マイクロソフト環境をアイデンティティベースの攻撃から守る。
アイデンティティ・エクスポージャー・ギャップ分析を今すぐご予約ください。
信頼ゼロ

ゼロトラスト・アーキテクチャに関するNISTの新ガイドラインは、ネットワークへのより深い可視性を求めている。

2019年10月7日
Jonathan Barrett
MXDRセキュリティ・アナリスト
ゼロトラスト・アーキテクチャに関するNISTの新ガイドラインは、ネットワークへのより深い可視性を求めている。

NISTのゼロ・トラスト・アーキテクチャとは?

米国立標準技術研究所(NIST)は9月23日、ゼロトラスト ・アーキテクチャ(NIST SP 800-207)(ZTA)のドラフトを発表しました。

NISTによると「いかなる企業もサイバーセキュリティのリスクを完全に排除することはできない。既存のサイバーセキュリティポリシーとガイダンス、アイデンティティとアクセス管理、継続的な監視、一般的なサイバー衛生と補完すれば、ZTAは全体的なリスク露出を減らし、一般的な脅威から保護することができる。

Vectra 特に、ゼロトラスト・アーキテクチャを強化するためのネットワークの可視性の重要性については、以前我々が議論した内容と密接に一致している。50ページ近くに及ぶこの文書は、いくつかの導入モデルやユースケースをカバーしているが、このブログではZTAに関する2つのキーポイントに注目したい。

NISTがトラフィックの復号化を非優先とすることを推奨する理由

現代の企業ネットワークは、モバイルとリモートのワークフォースの増加と、クラウドサービスの急速な拡大により、大規模かつ急速な変化を遂げつつある。

さらに、企業はより多くの非企業所有のシステムやアプリケーションに依存するようになっている。このようなサードパーティのシステムやアプリケーションは、多くの場合パッシブ・モニタリングに耐性があるため、暗号化されたトラフィックの検査やディープ・パケット・インスペクション(DPI)はほとんどの場合実行できません。

その結果、侵入検知システム(IDS)のようなオンプレミスネットワークのエンドポイントでの可視性に依存する従来のネットワーク分析ツールは、急速に時代遅れになりつつある。

しかし、NISTが指摘しているように「だからといって、企業がネットワーク上で目にする暗号化されたトラフィックを分析できないわけではない。企業は暗号化されたトラフィックに関するメタデータを収集し、それを使ってネットワーク上で通信している可能性のあるマルウェアや、アクティブな攻撃者を検知することができる。機械学習技術は...復号化して調べることができないトラフィックを分析するために使うことができる。

検知 、復号化に頼る必要はないと以前書いた。

根本的には、いくつかの重要なポイントに集約される:

  1. パケットを解読しても何も得られない。脅威の検知に必要な情報はすべて、トラフィックとメタデータそのものから判断できる。
  2. トラフィックの解読が難しくなる。HTTP Public Key Pinning (HPKP)のようなセキュリティ拡張機能の採用は、設計上、トラフィックの検査をより困難にする。
  3. 攻撃者のトラフィックを解読することは決してできません。いずれにせよ、攻撃者はあなたの鍵を使うことはない。

その代わりに、ZTAの実装を成功させるには、暗号化されたトラフィックに関するメタデータを収集し、機械学習を使用してネットワーク内のマルウェアや攻撃者からの悪意のある通信を検知できる最新のネットワーク検知およびレスポンス (NDR) ソリューションが必要です。

ゼロトラスト・アーキテクチャにより、すべてのユーザーとシステムの動作を可視化

ゼロトラスト・アーキテクチャの基本的な部分は、ネットワーク上で特権がどのように使用されているかを監視し、行動に基づいて継続的にアクセスを制御することにある。DHSはこれを継続的診断と緩和(CDM)と呼んでいる。

しかし、CDMは単にホストを観察するだけではない。CDMは次のことに答えようとしている:

  • どのようなデバイス、アプリケーション、サービスがネットワークに接続され、ネットワークによって使用されているか?
  • どのようなユーザーとアカウント(サービスアカウントを含む)がネットワークにアクセスしているか?
  • ネットワーク上でどのようなトラフィック・パターンとメッセージがやり取りされているか?

繰り返しになるが、これはネットワークの可視性の重要性に帰結する。組織は、脅威を監視し、検知 、ネットワーク上のすべてのアクターとコンポーネントを可視化する必要がある。実際、NISTの報告書でも指摘されているように「強力なCDMプログラムはZTAの成功の鍵である。」

Vectra Cognitoは成功したゼロトラスト・アーキテクチャの礎石である。

Vectraは、国土安全保障省のCDM承認製品リストに掲載されている、人工知能を使用した唯一の米国ベースのFIPS準拠NDRです。当社のAIにはディープラーニングとニューラルネットワークが含まれており、ネットワークトラフィック、ログ、クラウドイベントを継続的に監視することで、大規模なインフラを可視化します。

Vectra、Cognitoプラットフォームは、データセンターやクラウドを含むすべての企業トラフィックで発生している高度な攻撃を検知することができます。私たちは、すべてのパケットからメタデータを抽出することによってこれを行います。ネットワーク上のすべてのIP対応デバイスが識別・追跡され、サーバー、ラップトップ、プリンター、BYOD、IoTデバイス、さらにすべてのオペレーティング・システムやアプリケーションまで可視化されます。

Cognito プラットフォームでは、プラットフォーム内のすべての ID をホストと同じ基準でスコアリングします。これにより、静的に割り当てられた特権とは対照的に、システムで観察された特権を確認できます。

NIST が ZTA の重要な部分として NDR ソリューションの重要性を強調したことに拍手を送りたい。Vectra では、モダンなセキュアアーキテクチャの実装を目指すあらゆる組織に、ターンキーNDRソリューションを提供できることを誇りに思っています。