Veröffentlicht am 10-03-2019

RSAC-Gewinne: Zero Trusts

Hier ist der Post, auf den Sie wahrscheinlich gewartet haben! Ich fahre von San Fran nach Washington nach DC, was bedeutet, dass mir Stunden um Stunden bevorstehen - Zeit, die ich in Betracht ziehen werde, um über das diesjährige RSAC nachzudenken und die Goldnuggets herauszuholen, die ich gefunden / gehört habe und wenn ich Glück habe, mache ich ein Nickerchen. Während meine vorherigen Posts mit RSA in Richtung Negativ tendierten, sagte mein Freund und Mitbegründer und Autor von Cyberbabble zu Recht: „Ja, natürlich ist alles scheiße. Sie sind gerade auf einer erstaunlichen Sicherheitskonferenz mit bezahlten Ausgaben, chillen mit Freunden! “(Humble Pie gefressen, und nun zu den guten Sachen!)

Ich weiß, dass ich in einem früheren Beitrag über meine Schwerpunkte für RSAC gesprochen habe, aber mein allgemeines Ziel, an RSAC teilzunehmen, besteht darin, einige der Herausforderungen der Cybersicherheit, mit denen Unternehmen konfrontiert sind (oder die bald angreifen werden), besser zu verstehen und welche Lösungen sie bisher getan haben so. Wenn ich Lösungen sage, meine ich mehr als nur die Produkte, obwohl die Anbietertechnologie Teil der Gleichung ist. Ich meine, das Denken und die Herangehensweise an die Herausforderung zu verstehen. Ein Teil meiner täglichen Arbeit besteht darin, über die Trends im Bereich Cybersecurity auf dem Laufenden zu bleiben: Was hart ist, was nicht schwer ist, aber niemand tut, auch wenn er sollte, und was ist neu und könnte für Unternehmen hilfreich sein, wenn sie davon wüssten. Alle diese Arbeiten informieren potenzielle Projekte, an denen mein Arbeitgeber / meine Kunden arbeiten könnten. Es kann ein ziemlich süßer Auftritt sein.

Für das diesjährige RSAC wollte ich daher mehr über neue / drängende Cybersecurity-Herausforderungen für industrielle Kontrollsysteme (ICS) erfahren, sich mit Cybersicherheitsfragen und Lösungen für das Internet der Dinge (IoT) befassen, untersuchen, wie die Menschen gegen null Vertrauen gehen und hören Sie neue Entwicklungen in der künstlichen Intelligenz (AI). Ich wollte auch mehr über Wahlsicherheit erfahren und sehen, wie sich Cyber-Sicherheitsleute diesem Bereich nähern (Gedanken dazu in meinem nächsten Beitrag). Darüber hinaus unterstützte ich ein paar externe Workshops in den Bereichen Täuschungstechnologie und IoT-Sicherheit.

Wie bereits in meinem früheren Beitrag angemerkt, war dies eine Menge Zeug und mit der ganzen Verrücktheit von RSAC war so viel los, dass in den nächsten Beiträgen einige interessante Sitzungen angesprochen werden, an denen ich teilgenommen habe. Hoffentlich stimmen Sie zu, dass dies gute Nuggets sind!

Zero Trust: NICHT "eine zwischen Menschen entwickelte Emotion"

Ich habe das obige Zitat von Stephanie Balaouras mit Forrester erhalten, die am Dienstagmorgen während des RSAC Cryptographers Panel / Keynote auf meinen Tweet geantwortet hat. Ich bin mir nicht sicher, ob sie meinte, es sei eine „Emotion zwischen Menschen“, besonders seit ich am RSAC saß, und ich bin ehrlich nicht sicher, wer in dieser Menge Emotionen „null Vertrauen“ zugeschrieben hätte. (Ich meine… es ist eine Sicherheitskonferenz. Vertrauen, das nicht durch irgendeine Art von Technologie vermittelt wird, ist hier selten.)

