CSMA — это больше, чем XDR — Введение в ячеистую архитектуру кибербезопасности

Это просто еще одно модное слово? Или строительный блок CloudSec и нулевого доверия?

Неудивительно, что во время недавних встреч клиенты часто спрашивали меня, как управлять всеми инструментами кибербезопасности. Согласно [Gartner Top Trends Security Technology for 2022] (https://www.gartner.com/en/doc/756665-cybersecurity-mesh), я не одинок. Многие директора по информационной безопасности считают, что консолидированная распределенная архитектура безопасности необходима для борьбы с идеальным штормом кибератак: мультиоблачная безопасность и безопасность удаленной работы.

Это выглядит довольно противоречиво с каждым слоем, но это не так. В качестве примера рассмотрим следующее сервисное приложение:

• AWS Lambda и Функции Azure используются в качестве страниц контента из контейнеров в различных облачных провайдерах, включая Google Cloud Run;

• Cloudflare используется как CDN (сеть доставки контента);

• Разработчики используют Okta в качестве поставщика услуг идентификации.

На самом деле это то, что клиенты используют в настоящее время. Просто подумайте, сколько поставщиков услуг и моделей на картинке. И что еще? Это только часть большой картины. Для защиты чего-либо в этих условиях необходима существующая архитектура кибербезопасности.

Поэтому настало время для нового и лучшего подхода  — «Ячеистой архитектуры кибербезопасности» (CSMA), которая направлена ​​на снижение потребности в одной конкретной вычислительной среде.

Все децентрализовано (рабочая сила, периметр, информация и многое другое…)

Из-за COVID компании ускорили свои инициативы по цифровой трансформации, чтобы опередить кривую в битве за существование. В результате многие компании внедрили новейшие технологии, чтобы обеспечить и поощрять тенденции удаленной работы.

Благодаря сценарию работы из любого места и удаленной работе, ставшей «новой нормой», организации располагают своими активами, сотрудниками, партнерами и клиентской базой по всему миру в разных местах. Таким образом, критически важные данные и активы находятся за пределами традиционных периметров безопасности, что затрудняет использование устаревших средств контроля для их защиты от передовых киберугроз.

Традиционный стек технологий разрушается, потому что все больше людей используют микросервисы. Они также используют блокчейн и другие модели доверия, чтобы принять информационно-ориентированную модель безопасности, которая работает с распределенными сервисами к облачной безопасности, web3 и DevOps).

[В недавнем отчете Gartner] (https://www.gartner.com/smarterwithgartner/gartner-top-security-and-risk-trends-for-2021) говорится, что из-за сдвига, вызванного пандемией, открылись новые поверхности для атак. на удаленную работу. Удаленные сотрудники, внедрение облачных технологий, DevSecOps, Интернет вещей и другие элементы цифровой трансформации требуют гибких и масштабируемых стратегий кибербезопасности. Решением этой проблемы является масштабируемая, интегрированная и автоматизированная ячеистая архитектура кибербезопасности.

Что такое сетчатая архитектура кибербезопасности (CSMA)?

[Gartner] (https://www.gartner.com/en/doc/756665-cybersecurity-mesh) указала на растущий разрыв в совместимости между инструментами безопасности. Более того, существует расточительное дублирование нескольких устройств или программного обеспечения, каждое из которых оплачивается по собственной лицензии.

В соответствии с CSMA каждое устройство будет введено в инфраструктуру как интегрированная, тщательно разработанная часть консолидированной системы безопасности. Кроме того, Gartner определяет сетку кибербезопасности как распределенный архитектурный подход к гибкому, масштабируемому и надежному контролю кибербезопасности.

Согласно отчету «[Главные тенденции технологий безопасности на 2022 год: сетка кибербезопасности] (https://www.gartner.com/en/doc/756665-cybersecurity-mesh)», ниже приведены четыре основных уровня CSMA:

1. аналитика безопасности и интеллект

1. сводные информационные панели

1. распределенная идентификационная ткань

1. консолидированная политика и управление положением

На примере управления ключами хранение секретного ключа в Microsoft Azure отличается от его использования в AWS или Google, например:

• Хранилище ключей Azure;

• АМС CloudHSM;

• Облачный ключ Google;

• Локальное устройство HSM.

Несмотря на то, что каждое приложение/сервис отличается технически и функционально, они используются для достижения аналогичной цели политики (сохранение ключа/секрета от раскрытия или несанкционированного доступа). В результате одна и та же консолидированная политика и управление состоянием трансформируются в разные конфигурации и развертывания в различных форм-факторах, т. е. в распределенных элементах управления безопасностью.

Точно так же консолидированное управление политиками и состоянием переводит абстрактные цели политики в конкретные конфигурации отдельных поставщиков, что улучшает общее состояние безопасности. Например, разработчики часто повторно используют ключи для доступа к различным ресурсам и забывают отделить их от разработки с производством.

Например, [платформа управления состоянием облачной безопасности] (https://www.gartner.com/en/documents/3899373) может помочь обеспечить отслеживание всех обращений к ключам шифрования и их соответствие корпоративной политике или стандартам безопасности. Он также может согласовывать все конфигурации с разными поставщиками.

