Qué es la arquitectura Zero Trust del NIST
El 23 de septiembre, el Instituto Nacional de Normas y Tecnología (NIST) publicó el borrador de Zero Trust (NIST SP 800-207), o ZTA.
Según el NIST, "ninguna empresa puede eliminar por completo el riesgo de ciberseguridad. Cuando se complementa con las políticas y directrices de ciberseguridad existentes, la gestión de identidades y accesos, la supervisión continua y la ciberhigiene general, la ZTA puede reducir la exposición global al riesgo y proteger frente a las amenazas comunes."
Vectra acoge con satisfacción la publicación y la perspectiva del NIST, especialmente porque se alinea estrechamente con lo que hemos discutido anteriormente sobre la importancia de la visibilidad de la red para fortalecer una Arquitectura Zero Trust . Y aunque este documento de casi 50 páginas cubre varios modelos de despliegue y casos de uso, hay dos puntos clave sobre la ZTA en los que queremos centrarnos para este blog: despriorizar el descifrado y mirar más allá de los hosts.
El NIST recomienda quitar prioridad al descifrado del tráfico en la Zero Trust
Las redes empresariales modernas están experimentando grandes y rápidos cambios, debido tanto a una plantilla cada vez más móvil y remota como a la rápida expansión de los servicios cloud .
Además, las organizaciones dependen cada vez más de sistemas y aplicaciones que no son propiedad de la empresa. Estos sistemas y aplicaciones de terceros suelen ser resistentes a la supervisión pasiva, lo que significa que el examen del tráfico cifrado y la inspección profunda de paquetes (DPI) no son viables en la mayoría de los casos.
Como resultado, las herramientas tradicionales de análisis de redes que se basan en la visibilidad en los puntos finales de las redes locales, como los sistemas de detección de intrusiones (IDS), se están quedando rápidamente obsoletas.
Pero, como señala el NIST, "eso no significa que la empresa no pueda analizar el tráfico cifrado que ve en la red. La empresa puede recopilar metadatos sobre el tráfico cifrado y utilizarlos para detectar posibles malware que se comunican en la red o un atacante activo. Las técnicas de aprendizaje automático... pueden utilizarse para analizar el tráfico que no puede descifrarse y examinarse".
Ya hemos escrito antes que no hay que confiar en el descifrado para detectar amenazas.
Fundamentalmente se reduce a unos pocos puntos clave:
- No se gana nada descifrando paquetes. Toda la información necesaria para detectar amenazas puede determinarse a partir del propio tráfico y los metadatos.
- Será más difícil descifrar el tráfico. La adopción de extensiones de seguridad como HTTP Public Key Pinning (HPKP) dificultará por diseño la inspección del tráfico.
- Nunca podrás descifrar el tráfico de los atacantes. De todas formas, los atacantes no utilizarán tus claves.
En su lugar, una implementación satisfactoria de la ZTA requiere una solución moderna de detección y respuesta de red (NDR) que pueda recopilar metadatos sobre el tráfico cifrado y utilizar el aprendizaje automático para detectar comunicaciones maliciosas de malware o atacantes en la red.
Visibilidad total de la red con una arquitectura Zero Trust
Una parte fundamental de la Arquitectura Zero Trust se basa en supervisar cómo se utilizan los privilegios en la red y controlar continuamente el acceso en función de los comportamientos. El DHS lo denomina Diagnóstico y Mitigación Continuos (CDM).
Pero el MDL va más allá de la mera observación de los anfitriones. Trata de responder a lo siguiente:
- ¿Qué dispositivos, aplicaciones y servicios están conectados a la red y son utilizados por ésta?
- ¿Qué usuarios y cuentas (incluidas las de servicio) acceden a la red?
- ¿Qué patrones de tráfico y mensajes se intercambian a través de la red?
Una vez más, esto nos remite a la importancia de la visibilidad de la red. Las organizaciones deben tener visibilidad de todos los actores y componentes de su red para supervisar y detectar las amenazas. De hecho, como se señala en el informe del NIST, "un programa CDM sólido es clave para el éxito de la ZTA".
Vectra AI: esencial para el éxito de una arquitectura Zero Trust
Vectra es el único NDR estadounidense compatible con FIPS de la lista de productos aprobados por el MDL del Departamento de Seguridad Nacional que utiliza inteligencia artificial. Nuestra IA incluye aprendizaje profundo y redes neuronales para dar visibilidad en infraestructuras a gran escala mediante la supervisión continua del tráfico de red, los registros y los eventos cloud .
La plataforma Vectra AI puede detectar ataques avanzados a medida que se producen en todo el tráfico empresarial, incluidos los centros de datos y la cloud. Para ello, extraemos metadatos de todos los paquetes. Se identifica y rastrea cada dispositivo habilitado para IP en la red, ampliando la visibilidad a servidores, portátiles, impresoras, dispositivos BYOD e IoT, así como a todos los sistemas operativos y aplicaciones.
La plataforma Vectra AI puntúa todas las identidades en la plataforma según los mismos criterios que los hosts. Esto le permite ver los privilegios observados en su sistema en contraposición al privilegio estático asignado.
Aplaudimos al NIST por destacar la importancia de una solución NDR como parte clave de cualquier ZTA. En Vectra AI, estamos orgullosos de poder ofrecer una solución NDR llave en mano a cualquier organización en su camino hacia la implementación de una arquitectura segura moderna.