O papel da visibilidade e análise em arquiteturas de confiança zero

Views: 554
0 0
Read Time:5 Minute, 30 Second

Arquitetura de confiança zero (ZTA) não é um conceito novo, mas com a Ordem Executiva da Casa Branca publicada no início deste ano, muitos no espaço de rede começaram a se perguntar sobre como a análise de visibilidade de rede se encaixa na equação. Para responder a isso, primeiro precisamos ver o que está impulsionando essa mudança.

A seção 3 do EO afirma que as agências (e organizações que trabalham com elas) devem adotar as melhores práticas de segurança, avançar em direção ao ZTA e acelerar o movimento para proteger os serviços de nuvem SaaS, IaaS e PaaS. Solicitou que as agências governamentais atualizassem os planos existentes para priorizar os recursos para a adoção e uso da tecnologia em nuvem e para desenvolver planos para implementar o ZTA (usando as etapas de migração do NIST). Também apelou à Cybersecurity and Infrastructure Security Agency (CISA) para se modernizar para ser totalmente funcional com ambientes de computação em nuvem com ZTA, e para o FedRAMP desenvolver princípios de segurança que regem os provedores de serviços em nuvem para incorporação nos esforços de modernização da agência. 

Com toda a confusão do fornecedor sobre o que é e o que não é ZTA, gostaria de explorar seu impacto na visibilidade da rede (e nos requisitos).

De acordo com o NIST, “confiança zero é o termo para um conjunto em evolução de paradigmas de segurança cibernética que move as defesas de perímetros estáticos baseados em rede para enfocar nos usuários, ativos e recursos. A ZTA usa princípios de confiança zero para planejar a infraestrutura e os fluxos de trabalho industriais e empresariais ”. Os princípios básicos do NIST desta abordagem incluem:

  • Toda a rede privada corporativa não é considerada uma zona de confiança implícita
  • Dispositivos na rede podem não ser de propriedade ou configuráveis ​​pela empresa
  • Nenhum recurso é inerentemente confiável
  • Nem todos os recursos da empresa estão em uma infraestrutura de propriedade da empresa
  • Assuntos e ativos de empresas remotas não podem confiar totalmente em sua conexão de rede local
  • Ativos e fluxos de trabalho que se movem entre a infraestrutura corporativa e não corporativa devem ter políticas e posturas de segurança consistentes.

Mas como o ZTA é relevante para a visibilidade da rede ou monitoramento do desempenho da rede (NPM)? 

Existem três abordagens de arquitetura NIST para ZTA que têm implicações de visibilidade de rede. A primeira é usar governança de identidade aprimorada, que (por exemplo) significa usar identidade de usuários para permitir acesso apenas a recursos específicos depois de verificados. A segunda é usar a microssegmentação, por exemplo, ao dividir ativos ou cargas de trabalho em nuvem ou data center, segmentando esse tráfego de outros para conter, mas também impedir o movimento lateral. E, finalmente, usando a infraestrutura de rede e os perímetros definidos por software, como o acesso à rede de confiança zero (ZTNA) que, por exemplo, permite que funcionários remotos se conectem apenas a recursos específicos.

O NIST também descreve o monitoramento de implantações de ZTA. Descrever que o monitoramento do desempenho da rede precisará de recursos de segurança para visibilidade. Isso inclui que o tráfego deve ser inspecionado e registrado na rede (e analisado para identificar e alcançar ataques em potencial), incluindo logs de ativos, tráfego de rede e ações de acesso a recursos.

Além disso, o NIST expressa preocupação com a incapacidade de acessar todo o tráfego relevante e criptografado – que pode se originar de ativos não pertencentes à empresa (como serviços contratados que usam a infraestrutura corporativa para acessar a internet) ou aplicativos e / ou serviços que são resistentes ao monitoramento passivo. As organizações que não podem realizar uma inspeção profunda de pacotes ou examinar o tráfego criptografado devem usar outros métodos para avaliar um possível invasor na rede.

DoD divide as arquiteturas ZTA em sete pilares de confiança: Usuário, Dispositivo, Rede / Ambiente, Aplicativo e Carga de Trabalho, Dados, Visibilidade e Análise e Automação e Orquestração. Não é de surpreender que o NPM seja diretamente relevante para o pilar Visibilidade e Análise. Aqui estão quatro maneiras que o NPM se encaixa na arquitetura ZTA:

  • O NPM pode oferecer detalhes contextuais e uma compreensão do desempenho, comportamento e atividade em outros pilares, incluindo aplicativos e usuários. Por exemplo, monitorar o desempenho do aplicativo em várias partes da rede e / ou apontar para problemas de segurança como negação de serviço ou dispositivos de rede comprometidos. O NPM também pode fornecer análise do comportamento do usuário em relação aos padrões de tráfego dos aplicativos de vários dispositivos do usuário.
  • O NPM melhora a detecção de comportamento anômalo e permite que as partes interessadas façam mudanças dinâmicas nas políticas de segurança e nas decisões de acesso em tempo real. Por exemplo, aproveitando AIOps de rede para procurar comportamento anômalo dentro e entre sites. Se um grande volume de tráfego estiver indicando algum tipo de exfiltração de dados, isso pode ser alertado e as políticas de segurança ajustadas. Outro exemplo são as redes microssegmentadas usando VXLAN e tendo visibilidade das várias redes virtuais, incluindo o tráfego dentro de cada VXLAN. É importante saber se as políticas de segurança adequadas estão funcionando.
  • O NPM dá consciência situacional de ambientes e dispara alertas para resposta. Por exemplo, em redes SD-WAN , os aplicativos podem ajustar os caminhos percorridos, o que pode ter consequências de desempenho e segurança. Os produtos NPM que se integram ao SD-WAN podem alertar sobre esses tipos de condições. Outro exemplo são as redes em nuvem, onde monitorar e alertar sobre o tráfego rejeitado pode ser usado para procurar atividades suspeitas e ajustar as políticas de segurança da nuvem de acordo.
  • O NPM captura e inspeciona o tráfego. Ele permite que a TI investigue pacotes específicos, descubra com precisão o tráfego na rede e observe as ameaças que estão presentes para orientar as defesas. Por exemplo, usando a análise de tráfego criptografada (ETA), a análise de pacotes pode ser usada para monitorar continuamente o tráfego em busca de comportamento suspeito e correlacioná-lo com indicadores de ameaça para reduzir incidentes de alto impacto em tempo real. Isso está se tornando mais importante à medida que grande parte do tráfego está se tornando criptografado e ter visibilidade desse tráfego é fundamental para ambientes corporativos e de nuvem.

Conforme as organizações procuram se alinhar com o ZTA, a visibilidade desempenha um papel importante no atendimento de novos requisitos.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS