Estendere la fiducia zero all'endpoint
Fiducia zero sulla rete - Una melodia familiare
Zero Trust è un modello di sicurezza di rete sempre più accettato e celebrato. La frase "mai fidarsi, sempre verificare" suona familiare per chi si occupa di sicurezza di rete. Zero Trust si concentra sul principio che un'organizzazione non deve fidarsi di nulla all'interno o all'esterno del suo perimetro e che tutto ciò che cerca di connettersi alla rete deve essere verificato prima che l'accesso venga concesso.
La realizzazione di un'architettura Zero Trust richiede la segmentazione della rete e l'applicazione granulare in base all'utente, ai dati e alla posizione. Tutto il traffico deve essere registrato e ispezionato in vari punti di ispezione che identificano e consentono il traffico in base alle regole stabilite. In questo modo si mantiene l'accesso meno privilegiato
e un rigoroso controllo degli accessi che le offre la visibilità della rete e il contesto necessario per limitare i movimenti laterali e identificare gli attacchi dall'interno della sua rete.
Con l'avanzare delle tecnologie di sicurezza, il volume di dati da proteggere è cresciuto immensamente. I dati si muovono con gli endpoint nell'attuale mondo altamente mobile, rendendo gli endpoint bersagli interessanti per gli attacchi informatici. Di conseguenza, la politica di sicurezza deve muoversi con gli utenti e i dati e non deve essere legata a un luogo particolare. Con l'accesso a dati e applicazioni da dispositivi di tutto il mondo, Zero Trust e il suo approccio basato sulla prevenzione dovrebbero estendersi oltre la rete e agli endpoint.
Zero Trust sull'endpoint - Una storia olistica di "Zero Trust".
I prodotti per la sicurezza degli endpoint proteggono e raccolgono dati sulle attività che si verificano sugli endpoint, mentre i prodotti per la sicurezza di rete fanno lo stesso per le reti. Per combattere efficacemente le minacce avanzate, entrambi devono lavorare insieme. Un approccio di piattaforma integrata che combini la sicurezza di endpoint e di rete è l'unico modo per ottenere una protezione olistica e implementare il modello Zero Trust nell'intera architettura di sicurezza. Questo approccio deve far parte di tutto ciò che facciamo, in modo che la prevenzione avvenga ovunque ci sia traffico, ovunque vi siano dati.
Per estendere la Fiducia Zero all'endpoint, devono essere soddisfatti quattro criteri:
1. Protegga gli endpoint con più livelli di sicurezza.
Le misure di sicurezza tradizionali falliscono se un aggressore trova il modo di aggirare l'anello più debole, ad esempio inviando malware o sfruttando le vulnerabilità delle applicazioni. È più efficace stratificare le protezioni della rete e degli endpoint in modo che, se un aggressore riesce a bypassare una misura, si troverà di fronte a un'altra, rendendo progressivamente più difficile il suo successo.
Il ruolo della sicurezza di rete è quello di impedire al maggior numero possibile di attacchi - siano essi malware, phishing o exploit - di raggiungere un endpoint attraverso la rete. Se un attacco raggiunge l'endpoint attraverso un drive USB o altri mezzi non di rete, il traffico è criptato o l'utente è oThine o fuori rete, il ruolo della sicurezza di rete dell'endpoint è quello di neutralizzare la capacità dell'attaccante di fare danni.
La combinazione di queste discipline per un'architettura Zero Trust rende ancora più efficace l'integrazione tra endpoint e sicurezza di rete.
2. Integrazione con la sicurezza di rete.
L'estensione di Architettura Zero Trust all'endpoint intreccia la sicurezza dell'endpoint con la sicurezza di rete, per un'unica architettura di sicurezza olistica. L'intelligence acquisita sull'endpoint deve confluire nel firewall e viceversa. Le politiche devono essere impostate sul firewall in modo tale che, se l'endpoint subisce un evento, possa essere messo in quarantena fino alla scansione completa e alla pulizia.
Inoltre, l'acquisizione dei dati degli utenti e del traffico dai firewall in uno strumento di gestione della sicurezza di rete fornisce un contesto su ciò che sta accadendo in tutta la rete. Ciò consente di scrivere una politica di sicurezza che rifletta tale attività in modo appropriato e che venga applicata sull'endpoint.
Il modello Zero Trust include anche il partner della sicurezza dell'endpoint con la sicurezza di una rete privata virtuale, o VPN, in modo che la politica globale si sposti con l'utente e l'endpoint. Per garantire che gli endpoint siano sempre protetti, le funzionalità VPN devono essere trasparenti per gli utenti e non richiedere alcun intervento manuale per l'accesso o la connessione. Quando la sicurezza degli endpoint e le VPN lavorano insieme, gli endpoint sono protetti indipendentemente dalla loro posizione, impedendo al traffico dannoso di raggiungere la VPN e il firewall. Per migliorare ulteriormente questa integrazione, le VPN collocate su un firewall di nuova generazione estendono l'applicazione dei criteri nel tunnel. Se il traffico è crittografato ed entra nella rete attraverso un endpoint compromesso, la politica rimane applicata.
La visibilità granulare fornita dall'integrazione della sicurezza di rete e degli endpoint deve essere aumentata con l'automazione per un processo decisionale multivariato rapido, informato e accurato. Questa integrazione deve anche essere perfetta e leggera, in modo da non influenzare negativamente l'utente.
