Por qué la arquitectura NIST Zero Trust ya no requiere descifrado

14 de enero de 2021

La arquitectura de Zero Trust del NIST y el papel del NDR

"Zero trust (ZT) es un paradigma de ciberseguridad centrado en la protección de los recursos y en la premisa de que la confianza nunca se concede de forma implícita, sino que debe evaluarse continuamente."
- NIST

El año pasado, escribí sobre el borrador de publicación del Instituto Nacional de Estándares y Tecnología (NIST) para la Zero Trust (NIST SP 800-207) o ZTA. También hemos cubierto recientemente las razones por las que la detección y respuesta de red (NDR) es un componente esencial de la ZTA del NIST.

Con la amplia adopción de tráfico cifrado y aplicaciones de software como servicio (SaaS) y activos que no son propiedad de la empresa (por ejemplo, servicios contratados que utilizan la infraestructura de la empresa para acceder a Internet), las soluciones de supervisión que se basan en la inspección profunda de paquetes (DPI) tendrán dificultades para evaluar a un posible atacante en la red.

Pero, como señala el NIST, "eso no significa que la empresa no pueda analizar el tráfico cifrado que ve en la red. La empresa puede recopilar metadatos sobre el tráfico cifrado y utilizarlos para detectar a un atacante activo o un posible malware que se esté comunicando en la red. Las técnicas de aprendizaje automático... pueden utilizarse para analizar el tráfico que no puede descifrarse y examinarse".

Por qué el NIST desaconseja el descifrado en la Zero Trust

Hemos escrito que no tienes que confiar en el descifrado para detectar amenazas, y por qué descifrar para inspeccionar el tráfico es un enfoque desaconsejable. De hecho, llevamos mucho tiempo animando a nuestros clientes a cifrarlo todo.

Fundamentalmente se reduce a unos pocos puntos clave:

1. No ganas nada descifrando paquetes

Toda la información necesaria para detectar amenazas puede determinarse aplicando el aprendizaje automático al tráfico y a los propios metadatos, como señala el NIST.

2. Será cada vez más difícil descifrar el tráfico y las soluciones que se basan en esta

La adopción de TLS 1.3 y de extensiones de seguridad como HTTP public key pinning (HPKP), HTTP strict transport security (HSTS), DNS over HTTPS (DoH) y encrypted server name indication (ESNI) dificultará por diseño la inspección del tráfico.

3. Nunca podrás descifrar el tráfico de los atacantes

Los atacantes no utilizan sus claves de cifrado y, en muchos casos, no pasan por sus puntos finales que descifran el tráfico man-in-the-middle.

4. La descifrado de datos para su análisis y almacenamiento también plantea numerosos problemas de protección de datos y cumplimiento de la normativa.

Por ejemplo, esto podría dar lugar a que se almacenen PII u otros datos sensibles, como tarjetas de pago o SSN.

Cifrar todo el tráfico de la red es fundamentalmente bueno. Por tanto, para implantar con éxito la ZTA se necesita una solución NDR moderna que pueda recopilar metadatos sobre el tráfico cifrado y utilizar el aprendizaje automático para detectar comunicaciones maliciosas de malware o atacantes en la red, sin depender de la sobrecarga de los agentes.

NDR de Vectra: esencial para la arquitectura de Zero Trust del NIST

Vectra es el único NDR estadounidense compatible con FIPS de la lista de productos aprobados por el MDL del Departamento de Seguridad Nacional que utiliza inteligencia artificial. Nuestra IA incluye aprendizaje profundo y redes neuronales para proporcionar visibilidad en infraestructuras a gran escala mediante la supervisión continua de todo el tráfico de red, cuentas, identidades, registros relevantes y eventos cloud .

Cada dispositivo habilitado para IP en la red se identifica y rastrea, ampliando la visibilidad a servidores, portátiles, impresoras, dispositivos BYOD (traiga su propio dispositivo) y dispositivos IoT, así como a todos los sistemas operativos y aplicaciones.

La plataforma Cognito de Vectra puede detectar ataques avanzados a medida que se producen en todo el tráfico, desde cargas de trabajo cloud y centros de datos hasta dispositivos de usuario e IoT. Para ello, extraemos metadatos de todos los paquetes y registros, sin necesidad de descifrarlos.

La Plataforma Cognito puntúa todas las identidades en la plataforma según los mismos criterios que los hosts. Esto le permite ver los privilegios observados en su sistema en contraposición al privilegio estático asignado.

Aplaudimos al NIST por destacar la importancia de una solución NDR como parte clave de cualquier ZTA. En Vectra, estamos orgullosos de ofrecer una solución NDR llave en mano a las organizaciones en su camino hacia la implantación de una arquitectura de seguridad moderna.

Para descubrir cómo NDR y Zero Trust ayudarán a las organizaciones a alcanzar estos objetivos, programe una demostración hoy mismo.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Preguntas frecuentes

¿Por qué el NIST desaconseja el descifrado en Zero Trust?

El NIST desaconseja el descifrado debido a su creciente dificultad y a sus limitados beneficios, abogando en su lugar por el análisis de metadatos.

¿Qué papel desempeñan los metadatos en la detección de amenazas?

Los metadatos proporcionan información crucial sobre los patrones de tráfico de la red, lo que permite una detección eficaz de las amenazas sin necesidad de descifrarlas.

¿Por qué es esencial la supervisión continua en la arquitectura Zero Trust ?

La supervisión continua garantiza la detección y respuesta en tiempo real a las amenazas, un principio clave de Zero Trust.

¿Cuáles son las ventajas de no descifrar el tráfico de red?

No descifrar el tráfico reduce la sobrecarga, mejora el cumplimiento de la privacidad y sigue permitiendo una detección eficaz de las amenazas.

¿Cómo cumple la solución NDR de Vectra AI AI con la Arquitectura Zero Trust del NIST?

La solución NDR de Vectra AI AI cumple mediante la supervisión continua del tráfico de red y el uso de IA para la detección de amenazas.

¿Cómo gestiona Vectra AI el tráfico cifrado?

Vectra AI utiliza metadatos y aprendizaje automático para detectar amenazas en el tráfico cifrado sin necesidad de descifrarlo.

¿Cómo mejora el aprendizaje automático la seguridad de las redes?

El aprendizaje automático analiza patrones y detecta anomalías, mejorando la detección proactiva de amenazas en las redes.

¿Cómo implementa Vectra AI AI la Detección y Respuesta de Red (NDR)?

Vectra AI implementa NDR utilizando el aprendizaje automático para detectar amenazas y proporcionar información procesable.

¿Cuáles son las ventajas de no descifrar el tráfico de red?

Descifrar el tráfico es cada vez más difícil con los modernos estándares de cifrado y plantea riesgos para la privacidad.

¿Qué es la arquitectura de Zero Trust ?

La arquitectura Zero Trust garantiza la ausencia de confianza implícita, verificando continuamente cada solicitud de acceso para mejorar la seguridad.