Vectra sieht im maschinellen Lernen Potential

Neue NIST-Richtlinien zur Zero-Trust-Architektur

| Redakteur: Peter Schmitz

Das NIST sieht eine Zero-Trust-Architektur als wichtigen Baustein einer umfassenden IT-Security-Strategie.
Das NIST sieht eine Zero-Trust-Architektur als wichtigen Baustein einer umfassenden IT-Security-Strategie. (Bild: gemeinfrei / Pixabay)

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology (NIST) den Entwurf einer Publikation zur Zero-Trust-Architektur (NIST SP 800-207), kurz ZTA. Vectra sieht maschinelles Lernen und KI als Grundstein für eine erfolgreiche ZTA.

Laut NIST kann „kein Unternehmen das Cybersicherheitsrisiko vollständig eliminieren. Ergänzt durch bestehende Cybersicherheitsrichtlinien und -verfahren, Identitäts- und Zugriffsmanagement, kontinuierliche Überwachung und allgemeine Cyberhygiene kann eine ZTA die Gesamtrisikoexposition reduzieren und Schutz bieten vor gängigen Bedrohungen.

Vectra begrüßt die Veröffentlichung des NIST-Entwurf SP 800-207, zumal diese inhaltlich eng mit dem übereinstimmt, was Vectra bislang bereits über die Bedeutung der Netzwerksichtbarkeit für die Stärkung einer Zero-Trust-Architektur diskutiert hatte. Während dieses fast 50-seitige Dokument mehrere Bereitstellungsmodelle und Anwendungsfälle abdeckt, gibt es zwei Kernpunkte der Zero-Trust-Architektur: die Entschlüsselung, die keine Priorität sein sollte, und den Blick über die Hosts hinaus.

Entschlüsselung des Datenverkehrs von der Prioritätsliste nehmen

Moderne Unternehmensnetzwerke unterliegen großen und schnellen Veränderungen, die sowohl auf immer mehr mobile und entfernte Arbeitskräfte als auch auf den schnellen Ausbau von Cloud-Diensten zurückzuführen sind. Darüber hinaus verlassen sich Unternehmen zunehmend auf nicht unternehmenseigene Systeme und Anwendungen. Diese Systeme und Anwendungen von Drittanbietern sind oft resistent gegen passive Überwachung, was bedeutet, dass die Untersuchung von verschlüsseltem Datenverkehr und Deep Packet Inspection (DPI) in den meisten Fällen nicht möglich ist.

Infolgedessen werden herkömmliche Netzwerkanalysetools, die auf Transparenz an Endpunkten von lokalen Netzwerken wie Intrusion Detection Systems (IDS) angewiesen sind, schnell obsolet. Aber wie das NIST anmerkt, „Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, verschlüsselten Datenverkehr zu analysieren, den es im Netzwerk sieht. Das Unternehmen kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese verwenden, um mögliche Malware zu erkennen, die im Netzwerk oder bei einem aktiven Angreifer kommuniziert. Techniken des maschinellen Lernens ... können verwendet werden, um Traffic zu analysieren, der nicht entschlüsselt und untersucht werden kann.“

Vectra betont, dass Unternehmen sich nicht auf die Entschlüsselung verlassen müssen, um Bedrohungen zu erkennen. Im Wesentlichen geht es um diese Kernpunkte:

  • 1. Unternehmen gewinnen nichts, wenn Sie Pakete entschlüsseln. Alle Informationen, die zur Erkennung von Bedrohungen benötigt werden, können aus dem Datenverkehr und den Metadaten selbst ermittelt werden.
  • 2. Es wird schwieriger sein, den Datenverkehr zu entschlüsseln. Die Einführung von Sicherheitserweiterungen wie HTTP Public Key Pinning (HPKP) wird die Inspektion des Datenverkehrs per Design erschweren.
  • 3. Potentiell bedrohte Unternehmen werden nie in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln. Angreifer werden ihre Schlüssel sowieso nicht benutzen.

Stattdessen erfordert eine erfolgreiche Implementierung einer ZTA eine moderne Network Detection and Response (NDR)-Lösung, die Metadaten über verschlüsselten Datenverkehr sammeln und maschinelles Lernen nutzen kann, um bösartige Kommunikationen von Malware oder Angreifern im Netzwerk zu erkennen.

Einen Überblick über das gesamte Benutzer- und Systemverhalten verschaffen

Ein wesentlicher Bestandteil der Zero-Trust-Architektur ist es, die Nutzung von Privilegien im Netzwerk zu überwachen und den Zugriff auf der Grundlage von Verhaltensweisen kontinuierlich zu kontrollieren. Das US-Heimatschutzministerium DHS (Department of Homeland Security) nennt dies Continuous Diagnostics and Mitigation (CDM). Doch CDM geht über die bloße Beobachtung von Hosts hinaus und versucht, Antworten zu liefern auf folgende Fragen:

  • Welche Geräte, Anwendungen und Dienste sind mit dem Netzwerk verbunden und werden vom Netzwerk genutzt?
  • Welche Benutzer und Konten (einschließlich Servicekonten) greifen auf das Netzwerk zu?
  • Welche Verkehrsmuster und Nachrichten werden über das Netzwerk ausgetauscht?

Auch dies macht die Bedeutung der Netzwerksichtbarkeit deutlich. Unternehmen müssen Einblick in alle Akteure und Komponenten ihres Netzwerks haben, um Bedrohungen zu überwachen und zu erkennen. Tatsächlich ist, wie im NIST-Bericht erwähnt, „ein starkes CDM-Programm der Schlüssel zum Erfolg einer ZTA“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46279388 / Sicherheits-Policies)