Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen

When we hear security practitioners, vendors and their customers talk about the Zero Trust framework, we see a lot of love given to five of the core pillars: Devices, Data, Workloads, Network and People – all very tangible ‘assets’ that need protecting, and for which a wide variety of capabilities exist to help achieve this protection.

Der "Gürtel und die Zahnspange" von Zero Trust

Eine ganzheitliche Zero-Trust-Strategie sollte jede dieser fünf Säulen berücksichtigen und abdecken. Aber Ihre Strategie ist noch nicht vollständig und kommt vielleicht nicht einmal in Gang, wenn Sie keine Geschichte rund um Automation & Orchestration und Visibility & Analytics haben – dies sind im übertragenen Sinne (und buchstäblich, wenn Sie sich das obige Diagramm ansehen!) der "Gürtel und die Zahnspange", die die 5 Zero-Trust-Säulen zusammenhalten. Leider werden sie in der realen Welt von Zero Trust oft am meisten vernachlässigt.

Warum? Automatisierung und Transparenz können die kostspieligsten und komplexesten Bereiche sein, die Anbieter in ihren Sicherheitsangeboten bereitstellen müssen, und den Kunden fehlt oft das Know-how, um sie richtig zu automatisieren oder zu analysieren.

Sie können nicht segmentieren, was Sie nicht sehen können

At Illumio, we think of these two areas (Automation and Visibility) as core pillars in their own right rather than an afterthought. The journey we’re privileged enough to help our customers take as they set out to achieve their micro-segmentation outcomes starts with “Visibility and Analytics." We build a detailed application dependency map, leveraging telemetry from workloads and metadata from a CMDB, to provide actionable traffic reports from which customers can start building their segmentation policies to establish microperimeters around their applications. In this case, Visibility isn’t the icing. It’s the cake.

Kein einzelner Anbieter kann Sie "Zero Trust-ifizieren"

Through an appreciation of the fact that all enterprises, even the seemingly simplest, are complex organisms with an equally complex and diverse technology stack, “Automation and Orchestration” has been a ‘must have’, core part of our product from the outset. Our product is designed to be integrated into other systems and accessed programmatically via our open and documented APIs. In fact, the product UI is a skin on top of our REST APIs. We would go so far as to argue that there is no Zero Trust without Automation and Orchestration.

Woher weiß ich, ob dieses Zeug funktioniert?

Unsere typische Customer Journey folgt diesen Schritten:

1. Abrufen von Telemetriedaten und Metadaten zum Erstellen einer Karte
2. Verwenden der Karte zum Erstellen von Mikrosegmentierungsrichtlinien
3. Testen der Richtlinie vor dem Erzwingen
4. Richtlinie durchsetzen

Und durch die durchgehende Überwachung wissen wir, wann ein Verstoß gegen eine definierte Richtlinie vorliegt, und die Benutzer können die erforderlichen Abhilfemaßnahmen ergreifen.

Also, was ist der Sinn von all dem? In der Lage zu sein, zu verstehen, wie eine bestimmte Zero-Trust-Kontrolle funktioniert (z. B. Übereinstimmungen/Verstöße gegen Mikrosegmentierungsrichtlinien), ist enorm wertvoll, aber wie sieht es mit der Wirksamkeit der Kontrolle im größeren Kontext der gesamten Zero-Trust-Strategie eines Unternehmens aus?

In this era of "assume breach," should there be a security incident, how quickly can your organisation answer the what, when, who, how and why questions? And most importantly which systems in your current arsenal can work in unison to help you get to the answers of these questions automatically and accurately?

MITRE Ich nehme mir einen Moment Zeit, um abzuschweifen?

Let’s take a quick aside and talk about the MITRE ATT&CK framework for a second.

Das MITRE ATT&CK-Framework bildet gegnerische Taktiken, Techniken und Verfahren (TTPs) ab, die böswillige Akteure nutzen, um einen Angriff durchzuführen - zum Beispiel einen auf Advanced Persistent Threat (APT) basierenden Angriff auf ein Ziel.

Anhand dieser Informationen und des gemeinsamen Wissens über das Verhalten eines Angreifers bei der Ausnutzung dieser TTPs kann ein Unternehmen Abwehrstrategien entwickeln, um die negativen Auswirkungen dieser bösartigen Aktivitäten zu begrenzen (und im Idealfall zu verhindern). Darüber hinaus geht das Framework von der Position "Assume Breach aus" aus und dreht sich daher ausschließlich um die Verteidigung nach der Kompromittierung – "Gehen Sie davon aus, dass Sie verletzt werden, also konzentrieren Sie sich darauf, es wirklich schwer zu machen, pwned zu werden".

From a Blue Team’s perspective, the ATT&CK framework, with its emphasis on having access to as much event data from relevant sources as possible, informs the process by which this data can be aggregated and correlated to properly identify malicious behaviours and, in turn, drive the necessary responses. MITRE’s own ATT&CK 101 blog post is an excellent starting point for all things ATT&CK.

Messung der Wirksamkeit der Mikrosegmentierung

During the recent work on Testing the Efficacy of Micro-Segmentation, red team specialists Bishop Fox began by mapping the relevant parts of the MITRE ATT&CK framework to the techniques they would look to be leveraging in their attempt to ‘capture the flags.’

This identification of adversarial techniques then allowed them to determine how effective the Illumio Adaptive Security Platform was in helping to detect and defeat these attacks. MITRE has a great write up on how the ATT&CK framework can be used to effectively find cyber threats.

Mit einem Sicherheits-Toolset, das eine hohe Wiedergabetreue und vollen Zugriff über die API bietet und ein Modellierungsframework wie MITRE ATT&CK bietet, sind Unternehmen in der Lage, Tools zu entwickeln, die Zero-Trust-Kontrollen überwachen, Telemetriedaten analysieren und automatisch reagieren können, um die entsprechenden Maßnahmen zu ergreifen. Aber wie können Sie die Wirksamkeit dieser Tools überwachen?

Machen Sie kontinuierliches Testen zu einem Teil Ihrer Zero-Trust-DNA

Eine Möglichkeit besteht natürlich darin, einen unabhängigen Red-Team-Spezialisten einzustellen, der die Rolle eines Angreifers übernimmt, während das Blue Team des Unternehmens seine sorgfältig aufgebauten Analyse- und Sicherheitskontrollen nutzt, um zu überwachen und darauf zu reagieren. Dies ist äußerst wertvoll und wird regelmäßig empfohlen. Was wäre, wenn es eine Möglichkeit gäbe, sowohl die Red-Team-Aktivität als auch die Blue-Team-Reaktion zu automatisieren?

Organisations could continuously test the effectiveness of their modelling and controls and take an approach of constant improvement. And this is exactly what vendors like AttackIQ are now making possible. Through their technology, customers can both validate the effectiveness of a specific security control and, perhaps more interestingly, can determine how their defenses line up against sophisticated adversaries.

At Illumio, we are excited to partner with AttackIQ in the launch of their Preactive Security Exchange program because we understand that customers need to be able to measure and see value in their Zero Trust investments. The highly configurable, automated, repeatable testing platform that AttackIQ provides makes measuring the efficacy of Zero Trust controls an achievable goal for organisations. And as we know, once you can measure something you can start improving it.

Check out our Zero Trust security page to learn more about how Illumio can help you on your Zero Trust journey.