Wie Zero Trust es Unternehmen ermöglicht, jeden Schritt in der Cyber-Kill-Chain anzugehen

In diesem Blogbeitrag schauen wir uns die Cyber Kill Chain an, wie Sicherheitsmodelle, die Vertrauen voraussetzen, nur dazu beitragen, die Schritte 1 bis 6 in der Kette abzuschwächen — also alles bis zum Punkt der ersten Gefährdung — und wie ein Null Vertrauen Der Sicherheitsansatz verbessert sowohl die bestehenden Kontrollen, die sich auf die Vermeidung von Sicherheitsvorfällen konzentrieren, erheblich, als auch bietet er wichtige Funktionen, die zur Unterstützung der Erkennung und Reaktion nach einer Sicherheitsverletzung erforderlich sind. Daher sind Unternehmen, die Zero Trust einsetzen, wahrscheinlich besser darauf vorbereitet, böswillige Eindringlinge zu erkennen und einzudämmen.

Wir alle wissen, wie wichtig eine tiefgehende Verteidigung ist, um zu verhindern, dass sich Angriffe durchsetzen. Aus diesem Grund haben wir natürlich in investiert Firewalls der nächsten Generation (NGFWs) zum Schutz des Perimeters, Endpunktsicherheit für Mitarbeitergeräte sowie E-Mail- und Web-Sicherheitstools zum Schutz der Produktivität, neben den vielen anderen Sicherheitsinvestitionen, die wir tätigen.

Der Wert dieser präventiven Tools und tiefgreifenden Abwehrmaßnahmen wird in der Cyber Kill Chain erfasst, die darauf abzielt, Cyberangriffe zu erkennen und zu verhindern. Das 2011 von Lockheed Martin formalisierte Cyber-Killkette hat in den letzten zehn Jahren definiert, wie Unternehmen ihre Sicherheitskontrollen planen und als direkte Folge bestimmen, wie sie ihre Cyber-Resilienz messen. Hier sind die sieben Schritte:

1. Aufklärung: Ein Angreifer sammelt vor dem Angriff Informationen über das Ziel.
2. Bewaffnung: Der Cyberangreifer erstellt seinen Angriff, z. B. ein infiziertes Microsoft Office-Dokument und eine Phishing-E-Mail oder eine Schadsoftware.
3. Versand: Übertragung des Angriffs, wie das Versenden einer tatsächlichen Phishing-E-Mail
4. Ausnutzung: Die tatsächliche „Detonation“ eines Angriffs, z. B. ein Exploit, der auf einem System ausgeführt wird.
5. Installation: Der Angreifer installiert Schadsoftware auf dem Opfer (nicht alle Angriffe erfordern Schadsoftware).
6. Command and Control: Das nun kompromittierte System „ruft nach Hause“ zu einem Command and Control (C&C) -System, über das der Cyber-Angreifer die Kontrolle erlangen kann.
7. Aktionen im Zusammenhang mit Zielen: Der Angreifer hat jetzt Zugriff und kann zu seinen Aktionen übergehen, um seine Ziele zu erreichen.

Die Cyber Kill Chain greift auf die alten Sprichwörter „Eine Kette ist nur so stark wie ihr schwächstes Glied“ und „Verteidigung ist die beste Angriffsform“ zurück. Sie legt großen Wert darauf, Angreifer abzuwehren, die von links nach rechts oder anders ausgedrückt vordringen, bevor sie sich eine Erstinfektion oder den Zugriff auf eine Umgebung verschaffen. Die Erwartung, dass Sie einen Angriff erfolgreich vereitelt haben, wenn Sie einen böswilligen Akteur zu einem beliebigen Zeitpunkt vor Schritt 7 (Aktionen auf Ziele) stoppen können.

Das Nettoergebnis davon war bis vor Kurzem eine starke (und vielleicht zu viel) Betonung präventiver Kontrollen — Firewalls, Virenschutz, Web-Gateways —, die dies nicht tun von einem Verstoß ausgehen; sie gehen vielmehr davon aus, dass alle Angriffe erkannt und geblockt werden können. Alle diese Tools haben jedoch die gleiche Einschränkung: Sie verhindern im besten Fall das „bekannte Böse“. Sie hängen von den folgenden Annahmen ab:

1. Dem Gebäude, in dem mein Büro und meine Belegschaft untergebracht sind, wird vertraut.
2. Der Netzwerkperimeter ist hart und vertrauenswürdig.
3. Das Netzwerk innerhalb dieses vertrauenswürdigen Perimeters ist vertrauenswürdig.
4. Die Geräte, die an dieses vertrauenswürdige Netzwerk angeschlossen sind, sind vertrauenswürdig.
5. Die Anwendungen, die auf diesen vertrauenswürdigen Geräten ausgeführt werden, sind vertrauenswürdig.
6. Die Benutzer, die auf diese vertrauenswürdigen Anwendungen zugreifen, sind vertrauenswürdig.
7. Angreifer sind vorhersehbar und wiederholen dieselben Verhaltensweisen.

