AIと機械学習がゼロトラストセグメンテーションを加速する方法

ゼロトラストを捉える1つの方法は、過剰でリスクの高い暗黙の信頼を、リスクの少ない明示的な信頼モデルに変える戦略として捉えることです。    

この暗黙的な信頼の状態は、ファイアウォールが信頼できるネットワーク (ファイアウォールの内側) と信頼できないネットワーク (ファイアウォールの外側) の間の境界点として説明されます。ファイアウォールの役割は、悪意のある行為者をその境界の信頼できない側に留めておくことです。

しかし、この標準的なアプローチでは、その信頼できるゾーン内のすべてが暗黙的に信頼されるため、 ファイアウォール の背後で「柔らかくて歯ごたえのある」内部が得られます。‍

暗黙の信頼のリスク

これは非常にシンプルなセキュリティモデルであり、私たちが何年も行ってきた方法であり、今日でも多くの人がそれを行っています。しかし、悪質な行為者が中に入ると、このモデルでは彼らの生活は楽になります。

リスクを悪化させる要因もあります。たとえば、企業の規模が大きくなるにつれて、トラステッドゾーンが大きくなると想像できます。これは、内部に信頼できない何かがある可能性が高いことを意味します。  

第二に、規模に関係なく、物事がより複雑になるにつれて(時間の経過とともに自然に複雑になる傾向があるため)、何かが内部に入る可能性が高くなります。そのため、規模と複雑さにより、暗黙の信頼モデルに関連するリスクは時間の経過とともに継続的に増大します。

ゼロトラストイニシアチブでは、各システムのアイデンティティを知る必要があります

さて、暗黙の信頼から明示的な信頼に移行する (またはゼロ トラストへの移行) の課題は何ですか?

明らかに、サーバー、エンドポイント、およびデバイスに適用するセグメンテーションポリシーは、明示的な信頼への変換を実現する方法です。しかし、リスクを軽減するのに十分な制御を強化しながらも、アプリケーションを壊すほど脆弱ではない正確なセキュリティポリシーを作成する前に、その環境に何があるかを知る必要があります。ネットワーク上には単に何かがあり、セグメンテーションとアクセス制御の決定を適用する前に、それらが何であるかを知る必要があります。

答える必要がある質問は、ネットワーク上の各システムのIDは何ですか?

長い間、ID とアクセス管理 (IAM) の分野で使用されていたため、ID という言葉の定義は限られていました。IAM は、主にユーザーを認証して、ユーザーが誰であるかを証明することに重点を置いたテクノロジーです。その文脈でのアイデンティティの定義は、「ユーザー名」と「秘密」をアイデンティティと同一視していたため、私の理解を制限していました。正直に言うと、アイデンティティに対する見方が限られていることを本当に責めています - それよりもはるかに複雑です。

たとえば、テクノロジー以外の世界では、私のアイデンティティは名前だけではありません。私の名前は私を指すために使用されるラベル ですが 、私はCTOであり、イルミオの従業員であり、父であり、兄弟であり、夫であり、息子でもあります。私はオハイオ州で育ち、カリフォルニアに住んでおり、ライウイスキー、ハイキング、料理を楽しんでいます。私は真実を求め、他人を信頼することの価値を信じており、耳を傾け、CTO に関するポッドキャストを始め、ソフトウェアとスタートアップが大好きです。  

重要なのは、私のアイデンティティは私の名前をはるかに超えており、それは他の多くの人と共有されている多次元的な属性のセットであり(これを読んでいるあなたと重複するものもあるかもしれません)、そして私のユニークなアイデンティティを説明するこれらのもののセットであるということです。

ID のための人工知能と機械学習の使用

人と同じように、IT システムにもアイデンティティがあり、目的があります。システムは、本番または非本番にすることができます。システムは、フロントエンドまたはバックエンド、または HVAC コントローラー、プリンター、または血圧計である可能性があります。システムは病院の救命救急棟にある場合もあれば、地下にある場合もあります。システムは数百億ドルの転送を担当することも、何千人もの Roblox プレイヤーのライブ ゲーム状態を保持している場合もあります。  

個々のシステム ID の場合

人工知能/機械学習 (AI/ML) ソリューションは、多次元入力があり、システム ID を構成する多次元出力値を必要とするこの種の問題に最適です。これには、システムのピアの動作(誰と話しているか)と、アプリケーションレベルで何が起こっているか(彼らが何を言っているか)を正確に確認するディープパケットインスペクションの両方が含まれます。