Общие языки в пространстве кибербезопасности

Чтобы обеспечить лучшую интеграцию и позволить всем инструментам работать вместе, они должны «общаться» друг с другом. Например, мы знакомы с «IOC»  — «Индикатором компрометации» при обмене информацией об угрозах. Однако это было бы невозможно, если бы все поставщики использовали свои собственные наборы показателей без стандартизации.

В результате CSMA также нужны общие языки  , такие как открытые стандарты и общие API для поддержки интеграции различных поставщиков. Ниже приведены некоторые примеры существующих общих стандартов:

• IOC — STIX/TAXII, SIGMA

• Аналитика угроз — OpenDXL (McAfee), SCAP v2 (NIST)

• Сеть — Netflow, IPfix

• Аутентификация — SAML, OAuth, FIDO2

• Framework — MITRE ATT&CK и D3FEND, CVSS, OWASP Top 10

• Охота за угрозами — Yara, Snort, ZEEK

Предположим, нам нужно CSMA для работы в среде SOC, где специалисты по кибербезопасности серьезно относятся к мониторингу безопасности. Нам нужен стандартный процесс для сбора и сопоставления событий и журналов. Чтобы сделать аналитику угроз значимой аналитикой и данными, нам необходимо собрать воедино информацию об угрозах и активах. Следовательно, не только данные, экспортируемые со всех устройств безопасности, но и другие источники данных, такие как идентификационная информация и информация о контексте активов, также должны быть стандартизированы.

Наконец, существует интеграция в каждой части потока данных, чтобы инструменты могли без проблем работать вместе. Как профессионалы в области безопасности, мы должны продолжать делать то, что мы делаем в краткосрочной перспективе. Мы можем выполнять свою работу, используя любое количество продуктов, которые помогают выполнить четыре уровня CSMA (как описано выше).

Поэтому организации согласовывают свои стратегии мультиоблачных вычислений и работы из любого места, чтобы отделить их от применения политик. Внедрение CSMA также помогает устранить разрозненность в стеке безопасности, и на последнем этапе мы будем видеть все меньше и меньше средств защиты, основанных на периметре.

Как это сделать? «Думай как нулевой траст» уходит в прошлое

Как и в случае с Zero Trust, специалисты-практики, понимающие преимущества модели CSMA, могут искать продукты для обеспечения безопасности, которые ее поддерживают. Одобрение нулевого доверия в качестве приемлемой архитектурной модели изменило то, как специалисты по кибербезопасности оценивают и проверяют облачные компании.

Подумайте, с чего начинается путь к нулевому доверию и чем он становится в наши дни. Концепции, поддерживающие нулевое доверие, не новы:

• [Стивен Пол Марш] (https://scholar.google.co.uk/citations?user=Qz73wh4AAAAJ&hl=en&ref=hackernoon.com) придумал ZT в апреле 1994 года для своей докторской диссертации по вычислительной безопасности в университете. Стерлинга.

• Сложности определения периметра ИТ-инфраструктуры организации были отмечены форумом Иерихона в 2003 г., обсуждение тенденции того, что позже было придумано «де-перимитеризация».

• В 2009 году компания Google внедрила архитектуру с нулевым доверием, известную как BeyondCorp.

• [Джон Киндерваг] (https://www.forrester.com/speakers/john-kindervag/?ref=hackernoon.com), отраслевой аналитик Forrester Research Inc., популяризировал термин [«Нулевой Trust Network» в 2010 г.] (http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf?ref=hackernoon.com)

И теперь компании и поставщики сформировались вокруг архитектуры нулевого доверия. Это также привело к появлению новых функций и инноваций в портфелях продуктов существующих поставщиков. В результате он стимулировал инициативы в технологических организациях конечных пользователей.

Аналогичным образом, принятие CSMA в качестве осуществимой архитектурной стратегии потенциально может упростить архитектурные обсуждения мультиоблачных, гибридных облачных сред, безопасности контейнеров, а также оркестровки безопасности и реагирования на нее.

Заключительные слова

Концепция сетки кибербезопасности предполагает, насколько широко доступны действительно компонуемые службы безопасности. В результате эти решения имеют архитектуру, созданную для гибкого масштабирования благодаря API-first подходу. CSMA также называет общие платформы для всего  — от контекстной аналитики и анализа угроз до анализа угроз (TI) и средств управления безопасностью, интегрированных через API.

Согласно [прогнозам Gartner] (https://www.gartner.com/en/articles/the-top-8-cybersecurity-predictions-for-2021-2022-1),

«К 2024 году организации, использующие CSMA, снизят финансовые последствия инцидентов безопасности в среднем на 90 %».

Практичная ячеистая архитектура кибербезопасности потребует более сильного, консолидированного управления политиками и руководства. Например, очень важно разработать более подходящие политики доступа с минимальными привилегиями, которых организации могут добиться, используя механизм централизованного управления политиками с распределенным применением.

Тем не менее, нам все еще нужен клей, чтобы склеить все доступные инструменты. К счастью, благодаря рекомендациям, содержащимся в отчете Gartner CSMA, становится возможной интеграция с распространенными языками кибербезопасности  — API и открытыми стандартами, а также тщательно задействуется весь существующий стек безопасности.

Спасибо за чтение. Да пребудет с вами информационная безопасность🖖.