Das Ziel präventiver Kontrollen besteht darin, die schlechten Akteure fernzuhalten und dadurch das implizite Vertrauensniveau aufrechtzuerhalten. Aber was passiert, wenn sich ein Angreifer von einem „bekannten Bösewicht“ zu einem „unbekannten Bösewicht“ entwickelt — wie passen diese Verteidigungslinien dann zusammen? Moderne, ausgeklügelte Angriffe (von der Target-Verletzung bis hin zu Wolkenhüpfer (und alles dazwischen und darüber hinaus) sind so konzipiert, dass sie dieses falsche Vertrauensgefühl gezielt ausnutzen, um zu den Schritten 6 und 7 der Kill Chain zu übergehen und Kontrollen zu umgehen, die versuchen, die Schritte 1 bis 5 zu verhindern. Und diese präventiven Kontrollen holen immer auf.

Bevor wir fortfahren, ist es wichtig zu betonen, dass präventive Maßnahmen ein wichtiger und wesentlicher Bestandteil jeder Organisation sind Cyber-Abwehr, aber sie sind nicht mehr das A und O. In der Tat sind sie erst der Anfang. Und das liegt daran, dass die Annahmen, auf denen sie aufgebaut wurden, nicht mehr gelten, insbesondere im Jahr 2020, als die globale Pandemie die Arbeitsweise von Organisationen in allen Sektoren völlig revolutioniert hat, was zu einer neuen Normalität geführt hat:

1. Mein Unternehmen befindet sich nicht mehr an bestimmten Standorten.
2. Ein Perimeter existiert, aber er ist nicht allumfassend.
3. Das Netzwerk ist oft nicht exklusiv für meine Organisation.
4. Geräte, die ich nicht kontrolliere, existieren in meinem Netzwerk.
5. Oft werden die Anwendungen, die das Unternehmen verwendet, nicht von mir gehostet und verwaltet.
6. Benutzer sind überall.
7. Angreifer sind unberechenbar und suchen immer nach neuen Angriffswegen.

Angesichts dieser neuen Annahmen, die zeigen, dass wenig absolut vertrauenswürdig ist, befinden wir uns in einer Situation, in der die Wahrscheinlichkeit, eine Sicherheitsverletzung zu verhindern, gering ist. Deshalb müssen wir uns auf die Erkennung, Reaktion und Eindämmung konzentrieren. Und hier setzen wir Zero Trust ein.

Es ist wichtig, Zero Trust in drei Schlüsselbereiche zu unterteilen:

1. Steuerungen
2. Überwachung
3. Automatisierung und Orchestrierung

Zero-Trust-Kontrollen

Zero-Trust-Kontrollen können nominell den präventiven Kontrollen entsprechen, die aus dem Perimetermodell von früher stammen, aber der Ausgangspunkt ist ein anderer:

• Das Perimetermodell geht davon aus, dass alles, was sich im Inneren befindet, vertrauenswürdig ist, und legt daher einen übermäßigen Schwerpunkt auf die Stärke des Perimeters — es handelt sich um einen Einheitsansatz.
• Bei Zero Trust gibt es diese Annahme von implizitem Vertrauen einfach nicht — also sind wir gezwungen, intelligenter zu sein:
• Was braucht am meisten Schutz?
• Wer muss darauf zugreifen?
• Woher?
• Wann?
• Warum?
• Was sind die Interdependenzen?

Dies sind die Datenpunkte, die wir verwenden, um eine Zero-Trust-Richtlinie zu erstellen.

Wenn wir dies aus der Perspektive eines Angreifers betrachten, stellen wir fest, dass die Messlatte für seine Fähigkeit, erfolgreich einzudringen, deutlich höher gelegt wird — er kann nicht mehr davon ausgehen, dass es ausreicht, sich einfach Zugriff auf das Netzwerk zu verschaffen, sei es, um Querbewegungen durchzuführen, Rechte zu eskalieren oder nach Hause zurückzurufen. Wie wir gesehen haben aus der Bericht von Bishop Fox über die Wirksamkeit der Mikrosegmentierung, Zero-Trust-Kontrollen wie diese zwingen Angreifer dazu, ihr Verhalten zu ändern und andere Techniken zu nutzen, die alle die Wahrscheinlichkeit erhöhen, dass die Verteidiger entdeckt werden. Ein Zero-Trust-Ansatz bei den Kontrollen trägt dazu bei, die Angriffsfläche zu reduzieren, die für Exploits zur Verfügung steht. Das Zero-Trust-Kontrollmodell ist eine Aktualisierung der Tiefenabwehr — mit Ebenen, die wichtige Daten schützen. Dadurch ist es für Angreifer — selbst wenn sie präventiven Technologien ausweichen — schwierig, sich frei zu bewegen.

MITRE ATT&CK Framework

Bevor wir über Überwachung und Automatisierung/Orchestrierung im Kontext von Zero Trust sprechen, gehen wir zum MITRE ATT&CK-Rahmen. Der Ausgangspunkt des Frameworks ist die Annahme eines Verstoßes, wobei der Schwerpunkt darauf liegt, zu verstehen, wie sich ein Angreifer zwischen dem Zeitpunkt der ersten Kompromittierung und dem erfolgreichen Abschluss der Mission verhalten wird. Dieses Verständnis hilft uns dabei, Erkennungsfunktionen zu definieren, mit denen bestimmte Ereignisse überwacht werden, die uns entweder isoliert oder wenn sie korreliert sind, einen Indikator für abnormales Verhalten liefern, das weitere Untersuchungen rechtfertigen könnte.