また、一部の値は prod と non prod などのバイナリ値ですが、ビジネス価値などの他の値はより連続的な値です。AI/ML 手法は、これらのさまざまなタイプを提供するだけでなく、予測に信頼性を提供して、その ID 空間に関する提案を提供するのに役立ちます。

イルミオがイルミオコアソリューションでMLを初めて使用したのは、この分野の周りでした。コア サービスの検出では、ヒューリスティックと ML 手法の両方を使用し、ピア関係などの機能を活用します。これにより、これらのコアサービスのレコメンデーションワークフローを通じて、セグメンテーションシステムのオペレーターの生産性が向上します。

アプリケーション・グループ ID の場合

そして、さらに一歩進んで、アイデンティティは個々のシステムだけの問題ではありません。私たち人間が個人であるのと同じように、私たちもグループの一部です。私には家族がいて、私の家族にはグループのアイデンティティがあり、そのグループをユニークにする共通の一連の特徴があります。その一連の特性は、他のグループとは異なります。    

これはITシステムにも当てはまります。サーバーはバックエンドまたはフロントエンドの場合がありますが、個々のサーバーのセットの合計がアプリケーションを構成します。そして、そのアプリケーション全体は、家族内の個人のグループと同じように、多くの場合、単一のユニットとして扱う必要があります。たとえば、テストによく使用されるステージング環境に本番システムにツイン システムがある場合、アプリケーションのインスタンスは非常に似ている可能性があります。また、グループとして多くの次元で類似している可能性があり、基礎となる個々のコンポーネントがまったく異なる場合でも、そのように扱う必要があります。

ネットワークにセグメンテーションを実装する場合、お客様はアプリケーションの周囲にリングフェンスを作成したいことが多いため、アプリケーションとそのすべてのメンバーの ID を知ることが重要です。ここでは、ML クラスタリング アルゴリズムやその他のアプローチが役立ちます。

時間の経過に伴うシステム ID の変更の場合

問題の 3 番目の側面は、アイデンティティが個々のシステム レベルまたはグループ レベルで流動的なままではないということです。    

古典的な問題は、システムが構築された日には一部のビジネス機能にとって重要であるが、時間が経つにつれて優先順位が変化し、人々が去り、物事が起こり、重要だった同じシステムがもはや関連性がなくなることです。その目的が変わると、そのアイデンティティもそれに伴って変化します。もしかしたら、最新のパッチで維持されなくなったのかもしれないが、これは、環境に永続的な足場を築きたい攻撃者にとって、よりリスクが高く、より魅力的な標的となることを意味している( ソニー・ピクチャーズのハックを参照)。あるいは、ビジネスクリティカルな機能を果たしたのに、新世代のアプリケーションが新しい顧客を獲得し、このアプリケーションのユーザーが減少しているのかもしれません。  

アイデンティティは時間とともに変化します。ただし、セグメンテーションポリシーはこれらの変更に対応する必要があります。ML/AI アルゴリズムは、特定の時点の分析だけを目的としたものではありません。常に実行し、環境の変更を理解し、ポリシーの同期を維持するための推奨事項を作成する必要があります。

セキュリティポリシーは、システムのアイデンティティと目的が変化したときに適応しないと脆弱になります。ポリシーが完全で正しいかどうかを継続的に尋ね、リスクや亀裂が現れる場所について予測フィードバックを提供することは、オペレーターが物事を安全に保つのに役立ちます。

AIとMLがゼロトラストセグメンテーションに適合する場所

したがって、 ゼロトラストセグメンテーション システムにおけるAI/MLのスイートスポットは、次のことです。

• システムの多次元IDの提案を提供する
• より高いレベルのグループ化、メンバーシップ、およびグループ ID を提供する
• IDの変更を経時的に継続的に追跡し、ゼロトラストセグメンテーションポリシーの完全性と正確性を通知します    

AI と ML のイノベーションは、重要なデータの保護と攻撃からの防御というタスクを日々任せている貴重なセキュリティ担当者にとって強力なツールとして機能します。これらの AI および ML を活用したセグメンテーション システムを、終わりのない戦いの力を倍増させましょう。

イルミオのゼロトラストセグメンテーションについてもっと知りたいですか?今すぐお問い合わせください。