Wie KI und maschinelles Lernen die Zero-Trust-Segmentierung beschleunigen können

Eine Möglichkeit, Zero Trust als Strategie zu betrachten, die Ihr übermäßiges und riskantes implizites Vertrauen in ein weniger riskantes explizites Vertrauensmodell umwandelt.

Dieser Zustand des impliziten Vertrauens wird klassisch damit erklärt, dass eine Firewall der Abgrenzungspunkt zwischen einem vertrauenswürdigen Netzwerk (innerhalb der Firewall) und einem nicht vertrauenswürdigen Netzwerk (außerhalb der Firewall) ist. Die Aufgabe der Firewall besteht darin, die böswilligen Akteure auf der nicht vertrauenswürdigen Seite dieser Grenze zu halten.

Dieser Standardansatz führt jedoch zu einem „weichen und zähen“ Inneren hinter dem Firewall weil alles in dieser vertrauenswürdigen Zone implizit vertrauenswürdig ist. ‍

Die Risiken impliziten Vertrauens

Es ist ein sehr einfaches Sicherheitsmodell, und so machen wir es seit Jahren — und viele Menschen tun es auch heute noch. Aber wenn ein schlechter Schauspieler erst einmal drin ist, ist sein Leben mit diesem Modell einfach.

Es gibt auch Faktoren, die das Risiko verschlimmern. Man kann sich zum Beispiel vorstellen, dass mit der Skalierung eines Unternehmens die vertrauenswürdige Zone größer wird. Das bedeutet, dass es wahrscheinlicher ist, dass sich etwas Unvertrauenswürdiges darin befindet.

Zweitens, unabhängig von der Größe, steigt die Wahrscheinlichkeit, dass etwas hineinkommt, je komplexer die Dinge werden (wie sie sich im Laufe der Zeit natürlich entwickeln). Umfang und Komplexität führen also dazu, dass die Risiken, die mit diesem impliziten Vertrauensmodell verbunden sind, im Laufe der Zeit kontinuierlich zunehmen.

Zero-Trust-Initiativen erfordern die Kenntnis der Identität jedes Systems

Was ist nun die Herausforderung, wenn man von implizitem Vertrauen zu explizitem Vertrauen übergeht (oder, von einem Zero-Trust-Reise)?

Offensichtlich ist eine Segmentierungsrichtlinie, die Sie auf den Server, die Endpunkte und Geräte anwenden, der Weg, um diese Transformation zu explizitem Vertrauen zu erreichen. Bevor Sie jedoch eine genaue Sicherheitsrichtlinie haben, die die Kontrollen ausreichend verschärft, um das Risiko zu verringern, aber nicht so fragil ist, dass sie Anwendungen beeinträchtigt, müssen Sie wissen, was sich in dieser Umgebung befindet. Es gibt einfach Dinge in Ihrem Netzwerk, und Sie müssen wissen, um welche es sich handelt, bevor Sie Entscheidungen zur Segmentierung und Zugriffskontrolle treffen können.

Die Frage, die Sie beantworten müssen, lautet: Was ist die Identität der einzelnen Systeme in Ihrem Netzwerk?

Lange Zeit hatte ich eine begrenzte Definition des Wortes Identität, da es im Bereich Identity and Access Management (IAM) verwendet wurde. IAM ist eine Technologie, die sich in erster Linie auf die Authentifizierung von Benutzern konzentriert, um zu beweisen, wer sie zu sein behaupten. Die Definition von Identität in diesem Zusammenhang schränkte mein Verständnis ein, da ich „Benutzername“ und „geheim“ mit Identität gleichsetzte. Und ich bin ehrlich, ich mache mir wirklich Vorwürfe, weil ich eine so begrenzte Perspektive auf Identität habe — es ist viel komplexer als das.

In der Welt, die nichts mit Technologie zu tun hat, besteht meine Identität beispielsweise nicht nur aus meinem Namen. Mein Name ist ein Label, das verwendet wird, um auf mich zu verweisen, aber ich bin auch CTO, Angestellter von Illumio, Vater, Bruder, Ehemann und Sohn. Ich bin in Ohio aufgewachsen, lebe in Kalifornien und genieße Roggenwhiskey, wandere und koche gerne. Ich suche nach der Wahrheit und glaube daran, dass es wichtig ist, anderen zu vertrauen. Ich höre zu, ich habe einen Podcast über ctOS gestartet und ich liebe Software und Startups.

Der Punkt ist, dass meine Identität viel mehr ist als mein Name — es ist eine multidimensionale Reihe von Attributen, die sowohl mit vielen anderen geteilt werden (einige könnten sich mit dir, der Person, die das liest, überschneiden) als auch eine Reihe dieser Dinge, die meine einzigartige Identität beschreiben.

Nutzung von künstlicher Intelligenz und maschinellem Lernen zur Identitätsfindung

Genau wie Menschen haben IT-Systeme eine Identität und sie haben einen Zweck. Systeme können produktiver oder nichtproduktiver Natur sein. Ein System kann ein Front-End oder ein Back-End sein, oder es könnte ein HVAC-Controller, ein Drucker oder ein Blutdruckmessgerät sein. Die Systeme könnten sich in einem Intensivtrakt des Krankenhauses befinden, oder sie könnten sich im Keller befinden. Die Systeme könnten für Transfers im Wert von zig Milliarden Dollar verantwortlich sein, oder sie könnten den Live-Spielstatus für Tausende von Roblox-Spielern aufrechterhalten.