Mit freundlicher Genehmigung von The Hafermehl

Im Cyber-Bereich scherzen wir oft über „Blockchain“ und „AI“ als aktuelle Modewortmodelle. Dies bedeutet, dass für jede Lösung eine dieser beiden Technologien verwendet wird oder diese Lösungen verwendet werden, um eine dringende Cybersicherheitsherausforderung zu lösen. Ich würde behaupten, dass es heutzutage einen ziemlich nahen Konkurrenten gibt, der sich für die Blockchain eignet, und das wäre „null Vertrauen“ Identity Management Company, und ich unterstütze sie nicht, obwohl ich sie in irgendeiner Eigenschaft verwendet habe / benutze.)

Wenn Sie nachschlagen, finden Sie möglicherweise Ausdrücke wie "Zero-Trust-Netzwerke" oder "Zero-Trust-Architekturen". Ich verwende absichtlich "Zero-Trust" in einem Substantiv, um auf das Konzept zu verweisen, das die Idee ist. Unternehmen sollten sich nicht automatisch auf irgendetwas innerhalb oder außerhalb ihres Umkreises verlassen und müssen stattdessen alles und alles überprüfen, wenn versucht wird, eine Verbindung zu ihren Systemen herzustellen, bevor Zugriff gewährt wird. “

Wie bei der Blockchain ist null Vertrauen nicht neu. Es ist seit ungefähr einem Jahrzehnt ein Konzept. Die heutige Technologie bietet jedoch endlich die Möglichkeit, Aspekte des Konzepts umzusetzen. Beispielsweise spielt das adaptive und risikobasierte Identitätsmanagement (Zugriff und Autorisierung) in einer Zero-Trust-Architektur eine sehr große Rolle (manche sagen vielleicht die wichtigste Rolle). Dies ist, was Netflix in seiner RSAC-Präsentation "Building Identity for Open Perimeter" gemeinsam nutzte.

Null Vertrauen bei Netflix

Ich werde im Voraus sein: Dies war eine meiner Lieblingssitzungen aus diesem Jahr. Der Moderator, ein leitender Sicherheitsspezialist bei Netflix, hat einige großartige Details bereitgestellt, die Sie nicht in Sitzungen mit C-Suite-Leuten erhalten.

Einige wichtige Hintergründe für die Null-Vertrauensstellung von Netflix:

  • Identitätsmanagement (Zugang und Autorisierung) für eine große, vielfältige Bevölkerung: nicht nur für Mitarbeiter und Auftragnehmer, sondern auch für zeitlich begrenzte / zeitlich begrenzte Produktionsmitarbeiter
    • BYOD-Umgebung (BYOD): Aufgrund der großen unterschiedlichen Populationen kann Netflix nicht alle Geräte verwalten, die mit seinen Systemen interagieren.
    • Starke Cloud-Infrastruktur mit Hunderten von Anwendungen und geografisch verteilten / globalen Unternehmen (in über 190 Ländern)
    • Diese Infrastruktur und Umgebung führten zu einem "standortunabhängigen Sicherheitsansatz" von Netflix, dem sogenannten Zero-Trust-Ansatz. Ich kann der Präsentation nicht gerecht werden, aber hier sind die Punkte, die ich für wichtig halte:

    • Sie nutzten das Identitätsmanagement der Google Suite für Mitarbeiter und Auftragnehmer, bauten jedoch eine benutzerdefinierte App für Produktionsteams, Medienpartner usw. auf.
    • Um diese vielfältigen Identitäten zu verwalten (Bereitstellung und Bereitstellung), griff Netflix zu den relevanten Datenströmen (Netflix nannte sie „Ereignisquellen“.) Wenn beispielsweise ein Produktionsvertrag unterzeichnet wurde, würden sie die Start- und Enddatum der internen Netflix-Geschäftsanwendung, um sicherzustellen, dass Identitäten entsprechend bereitgestellt und deaktiviert werden.
      • Setzen Sie starke Identitätsstandards ein! Netflix implementierte die Multifaktor-Authentifizierung und einen adaptiven Authentifizierungsansatz. Sie nannten auch speziell Identitätsstandards wie „OpenID, OAuth 2.0, SAML und [Identitätsanbieter] wie PingFederate, Okta, Auth0“.
      • Während der Schwerpunkt auf Identitätsmanagement lag, sind Endpunktsicherheit und ein mehrschichtiger Sicherheitsansatz immer noch extrem wichtig.
      • Netflix entwickelte einen Risiko-Score für die adaptive Authentifizierungsinitiative und nutzte eine Vielzahl von Faktoren.Netflix 'Ansatz des Zero-Trusts basiert stark auf einem Konzept der „Identität als Perimeter“

        Weitere Null-Vertrauen-Bemühungen bei RSAC

        Dieser Beitrag wird super lang, aber bitte ein paar Absätze mehr! Wie ich bereits erwähnt habe, wird aus meiner Sicht null Vertrauen schnell zum Schlagwort der Sicherheit der Zeitschrift. Daher gab es mehrere Sitzungen / Workshops / Diskussionen rund um das Konzept.