3. Gestione di più tipi di endpoint
Tutte le organizzazioni hanno diversi tipi di endpoint che devono essere gestiti, come server, workstation, desktop, laptop, tablet e dispositivi mobili. Per rafforzare la postura di sicurezza e implementare lo Zero Trust, la protezione degli endpoint deve integrarsi con un firewall, in modo che i criteri di sicurezza seguano gli endpoint, indipendentemente da dove si trovino. L'autenticazione a più fattori, o MFA, dovrebbe essere applicata su un firewall di nuova generazione per la scalabilità e per allontanare la linea di esposizione dalle applicazioni critiche. Questa integrazione non deve influire negativamente sulle prestazioni del sistema, in modo che gli utenti non notino la sicurezza in esecuzione in background e cerchino potenzialmente di rimuovere o chiudere gli strumenti di sicurezza.
4. Controllo di accesso Layer 2-7
Nell'implementazione dell'Architettura Zero Trust nella sua architettura di sicurezza, si assicuri che il traffico venga ispezionato alla ricerca di comportamenti dannosi sia in entrata che in uscita dall'endpoint. È comune che gli endpoint valutino il traffico alla ricerca di potenziali minacce quando entra nella rete. È meno comune che il traffico venga valutato nel momento in cui lascia la rete, partendo dal presupposto che l'utente e la sua attività siano validi. Tuttavia, se un utente è compromesso, un aggressore potrebbe esfiltrare dati o proprietà intellettuale dall'endpoint o utilizzare il dispositivo compromesso per altre attività nefaste.
Per evitare che i dati o la proprietà intellettuale escano dalla sua rete, è necessaria la visibilità dell'attività sull'endpoint, consentita dall'integrazione con un firewall di nuova generazione. In base alla politica impostata sul firewall, se il traffico di un utente o di un'applicazione non rientra nell'ambito della politica di sicurezza definita, il firewall può intervenire e bloccare l'attività sospetta. Questa politica deve applicare le regole di prevenzione delle minacce, il filtraggio degli URL e le funzioni di sandboxing del malware all'interno del tunnel VPN crittografato.
Il firewall di nuova generazione dovrebbe anche disporre di funzionalità di decodifica SSL per decifrare il traffico criptato e ottenere la visibilità necessaria per determinare se il traffico è dannoso o meno. Se viene identificato un traffico dannoso, l'integrazione tra il firewall e l'endpoint dovrebbe consentire al firewall di bloccare qualsiasi traffico di comando e controllo e di isolare l'endpoint dalla rete.
Approccio di Palo Alto Networks
Il portafoglio di Palo Alto Networks fornisce gli strumenti, le tecnologie e i prodotti necessari per trasformare la sua strategia Zero Trust in una distribuzione pratica.
Un componente chiave del portafoglio di Palo Alto Networks è Cortex XDR, la prima piattaforma di rilevamento e risposta estesa (XDR) del settore. L'agente Cortex XDR utilizza molteplici metodi di protezione nelle fasi critiche del ciclo di vita dell'attacco per prevenire malware, exploit e ransomware noti e sconosciuti, nonché minacce zero-day. Cortex XDR esegue un'analisi locale per identificare i file dannosi e benigni in base alla classificazione delle proprietà dei file e ai verdetti precedentemente conosciuti.
Oltre all'analisi locale, Cortex XDR si integra con il servizio di analisi delle minacce basato sul cloud WildFire®. Da solo, WildFire esegue analisi dinamiche e statiche, apprendimento automatico e analisi del metallo nudo per identificare anche le minacce più evasive. Come parte della piattaforma, WildFire consente a Cortex XDR e ai firewall di nuova generazione di diventare sensori e punti di applicazione per la rete e gli endpoint.
I firewall di nuova generazione Palo Alto Networks ispezionano tutto il traffico, comprese le applicazioni, le minacce e i contenuti - anche se crittografati - e collegano il traffico all'utente. La visibilità e i dati che ne derivano aiutano la politica di sicurezza ad allinearsi alle esigenze e alle iniziative uniche della sua organizzazione. Come Cortex XDR, il firewall di nuova generazione funziona con WildFire per proteggere dalle minacce note e sconosciute. Quando WildFire identifica una nuova minaccia ovunque, crea e diffonde automaticamente protezioni aggiornate in tutta la piattaforma e agli altri membri della comunità WildFire, per supportare un'infrastruttura di sicurezza coordinata. Questi aggiornamenti includono le minacce recentemente identificate da Cortex XDR, per una protezione più completa ed efficace in tutta l'architettura.
A collegare le politiche della sua rete ai suoi endpoint è la sicurezza di rete GlobalProtect™ per gli endpoint, che estende i suoi criteri di sicurezza alle reti remote e agli Utenti mobili. GlobalProtect ispeziona il traffico utilizzando firewall di nuova generazione per una visibilità completa di tutto il traffico di rete, applicazioni, porte e protocolli. Questa visibilità consente di applicare senza problemi i criteri di sicurezza sugli endpoint, ovunque si trovi l'utente. GlobalProtect fornisce informazioni sull'utente per alimentare la tecnologia User-ID™ e si integra con le protezioni MFA nel firewall per impedire agli aggressori di muoversi lateralmente utilizzando credenziali rubate.