Für individuelle Systemidentität

Künstliche Intelligenz/maschinelles Lernen (KI/ML) Lösungen sind ideal für diese Art von Problemen geeignet, bei denen mehrdimensionale Eingaben erforderlich sind und mehrdimensionale Ausgabewerte erforderlich sind, die die Systemidentität ausmachen. Dazu gehört sowohl das Verhalten der Systemkollegen (mit wem sie sprechen) als auch die Deep Packet Inspection, bei der genau beobachtet wird, was auf Anwendungsebene passiert (was sie sagen).

Und während es sich bei einigen Werten um Binärwerte wie prod und non-prod handelt, handelt es sich bei anderen Werten wie Business Value um kontinuierlichere Werte. Mithilfe von KI/ML-Techniken lassen sich diese unterschiedlichen Typen ermitteln. Außerdem können sie Vertrauen in die Vorhersagen schaffen, sodass Vorschläge rund um diesen Identitätsraum gemacht werden können.

Illumio verwendete ML zum ersten Mal in der Illumio Core-Lösung in diesem Bereich. Bei der Erkennung von Kerndiensten werden sowohl Heuristiken als auch ML-Techniken verwendet, wobei Funktionen wie Peer-Beziehungen genutzt werden. Dies verbessert die Produktivität des Betreibers des Segmentierungssystems durch einen Empfehlungsworkflow für diese Kerndienste.

Für die Identität der Anwendungsgruppe

Und um noch einen Schritt weiter zu gehen: Bei Identität geht es nicht nur um ein individuelles System. So wie wir Menschen Individuen sind, sind wir auch Teil von Gruppen. Ich habe eine Familie, und meine Familie hat eine Gruppenidentität, eine Reihe gemeinsamer Merkmale, die diese Gruppe einzigartig machen. Diese Merkmale unterscheiden sich von denen einer anderen Gruppe.

Dies gilt auch für IT-Systeme. Server können Back-End- oder Front-End-Server sein, aber die Summe einer Reihe einzelner Server bildet eine Anwendung. Und die gesamte Anwendung muss oft als eine Einheit betrachtet werden — genau wie eine Gruppe von Personen in einer Familie. Beispielsweise könnten sich Anwendungsfälle sehr ähnlich sein, wenn ein Produktionssystem in der Staging-Umgebung über ein Zwillingssystem verfügt, das häufig für Tests verwendet wird. Es kann auch als Gruppe in vielen Dimensionen ähnlich sein und sollte als solche behandelt werden, auch wenn die zugrundeliegenden Einzelkomponenten völlig unterschiedlich sind.

Bei der Implementierung der Segmentierung in ihren Netzwerken möchten Kunden häufig einen Ringfence um eine Anwendung herum einrichten. Daher ist es wichtig, die Identität der Anwendung und aller ihrer Mitglieder zu kennen. ML-Clustering-Algorithmen und andere Ansätze sind hier wertvoll.

Für Änderungen der Systemidentität im Laufe der Zeit

Der dritte Aspekt des Problems ist ein Aspekt der Zeit: Identitäten bleiben weder auf individueller Systemebene noch auf Gruppenebene fließend.

Ein klassisches Problem ist, dass Systeme an dem Tag, an dem sie gebaut werden, für einige Geschäftsfunktionen von entscheidender Bedeutung sind, aber im Laufe der Zeit ändern sich die Prioritäten, Mitarbeiter gehen, Dinge passieren und dasselbe System, das kritisch war, jetzt nicht mehr relevant ist. Wenn sich ihr Zweck ändert, ändert sich auch ihre Identität. Vielleicht wird es nicht mehr mit den aktuellsten Patches aktualisiert, was bedeutet, dass es riskanter ist und ein attraktiveres Ziel für einen Angreifer ist, der dauerhaft in der Umgebung Fuß fassen will (siehe Sony Pictures hacken). Oder vielleicht hat es eine geschäftskritische Funktion erfüllt, aber eine neue Generation von Anwendungen gewinnt neue Kunden, und die Anzahl der Benutzer dieser Anwendung schrumpft.

Identitäten verändern sich im Laufe der Zeit. Die Segmentierungspolitik muss jedoch mit diesen Veränderungen Schritt halten. ML/KI-Algorithmen dienen nicht nur einer Point-in-Time-Analyse. Sie müssen ständig laufen, Veränderungen in der Umgebung verstehen und Empfehlungen aussprechen, um die Richtlinien auf dem neuesten Stand zu halten.

Sicherheitspolitiken werden fragil, wenn sie nicht angepasst werden, wenn sich Identität und Zweck des Systems ändern. Wenn Sie ständig fragen, ob Ihre Richtlinien vollständig und korrekt sind, und vorausschauendes Feedback zu den Stellen geben, an denen Risiken oder Lücken auftreten werden, helfen Ihnen die Betreiber dabei, die Sicherheit zu gewährleisten.

Wo KI und ML in die Zero-Trust-Segmentierung passen

Also, der Sweet Spot für KI/ML in Zero-Trust-Segmentierung Systeme sollen:

• Vorschläge für eine mehrdimensionale Identität von Systemen unterbreiten
• Bieten Sie ein höheres Maß an Gruppierung, Mitgliedschaft und Gruppenidentität
• Verfolgen Sie kontinuierlich Änderungen an der Identität im Laufe der Zeit, um die Vollständigkeit und Richtigkeit einer Zero-Trust-Segmentierungsrichtlinie zu überprüfen

Innovationen in den Bereichen KI und ML können den wertvollen Sicherheitsexperten, denen wir täglich die Aufgabe anvertrauen, unsere kritischen Daten zu sichern und Angriffe abzuwehren, als leistungsstarke Tools dienen. Lassen Sie diese KI- und ML-gestützten Segmentierungssysteme zu einem Kraftmultiplikator in diesem endlosen Kampf werden.

Sie möchten mehr erfahren über Illumio Zero Trust-Segmentierung? Kontaktieren Sie uns noch heute.