        Eines sollte ich hervorheben, ist die Birds of a Feather-Sitzung über null Vertrauen, die von NIST oder dem National Institute of Standards & Technology und der MITRE Corporation (alias meine jeweiligen Vorgesetzten) durchgeführt wird.

        Für diejenigen, die es noch nie waren, ist "Birds of a Feather" der Wunsch des RSAC, EINEN MEHR WISSEN auf seine Agenda zu setzen. Es ermutigt zu Gesprächen im Vergleich zu einer Präsentation oder einem Pitch. Sie erhalten also lediglich eine Tischzuordnung in einem Raum. Der Tisch ist eine typische Hotelbankettrunde und bietet Platz für 8 bis 10 Personen. Diese Sitzung begann früh (7 Uhr morgens!), Aber die Gruppe war beträchtlich und überschwemmte definitiv den Tisch. Es gibt keine reservierten Plätze oder Anmeldungen, also gehen Sie einfach, weil Sie daran interessiert sind, im Morgengrauen aufzuwachen und mit Fremden zu sprechen. Was wahrscheinlich auch bedeutet, dass Sie wirklich leidenschaftlich sind.

        Eine robuste Diskussion über die Umsetzung von Zero Trust, die von den Mitarbeitern von NIST und MITRE unterstützt wird.

        Einige wichtige Mitbringsel aus der Diskussion:

        • Trotz aller Behauptungen der Hersteller, in der Lage zu sein, null Vertrauen zu implementieren, beginnen die meisten Unternehmen gerade erst zu prüfen, wie sie in ihrer Umgebung implementiert werden können.
        • Ohne ein tiefes Verständnis der Identitätssilos, die Sie in Ihrer Organisation haben (und es gibt Identitätssilos, auch wenn Sie nicht glauben wollen, dass es solche gibt), wird es schwierig sein, eine Zero-Trust-Implementierung zu starten.
          • Bei Identität geht es nicht nur um die Personen in Ihrer Organisation. Hierbei handelt es sich um alle Systeme, Anwendungen und Ressourcen, die für den Zugriff auf andere Systeme, Dienste, Ressourcen oder Anwendungen erforderlich sind - also Nicht-Personen-Entitäten.
          • Im Gegensatz zu Netflix verfügen und verwenden die meisten Organisationen noch ältere Systeme. In gewisser Weise vereinfacht die Strategie und Infrastruktur für Cloud-First / Cloud-Only bei Netflix die Implementierung einer Zero-Trust-Architektur. Es gab Diskussionen darüber, wie Organisationen mit Altsystemen sogar einen Null-Vertrauenspfad einschlagen, wenn sie die derzeit funktionierenden Systeme grundlegend überarbeiten würden.
          • Der abschließende Punkt aus dem Gespräch, das meine Kollegen mir körperlich schaden würden, wenn ich nicht erwähnte, ist, dass das nationale Cybersecurity Center of Excellence (NCCoE) von NIST im Bereich der Null-Vertrauensstellung zu arbeiten beginnt. gezielt nach Null-Vertrauensarchitekturen zu suchen, die Organisationen als potenzielle Roadmaps für die Implementierung verwenden könnten. Wenn Sie daran interessiert sind, mehr zu lernen oder dabei zu helfen, wenden Sie sich an die NCCoE.

            Ursprünglich bei Cyberbabble veröffentlicht.

Siehe auch

Jenseits von #BigTech: #LowTech, #SmallTech und #WiseTechWie man CPU-Lüfter stumm macht^ Gott sei Dank ist Amerika ein großer Ort.IcodeAI ErfahrungDie 1. Tier-AI-Olympiade findet stattTech verdient einen Platz am Tisch