Qu'est-ce que l'architecture Zero Trust du NIST ?
Le 23 septembre, le National Institute for Standards and Technology (NIST) a publié le projet de publication sur l'architecture de la ZTA (NIST SP 800-207). Zero Trust Architecture(NIST SP 800-207), ou ZTA.
Selon le NIST, "aucune entreprise ne peut éliminer complètement le risque de cybersécurité. Lorsqu'elle est complétée par les politiques et les orientations existantes en matière de cybersécurité, la gestion des identités et des accès, la surveillance continue et l'hygiène cybernétique générale, la ZTA peut réduire l'exposition globale au risque et protéger contre les menaces courantes."
Vectra se félicite de la publication et de la perspective du NIST, d'autant plus qu'elle s'aligne étroitement avec ce que nous avons discuté précédemment sur l'importance de la visibilité du réseau pour renforcer une architecture Zero Trust . Bien que ce document de près de 50 pages couvre plusieurs modèles de déploiement et cas d'utilisation, il y a deux points clés sur la ZTA sur lesquels nous voulons nous concentrer pour ce blog : priver le décryptage de sa priorité et regarder au-delà des hôtes.
Le NIST recommande d'accorder moins d'importance au décryptage du trafic dans les systèmes d'information. Zero Trust
Les réseaux d'entreprise modernes subissent des changements importants et rapides, en raison d'une main-d'œuvre de plus en plus mobile et distante et de l'expansion rapide des services cloud .
En outre, les organisations s'appuient de plus en plus sur des systèmes et des applications n'appartenant pas à l'entreprise. Ces systèmes et applications tiers résistent souvent à la surveillance passive, ce qui signifie que l'examen du trafic crypté et l'inspection approfondie des paquets (DPI) ne sont pas viables dans la plupart des cas.
Par conséquent, les outils d'analyse de réseau traditionnels qui reposent sur la visibilité des points d'extrémité des réseaux sur site, tels que les systèmes de détection d'intrusion (IDS), deviennent rapidement obsolètes.
Mais comme le souligne le NIST, "cela ne signifie pas que l'entreprise est incapable d'analyser le trafic crypté qu'elle voit sur le réseau. L'entreprise peut collecter des métadonnées sur le trafic crypté et les utiliser pour détecter d'éventuelles malware communiquant sur le réseau ou un attaquant actif. Les techniques d'apprentissage automatique [...] peuvent être utilisées pour analyser le trafic qui ne peut pas être décrypté et examiné".
Nous avons déjà écrit que vous ne devez pas vous fier au décryptage pour détecter les menaces.
Elle se résume fondamentalement à quelques points clés :
- Le décryptage des paquets n'apporte rien. Toutes les informations nécessaires à la détection des menaces peuvent être déterminées à partir du trafic et des métadonnées eux-mêmes.
- Il sera plus difficile de décrypter le trafic. L'adoption d'extensions de sécurité telles que HTTP Public Key Pinning (HPKP) rendra l'inspection du trafic plus difficile de par sa conception.
- Vous ne pourrez jamais décrypter le trafic des attaquants. De toute façon, les attaquants n'utiliseront pas vos clés.
Une mise en œuvre réussie de la ZTA nécessite plutôt une solution détection et réponse aux incidents (NDR) moderne capable de collecter des métadonnées sur le trafic crypté et d'utiliser l'apprentissage automatique pour détecter les communications malveillantes provenant de malware ou d'attaquants dans le réseau.
Visibilité complète du réseau grâce à l'architecture Zero Trust
Une partie fondamentale de l'architecture Zero Trust repose sur la surveillance de la manière dont les privilèges sont utilisés sur le réseau et sur le contrôle continu de l'accès en fonction des comportements. C'est ce que le DHS appelle le diagnostic et l'atténuation continus (CDM).
Mais la MDP va plus loin que la simple observation des hôtes. Il cherche à répondre aux questions suivantes :
- Quels sont les appareils, les applications et les services connectés au réseau et utilisés par celui-ci ?
- Quels sont les utilisateurs et les comptes (y compris les comptes de service) qui accèdent au réseau ?
- Quels sont les modèles de trafic et les messages échangés sur le réseau ?
Encore une fois, cela nous ramène à l'importance de la visibilité du réseau. Les organisations doivent avoir une visibilité sur tous les acteurs et composants de leur réseau pour surveiller et détecter les menaces. En fait, comme le souligne le rapport du NIST, "un programme CDM solide est la clé du succès de la ZTA".
Vectra AI: Essentiel pour une architecture réussie Zero Trust
Vectra est la seule NDR américaine conforme aux normes FIPS figurant sur la liste des produits approuvés par le CDM du ministère de la sécurité intérieure qui utilise l'intelligence artificielle. Notre IA inclut l'apprentissage profond et les réseaux neuronaux pour donner de la visibilité aux infrastructures à grande échelle en surveillant en permanence le trafic réseau, les journaux et les événements cloud .
La plateforme Vectra AI peut détecter les attaques avancées au moment où elles se produisent dans tout le trafic de l'entreprise, y compris dans les centres de données et sur le site cloud. Nous y parvenons en extrayant les métadonnées de tous les paquets. Chaque appareil compatible IP sur le réseau est identifié et suivi, ce qui étend la visibilité aux serveurs, ordinateurs portables, imprimantes, appareils BYOD et IoT, ainsi qu'à tous les systèmes d'exploitation et applications.
La plateforme Vectra AI évalue toutes les identités de la plateforme selon les mêmes critères que les hôtes. Cela vous permet de voir les privilèges observés dans votre système par opposition aux privilèges statiques attribués.
Nous félicitons le NIST d'avoir souligné l'importance d'une solution NDR en tant qu'élément clé de toute ZTA. Chez Vectra AI, nous sommes fiers de pouvoir offrir une solution NDR clé en main à toute organisation sur la voie de la mise en œuvre d'une architecture sécurisée moderne.