.png)
Wie KI und maschinelles Lernen die Zero-Trust-Segmentierung beschleunigen können
Eine Möglichkeit, Zero Trust zu betrachten, ist eine Strategie, die Ihr übermäßiges und riskantes implizites Vertrauen in ein weniger riskantes explizites Vertrauensmodell umwandelt.
Dieser Zustand der impliziten Vertrauenswürdigkeit wird klassischerweise damit erklärt, dass eine Firewall der Abgrenzungspunkt zwischen einem vertrauenswürdigen Netzwerk (innerhalb der Firewall) und einem nicht vertrauenswürdigen Netzwerk (außerhalb der Firewall) ist. Die Aufgabe der Firewall besteht darin, die böswilligen Akteure auf der nicht vertrauenswürdigen Seite dieser Grenze zu halten.
Dieser Standardansatz führt jedoch zu einem "weichen und zähen" Inside hinter der Firewall , da alles innerhalb dieser vertrauenswürdigen Zone implizit vertrauenswürdig ist.
Die Risiken von implizitem Vertrauen
Es ist ein sehr einfaches Sicherheitsmodell, und so machen wir es seit Jahren – und so tun es viele Leute auch heute noch. Aber sobald ein böser Schauspieler drin ist, ist sein Leben mit diesem Modell einfach.
Es gibt auch Faktoren, die das Risiko verschlimmern. Man kann sich zum Beispiel vorstellen, dass mit der Skalierung eines Unternehmens die vertrauenswürdige Zone größer wird. Das bedeutet, dass es wahrscheinlicher ist, dass sich etwas Unzuverlässiges darin befindet.
Zweitens, unabhängig von der Größenordnung, steigt die Wahrscheinlichkeit, dass etwas ins Innere gelangt, wenn die Dinge komplexer werden (wozu sie natürlich im Laufe der Zeit tendieren). Skalierbarkeit und Komplexität führen also dazu, dass die Risiken, die mit diesem impliziten Vertrauensmodell verbunden sind, im Laufe der Zeit kontinuierlich wachsen.
Zero-Trust-Initiativen erfordern die Kenntnis der Identität jedes Systems
Was ist nun die Herausforderung beim Übergang von implizitem Vertrauen zu explizitem Vertrauen (oder beim Einstieg in eine Zero-Trust-Reise)?
Offensichtlich ist eine Segmentierungsrichtlinie, die Sie auf den Server, die Endpunkte und die Geräte anwenden, der Weg, um diese Transformation zu expliziter Vertrauenswürdigkeit zu erreichen. Bevor Sie jedoch über eine genaue Sicherheitsrichtlinie verfügen können, die die Kontrollen so streng einschränkt, dass sie das Risiko reduziert, aber nicht so anfällig ist, dass sie Anwendungen beschädigt, müssen Sie wissen, was sich in dieser Umgebung befindet. Es gibt einfach Dinge in Ihrem Netzwerk, und Sie müssen wissen, was sie sind, bevor Sie Segmentierungs- und Zugriffskontrollentscheidungen anwenden können.
Die Frage, die Sie beantworten müssen, lautet: Was ist die Identität der einzelnen Systeme in Ihrem Netzwerk?
Lange Zeit hatte ich eine begrenzte Definition des Wortes Identität, wie es im Bereich des Identitäts- und Zugriffsmanagements (IAM) verwendet wurde. IAM ist eine Technologie, die sich in erster Linie auf die Authentifizierung von Benutzern konzentriert, um zu beweisen, wer sie vorgeben zu sein. Die Definition von Identität in diesem Zusammenhang schränkte mein Verständnis ein, weil ich "Benutzername" und "Geheimnis" mit Identität gleichsetzte. Und ich will ehrlich sein, ich ärgere mich wirklich darüber, dass ich eine so begrenzte Perspektive auf Identität habe – es ist viel komplexer als das.
In der Nicht-Tech-Welt zum Beispiel besteht meine Identität nicht nur aus meinem Namen. Mein Name ist ein Etikett, das verwendet wird, um sich auf mich zu beziehen, aber ich bin auch CTO, Angestellter von Illumio, Vater, Bruder, Ehemann und Sohn. Ich bin in Ohio aufgewachsen, lebe in Kalifornien und genieße Rye Whiskey, Wandern und Kochen. Ich suche nach Wahrheit und glaube an den Wert des Vertrauens in andere, ich höre zu, ich habe einen Podcast über CTOs gestartet und ich liebe Software und Startups.
Der Punkt ist, dass meine Identität viel mehr ist als mein Name – es ist eine multidimensionale Reihe von Attributen, die sowohl mit vielen anderen geteilt werden (einige könnten sich mit dir, der Person, die dies liest, überschneiden) als auch eine Reihe dieser Dinge, die meine einzigartige Identität beschreiben.
Einsatz von künstlicher Intelligenz und maschinellem Lernen für die Identität
Genau wie der Mensch haben auch IT-Systeme eine Identität und einen Zweck. Systeme können Produktions- oder Nichtproduktionssysteme sein. Ein System kann ein Front-End oder ein Backend sein, oder es kann sich um eine HLK-Steuerung, einen Drucker oder ein Blutdruckmessgerät handeln. Die Systeme können sich in einem Intensivtrakt des Krankenhauses oder im Keller befinden. Die Systeme könnten für Überweisungen in Höhe von Dutzenden von Milliarden Dollar verantwortlich sein, oder sie könnten den Live-Spielstatus für Tausende von Roblox-Spielern halten.
