo un rilevamento efficace delle minacce senza decodifica.

Perché il monitoraggio continuo è essenziale nell'architettura Zero Trust ?

Il monitoraggio continuo garantisce il rilevamento e la risposta in tempo reale alle minacce, un principio chiave di Zero Trust.

Quali sono i vantaggi di non decriptare il traffico di rete?

La mancata decodifica del traffico riduce i costi generali, migliora la conformità alla privacy e consente comunque di rilevare efficacemente le minacce.

In che modo la soluzione NDR di Vectra AI è conforme alla NIST Zero Trust Architecture?

La soluzione NDR di Vectra AI è conforme monitorando continuamente il traffico di rete e utilizzando l'intelligenza artificiale per il rilevamento delle minacce.

Come gestisce Vectra AI il traffico criptato?

Vectra AI utilizza i metadati e l'apprendimento automatico per rilevare le minacce nel traffico crittografato senza bisogno di decifrarlo.

In che modo l'apprendimento automatico migliora la sicurezza delle reti?

L'apprendimento automatico analizza i modelli e rileva le anomalie, migliorando il rilevamento proattivo delle minacce nelle reti.

In che modo Vectra AI implementa il Network Detection and Response (NDR)?

Vectra AI implementa l'NDR utilizzando l'apprendimento automatico per rilevare le minacce e fornire informazioni utili.

Quali sono i vantaggi di non decriptare il traffico di rete?

La decrittazione del traffico è sempre più difficile con i moderni standard di crittografia e comporta rischi per la privacy.

Che cos'è l'Architettura Zero Trust ?

L'architettura Zero Trust garantisce l'assenza di fiducia implicita, verificando continuamente ogni richiesta di accesso per aumentare la sicurezza.