Modèle d'architecture de confiance zéro du NIST et NDR
"La confiance zéro (ZT) est un paradigme de cybersécurité axé sur la protection des ressources et sur le principe selon lequel la confiance n'est jamais accordée implicitement mais doit être évaluée en permanence".
- NIST
L'année dernière, j'ai écrit sur le projet de publication du National Institute for Standards and Technology (NIST) concernant l'architecture de confiance zéro(NIST SP 800-207) ou ZTA. Nous avons également abordé récemment les raisons pour lesquelles détection et réponse aux incidents (NDR) est un élément essentiel de la ZTA du NIST.
Avec l'adoption généralisée du trafic crypté, des applications SaaS (Software as a Service) et des actifs n'appartenant pas à l'entreprise (par exemple, les services sous-traités qui utilisent l'infrastructure de l'entreprise pour accéder à Internet), les solutions de surveillance qui reposent sur l'inspection approfondie des paquets (DPI) auront du mal à évaluer la présence d'un éventuel attaquant sur le réseau.
Mais comme le souligne le NIST, "cela ne signifie pas que l'entreprise est incapable d'analyser le trafic crypté qu'elle voit sur le réseau. L'entreprise peut collecter des métadonnées sur le trafic crypté et les utiliser pour détecter un attaquant actif ou un éventuel logiciel malveillant communiquant sur le réseau. Les techniques d'apprentissage automatique [...] peuvent être utilisées pour analyser le trafic qui ne peut pas être décrypté et examiné".
Pourquoi ne pas décrypter selon le NIST
Nous avons déjà écrit qu'il n'est pas nécessaire de s'appuyer sur le déchiffrement pour détecter les menaces et que le déchiffrement pour inspecter le trafic est une approche peu judicieuse. En fait, nous encourageons depuis longtemps nos clients à tout chiffrer.
Cela se résume fondamentalement à quelques points clés :
Vous ne gagnez rien à décrypter les paquets
Toutes les informations nécessaires à la détection des menaces peuvent être déterminées en appliquant l'apprentissage automatique au trafic et aux métadonnées eux-mêmes, comme l'indique le NIST.
Il sera de plus en plus difficile de décrypter le trafic et les solutions qui s'appuient sur cette technologie seront de plus en plus difficiles à mettre en œuvre.
L'adoption de TLS 1.3 et des extensions de sécurité telles que HTTP public key pinning (HPKP), HTTP strict transport security (HSTS), DNS over HTTPS (DoH) et encrypted server name indication (ESNI) rendra l'inspection du trafic plus difficile de par sa conception.
Vous ne pourrez jamais décrypter le trafic d'un attaquant
Les attaquants n'utilisent pas vos clés de chiffrement et, dans de nombreux cas, ne passent pas par vos points d'extrémité qui décryptent le trafic man-in-the-middle.
Le décryptage des données à des fins d'analyse et leur stockage posent également de nombreux problèmes de protection des données et de conformité.
Par exemple, cela pourrait conduire à des IPI stockées ou à d'autres données sensibles telles qu'une carte de paiement ou un numéro de sécurité sociale.
Le chiffrement de l'ensemble du trafic sur le réseau est fondamentalement une bonne chose. Par conséquent, une mise en œuvre réussie de la ZTA nécessite une solution NDR moderne capable de collecter des métadonnées sur le trafic crypté et d'utiliser l'apprentissage automatique pour détecter les communications malveillantes provenant de logiciels malveillants ou d'attaquants sur le réseau, sans dépendre de la surcharge des agents.
VectraLa NDR du NIST : un élément clé de l'architecture de confiance zéro du NIST
Vectra est le seul NDR américain conforme à la norme FIPS figurant sur la liste des produits approuvés par le CDM du ministère de la sécurité intérieure qui utilise l'intelligence artificielle. Notre IA inclut l'apprentissage profond et les réseaux neuronaux pour fournir une visibilité dans les infrastructures à grande échelle en surveillant en permanence tout le trafic réseau, les comptes, les identités, les journaux pertinents et les événements cloud .
Chaque appareil compatible IP sur le réseau est identifié et suivi, ce qui étend la visibilité aux serveurs, ordinateurs portables, imprimantes, appareils BYOD (bring your own device) et appareils IoT, ainsi qu'à l'ensemble des systèmes d'exploitation et des applications.
La plateforme Cognito de Vectra peut détecter les attaques avancées au moment où elles se produisent dans tout le trafic, depuis cloud/SaaS et les charges de travail des centres de données jusqu'aux utilisateurs et aux appareils IoT. Pour ce faire, nous extrayons les métadonnées de tous les paquets et journaux, sans nécessiter de décryptage -pour en savoir plus, consultez notre livre blanc ici.
La plateforme Cognito évalue toutes les identités de la plateforme selon les mêmes critères que les hôtes. Cela vous permet de voir les privilèges observés dans votre système par opposition aux privilèges statiques attribués.
Nous félicitons le NIST d'avoir souligné l'importance d'une solution NDR en tant qu'élément clé de toute ZTA. Sur Vectra, nous sommes fiers d'offrir une solution NDR clé en main aux organisations qui souhaitent mettre en œuvre une architecture de sécurité moderne.
Pour découvrir comment NDR et Zero Trust peuvent aider les organisations à atteindre ces objectifs, planifiez une démonstration dès aujourd'hui.