Für die individuelle Systemidentität
Lösungen für künstliche Intelligenz/maschinelles Lernen (KI/ML) eignen sich ideal für diese Art von Problemen, die mehrdimensionale Eingaben haben und mehrdimensionale Ausgabewerte erfordern, die die Systemidentität ausmachen. Dazu gehören sowohl das Verhalten der Peers eines Systems (mit wem sie sprechen) als auch Deep Packet Inspection, die genau sieht, was auf Anwendungsebene passiert (was sie sagen).
Und während es sich bei einigen Werten um binäre Werte handelt, z. B. prod vs. non-prod, handelt es sich bei anderen Werten wie dem Geschäftswert um kontinuierlichere Werte. KI/ML-Techniken können diese verschiedenen Typen bereitstellen und Vertrauen in die Vorhersagen schaffen, um Vorschläge für diesen Identitätsraum zu machen.
Die erste Verwendung von ML in der Illumio Core-Lösung durch Illumio betraf diesen Bereich. Bei der Erkennung von Kerndiensten werden sowohl Heuristiken als auch ML-Techniken verwendet, die Funktionen wie Peer-Beziehungen nutzen. Dies verbessert die Produktivität des Betreibers des Segmentierungssystems durch einen Empfehlungs-Workflow für diese Kerndienste.
Für die Identität von Anwendungsgruppen
Und um noch einen Schritt weiter zu gehen: Identität ist nicht nur ein einzelnes System. So wie wir Menschen Individuen sind, sind auch wir Teil von Gruppen. Ich habe eine Familie, und meine Familie hat eine Gruppenidentität, eine Reihe von Merkmalen, die diese Gruppe einzigartig machen. Diese Gruppe von Merkmalen unterscheidet sich von einer anderen Gruppe.
Das gilt auch für IT-Systeme. Bei Servern kann es sich um Back-End- oder Front-End-Server handeln, aber die Summe einer Gruppe einzelner Server bildet eine Anwendung. Und diese Anwendung als Ganzes muss oft als eine Einheit behandelt werden – genau wie eine Gruppe von Einzelpersonen in einer Familie. Instanzen von Anwendungen können z. B. sehr ähnlich sein, wenn ein Produktionssystem über ein Zwillingssystem in der Stagingumgebung verfügt, das häufig für Tests verwendet wird. Sie kann sich auch in vielen Dimensionen als Gruppe ähneln und sollte auch als solche behandelt werden, auch wenn die zugrundeliegenden einzelnen Komponenten völlig unterschiedlich sind.
Bei der Implementierung der Segmentierung in ihren Netzwerken möchten Kunden oft einen Ringfence um eine Anwendung erstellen, daher ist es wichtig, die Identität der Anwendung und aller ihrer Mitglieder zu kennen. ML-Clustering-Algorithmen und andere Ansätze sind hier wertvoll.
Für Änderungen der Systemidentität im Laufe der Zeit
Der dritte Aspekt des Problems ist der Zeitaspekt: Identitäten bleiben weder auf der Ebene des einzelnen Systems noch auf der Ebene der Gruppe fließend.
Ein klassisches Problem ist, dass Systeme am Tag ihrer Erstellung für eine Geschäftsfunktion von entscheidender Bedeutung sind, aber im Laufe der Zeit ändern sich die Prioritäten, Mitarbeiter gehen, Dinge passieren, und dasselbe System, das kritisch war, ist jetzt nicht mehr relevant. Wenn sich sein Zweck ändert, ändert sich auch seine Identität. Vielleicht wird es nicht mehr mit den aktuellsten Patches gepflegt, was bedeutet, dass es riskanter und ein saftigeres Ziel für einen Angreifer ist, der dauerhaft in der Umgebung Fuß fassen möchte (siehe den Sony Pictures Hack). Oder vielleicht erfüllte es eine geschäftskritische Funktion, aber eine neue Generation von Anwendungen nimmt neue Kunden auf, und die Benutzer dieser Anwendung schrumpfen.
Identitäten verändern sich im Laufe der Zeit. Die Segmentierungspolitik muss jedoch mit diesen Veränderungen Schritt halten. ML/KI-Algorithmen dienen nicht nur der Point-in-Time-Analyse. Sie müssen ständig ausgeführt werden, Änderungen an den Umgebungen verstehen und Empfehlungen geben, um die Richtlinien synchron zu halten.
Sicherheitsrichtlinien werden fragil, wenn sie nicht angepasst werden, wenn sich die Identität und der Zweck des Systems ändern. Wenn Sie ständig danach fragen, ob Ihre Policen vollständig und korrekt sind, und wenn Sie vorausschauendes Feedback zu den Stellen geben, an denen Risiken oder Risse auftreten, können Sie den Betreibern helfen, die Sicherheit zu gewährleisten.
Wo KI und ML in die Zero-Trust-Segmentierung passen
Der Sweet Spot für KI/ML in Zero-Trust-Segmentierungssystemen besteht also darin:
- Bereitstellen von Vorschlägen für eine mehrdimensionale Identität für Systeme
- Bereitstellen einer höheren Ebene der Gruppierung, Mitgliedschaft und Gruppenidentität
- Kontinuierliche Verfolgung von Änderungen an der Identität im Laufe der Zeit, um die Vollständigkeit und Richtigkeit einer Zero-Trust-Segmentierungsrichtlinie zu ermitteln
Innovationen in den Bereichen KI und ML können als mächtige Werkzeuge für die wertvollen Sicherheitsleute dienen, denen wir jeden Tag die Aufgabe anvertrauen, unsere kritischen Daten zu sichern und uns gegen Angriffe zu verteidigen. Lassen Sie diese KI- und ML-gestützten Segmentierungssysteme zu einem Kraftmultiplikator in diesem endlosen Kampf werden.
Möchten Sie mehr über Illumio Zero Trust Segmentation erfahren? Kontaktieren Sie uns noch heute.
.webp)
