Bishop Fox: Testen der Wirksamkeit von Zero-Trust-Segmentierungen gegen Ransomware

The race to innovate between cybersecurity and ransomware oftentimes feels like an endless game of cat and mouse. Constant work from organizations to stay better protected has often been met with frustratingly little ground gained.

Why is this? It’s a longstanding question that Paul Dant, Illumio’s Senior Director for Cybersecurity Strategy, and Trevin Edgeworth, Bishop Fox’s Red Team Practice Director, set out to answer in this month’s webinar, Enhancing Your Ransomware Defenses Through Zero Trust Segmentation.

Download a copy of Bishop Fox’s Ransomware Scenario Emulation 2022: Assessment Report to see how Zero Trust Segmentation renders attackers ineffective in less than 10 minutes.

Wie Ransomware den Bemühungen um Cybersicherheit immer einen Schritt voraus ist

Dant and Edgeworth broke down exactly why ransomware always seems to be a step ahead of the cybersecurity industry’s best efforts.

"Ich denke, wir sind besser geworden, aber gleichzeitig sind es auch die Gegner", sagte Edgeworth, ein jahrzehntelanger Veteran der offensiven Cybersicherheit. "Die Bedrohungsakteure entwickeln sich genauso weiter wie wir. Sie haben ausgeklügelte, von Menschen geführte Arten von Angriffen, die auf jede Umgebung zugeschnitten sind."

Ein weiteres Problem, das Edgeworth hervorhob, waren grundlegende Best Practices für die Sicherheit: "Vince Lombardi, der legendäre Football-Trainer, hielt einmal einen Football hoch und sagte zu seinen Spielern: 'Das ist ein Football.' Lombardi motivierte seine Spieler, indem er sie aufforderte, sich auf das Wesentliche zu besinnen. Diese langweiligen Grundlagen sind es, die zu erfolgreicher Cybersicherheit führen."

Finally, there’s lateral movement which is the way ransomware and breaches spread throughout a network.

“What makes it too easy [for ransomware] is that ability to move laterally, even if it involves just a single compromised system on a particular network,” said Dant. Hackers all too often leverage a single weak point in an attack surface as a gateway to make lateral movements and scour a company for its most critical assets. This allows hackers to cause the most pain and urgency.

Schaffung der perfekten Testumgebung für die Zero-Trust-Segmentierung

Wie können sich Unternehmen also besser auf diesen Ansturm von Tools und Möglichkeiten vorbereiten, die Hackern zur Verfügung stehen?

Bishop Fox intricately constructed a methodology to test the Illumio Zero Trust Segmentation Platform against the intricacies of real-world attacks.

Edgeworth beschrieb eine Art Testumgebung mit scharfer Munition, in der Bishop Fox die Rolle beider Seiten, der Angreifer und der Verteidiger, spielte.

"Da Bishop Fox sowohl auf der roten als auch auf der blauen Seite spielte, wollten wir die Methodik so gestalten, dass das Potenzial für Verzerrungen reduziert wird", sagte Edgeworth. "Wir wollten ein möglichst realistisches Szenario entwerfen und dieses Szenario in einer Vielzahl verschiedener defensiver Konfigurationen durchspielen. Dies würde es uns ermöglichen, zu vergleichen und gegenüberzustellen, wie sich jede dieser Umgebungen gegen einen ähnlichen Angriff geschlagen hat."

Die Methodik erforderte vier verschiedene Verteidigungskonfigurationen, von denen jede robuster war als die vorherige:

1. Ein unberührtes Steuerungsszenario ohne Illumio-Fähigkeiten
2. Ein Detection-and-Response-Modell nur mit Überwachungsmodus
3. Ein vorkonfigurierter statischer Schutz mit einer grundlegenden Segmentierungsrichtlinie, die auf bekannte und gängige Ransomware-Stämme abgestimmt ist
4. Full-on application ring fencing, including custom Illumio Zero Trust Segmentation policy with its own rules

Jede Konfiguration wurde gegen dasselbe Angriffsmuster getestet, so dass umfassende Daten gesammelt werden konnten, um die Effektivität jedes Systems zu messen. Als ethischer Hacker in der Vergangenheit bemerkte Dant die Genauigkeit des Tests, die unglaublich gut den Erwartungen an die Angriffe von Angreifern auf Unternehmen entsprach.

Interpretieren der Emulationsdaten von Bishop Fox

Nach jeder Phase des Tests machten die daraus resultierenden Daten alles glasklar.

Bei jedem emulierten Angriff von Bishop Fox gab es weniger kompromittierte Hosts, kürzere Zeiten, um sie zu erkennen und einzudämmen, und weniger erfolgreiche TTPs, die von den Angreifern ausgeführt wurden.

With Illumio Core fully deployed in phase 4, the attack was snuffed out in an astonishing 10 minutes.

"Es gibt keinen besseren Weg, dies zu beweisen, als die Bedrohung in Ihrer Umgebung tatsächlich zu simulieren und diese Ergebnisse zu analysieren", betonte Edgeworth.

The rigor of Bishop Fox’s testing environment further legitimized Zero Trust Segmentation and the Illumio Zero Trust Segmentation Platform.

“I can very clearly see how Zero Trust Segmentation is such a valid control in preventing lateral movement,” said Dant. “Not only are we achieving a new level of visibility, but we’re also allowing an organization to feel confident that if an attacker is able to compromise some point in the network, ZTS would make it very hard for that attack to be carried out.”

Contact us to schedule a consultation and demo with our Illumio experts.