Selv før Biden-administrationen annoncerede amerikanske føderale agenturer og entreprenører skal vedtage nye nul-tillid cybersikkerhedsstandarder, havde mange virksomheder på virksomhedsniveau allerede påbegyndt deres rejse mod implementering af ZTA (zero-trust architecture).
Ifølge en nylig undersøgelse foretaget af Forrester har 78 % af globale sikkerhedsledere sagde, at de planlægger at styrke nul-tillid operationer i år, selvom kun 6 % sagde, at de fuldt ud har implementeret deres nul-tillid-projekter. Disse organisationer erkender, at netværk i dag kan være lokale, nå ind i skyen eller udvide hvor som helst fjernarbejdere er - hvilket begrænser effektiviteten af traditionelle forsvar.
I håndteringen af direkte angreb såsom den seneste Log4j-sårbarhed, indirekte angreb såsom phishing med malware og intern lateral bevægelse, har traditionel perimeterbaseret netværksadgangskontrol vist sig utilstrækkelig til at detektere, meget mindre forebygge, kompromis. Nul tillid – baseret på konceptet om, at brugere skal autentificeres og løbende valideres for at få adgang til applikationer og data – er meget mere effektivt, fordi det beskytter ressourcer frem for netværkssegmenter.
Men vellykket eksekvering er mere som en rejse end en kontakt, der kan slås på. Det kræver, at forskellige teknologier arbejder sammen – herunder multifaktorautentificering, slutpunktssikkerhed og identitetsbeskyttelse – med fuld nul-tillid-adoption, der bliver en løbende proces med forbedringer, justeringer og politikjusteringer.
Der er et gammelt ordsprog, der blev velkendt under den kolde krig: "Stol på, men bekræft." Der er brug for mere af hvert i nutidens meget distribuerede verden, hvor netværksmiljøer er dynamiske, og netværksinfrastruktur, tjenester, brugere og mere hurtigt kan ændre sig. Organisationer kan ikke blindt antage, at deres nul-tillidsarkitektur (ZTA) altid fungerer efter hensigten. Organisationer skal aktivt have mistillid , verificere, mens de forfiner deres netværksinfrastruktur, tjenester og driftspolitikker. Heldigvis giver kontinuerlig dyb pakkeovervågning den uafhængige efterretning, der er nødvendig for at forbedre beslutninger om håndhævelse af politikker.
Rollen af Deep Packet Monitoring
I Nul tillid modenhedsmodel opstillet af Cybersecurity and Infrastructure Security Agency (CISA), fem særskilte søjler afspejler, hvor avanceret en organisation er i sin nul-tillid implementering. På tværs af disse søjler er retningslinjer for synlighed og analyse, automatisering og orkestrering og styring – hvilket tyder på behovet for tværsøjler samarbejde, integration og ledelse for mere modne ZTA'er.
I traditionelle, ikke-nul-tillidsimplementeringer, danner pakkeovervågning ved perimeteren og lejlighedsvis i følsomme områder af det interne netværk grundlaget for netværkets synlighed og analyser. Men efterhånden som en organisations ZTA modnes, sløres traditionelle omkredse eller endda forsvinde helt. Nord-syd trafik vil altid skulle ses og kontrolleres, men lige så vigtigt, øst-vest trafik skal ses og kontrolleres at opdage og forhindre laterale eller dybere kompromiser i miljøet. For at opnå nul-tillid modenhed kræves omfattende netværkssynlighed af hele netværket gennem dyb pakkeovervågning.
Pakker er den bedste kilde til tilgængelige hi-fi-netværksdata, især for organisationer, der er længere fremme i deres digitale transformationsrejser mod større offentlig brug eller hybrid cloudbrug. I disse miljøer mister organisationer ofte en vis grad af synlighed sammenlignet med traditionelle datacentre, og traditionelle cybersikkerhedsforanstaltninger som endpoint-forsvar kommer måske ikke engang i spil. Pakkedata overskrider begrænsningerne for distribueret infrastruktur for at hjælpe med at verificere ydeevne og overholdelse af politik i næsten realtid, hvilket tilbyder en enkelt kilde til sandhed, der kan analyseres måneder eller endda år senere.
Mens netværkshold traditionelt har brugt pakkeovervågning til at analysere netværk, administrere trafik og identificere ydeevneproblemer kan de data, som pakker leverer til sikkerhedsteams, være lige så uvurderlige til trusselsdetektion og -undersøgelser. Pakkedata giver sikkerhedsteams mulighed for at spore kommunikation mellem indbyrdes forbundne enheder og historiske tendenser, for eksempel, og kan hjælpe med at orkestrere afbødning mellem administrations- og håndhævelsesværktøjer gennem API'er. Det udfylder også synlighed og datahuller efterladt af andre cybersikkerhedsværktøjer (f.eks. sikkerhedsinformation, hændelsesstyring og slutpunktsdetektion), hvilket gør disse værktøjer og eksisterende cybersikkerhedspersonale mere effektive. Endelig kan organisationer bruge pakkeovervågning til at klassificere netværk, servere og tjenester baseret på risiko, hvilket giver mulighed for meget hurtig og kortfattet verifikation af ZTA.
Sammenfattende vil virksomheder, der lige er begyndt på deres nul-tillidsrejser, kræve justeringer af deres arkitekturer, efterhånden som de modnes. Deres løsninger vil i stigende grad stole på automatiserede processer og systemer med større integration på tværs af søjler og mere dynamiske beslutninger om håndhævelse af politikker. For at disse systemer skal forblive succesfulde, kræves der kontinuerlig validering af nul-tillid-design og håndhævelsesgrænser, og dyb pakkeovervågning tilbyder det mest omfattende niveau af synlighed, der er tilgængeligt for at verificere deres effektivitet.
I slutningen af dagen er nul tillid en filosofi. At købe helt ind, kan intet tages for givet. Selv organisationer med mere modne nul-tillid-implementeringer skal konstant verificere deres overholdelse med konstant, gennemgående netværkssynlighed. Man kan jo ikke beskytte det, man ikke kan se, og det man ikke kan se, skal man ikke stole på.