Zero-Trust-Überwachung

The MITRE ATT&CK framework makes large value on transparence — events with high accuracy from so many data sources as possible (network, firewall, proxy, AV, EDR, IAM, OS, cloud service provider, application, DB, IoT usw.), sodass die Verteidigungsteams eine Reihe von Verhaltensmethoden modellieren können, die sie mit bekannten Angriffen in Verbindung bringen, und diese weiterentwickeln, sobald weitere Erkenntnisse über Gegner und ihre Methoden gewonnen werden. Der Zero-Trust-Ansatz legt Wert auf Sichtbarkeit, was bei früheren Ansätzen nicht der Fall war. Tatsächlich könnte ein Zero-Trust-Motto lauten: „Was man nicht sieht, kann man nicht schützen“. Infolge der Verbesserung der Sichtbarkeit im Rahmen eines Zero-Trust-Programms und in Kombination mit der Verwendung des MITRE ATT&CK-Frameworks zur Modellierung gegnerischer Verhaltensweisen, bei denen das Unternehmen ausgesetzt ist, kann das defensive Ende der Cyber-Kill-Chain durch die Nutzung bereits vorhandener Fähigkeiten einen Mehrwert erzielen.

Der exzellente BBC-Podcast“13 Minuten bis zum Mond„behandelt die berüchtigte Apollo-13-Expedition in ihrer zweiten Serie. The design of the Apollo-Raumschiff and the entire operation team that supports, are a good analogie, to the meaning of detection and reaction between all efforts to prevention. The, designed space ship for the Apollo-Mission, available by a unglaubliches Maß an Resistability and Outfall safety in any component. Zahlreiche Ausfallszenarien wurden getestet, um sicherzustellen, dass jedes mögliche, erwartete Ergebnis behoben werden konnte. Bei Apollo 13 wurde der Verlust eines einzelnen Booster-Triebwerks durch die Zünden der anderen 4 ausgeglichen, aber es gab nichts in der Konstruktion, was den Verschleiß der Kabelisolierung verhindern konnte, was die Mission gefährdete. if this happened (similar a break), the besatzung and mission control completely on the space ships, the observation of the astronauts and the experts before place, to detect the problem and isolation and prevent you. This is an good example for that security teams because the delivery of data with the correct accuracy from the relevant data sources in connection with the ability, these data efficient to analysis, wide better prepared to prepare, cases accurate to analysis, that they can be better (and faster) decisions about that event (or a combination of events) must be research and which be ignored.

Zero-Trust-Automation

The rise of SOAR-Platforms (Security Orchestration, Automation and Response) is focus to the entire phase after detection of a attacks and provides the technology to provide efficient from the detection to response. Bei üblichen bösartigen Verhaltensmustern könnte diese gesamte Abfolge sogar automatisiert sein, sodass die Analysten mehr Zeit für die Untersuchung komplexerer Angriffe haben. Um diese Effizienz zu erzielen, hängen die Solarplattformen von ihrer Fähigkeit ab, technologielösungen zu integrieren, die relevanten Daten bereitzustellen oder die erforderlichen Gegenmaßnahmen zu ergreifen. Aus diesem Grund sind Orchestrierung und Automatisierung eine wichtige (aber oft übersehene) Säule von Zero Trust. The possible to change an new setup by automation to orchestrieren or change an existing setup in the frame of a change, provides also significant operating benefits, the real security advantage is but implemented, when these platforms are easily and consistent orchestriert, to react on a security case.

Also zurück zu ihnen, wo wir angefangen haben:

• The traditional perimeter security approach is only with a part of Cyber-Kill chain and makes us largely blind for the phase after the kompromittierung.
• Zero Trust verbessert die Prävention erheblich, indem es zunächst geprüft wird, was geschützt wird (z. B. kritische Daten oder eine wichtige Anwendung), und es wird sichergestellt, dass die entsprechenden Kontrollen mit einem angemessenen Ansatz für die geringsten Rechte eingerichtet werden.
• Zero Trust goes from a position, by the security lücken is out, and makes value of solutions, the quality quality logs for support of detection after an safety violation.
• Darüber hinaus bedeutet die Befürwortung, dass Technologien, die die Kunden unterstützen, Zero Trust erreichen sollten, über eine gute Orchestrierung und Automatisierung verfügen müssen, sodass sie SOAR-Plattformen bei der automatisierten Reaktion auf Vorfälle unterstützen können.

The introduction a zero trust approach improve also both the traditional perimeter approach, the target to be the first six levels of the Cyber-Kill Chain, as also organizations into the location, to focus to focus, attacks to detect and abwehren, should they level 7 and reach their intended measures.

Weitere Informationen zum Zero-Trust-Ansatz von Illumio finden Sie unter: https://www.illumio.com/solutions/zero-trust