Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz
Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
3August 2020
23 min. lesen

Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen

Wenn Sicherheitsexperten, Anbieter und ihre Kunden über das Zero-Trust- Framework sprechen, sehen wir, dass fünf der Kernsäulen viel Aufmerksamkeit erhalten: Geräte, Daten, Workloads, Netzwerk und Menschen – allesamt sehr greifbare „Assets“, die geschützt werden müssen und für die eine breite Palette von Möglichkeiten zur Erreichung dieses Schutzes existiert.

Zero-Trust-Diagramm

Der "Gürtel und die Zahnspange" von Zero Trust

Eine ganzheitliche Zero-Trust-Strategie sollte jede dieser fünf Säulen berücksichtigen und abdecken. Aber Ihre Strategie ist noch nicht vollständig und kommt vielleicht nicht einmal in Gang, wenn Sie keine Geschichte rund um Automation & Orchestration und Visibility & Analytics haben – dies sind im übertragenen Sinne (und buchstäblich, wenn Sie sich das obige Diagramm ansehen!) der "Gürtel und die Zahnspange", die die 5 Zero-Trust-Säulen zusammenhalten. Leider werden sie in der realen Welt von Zero Trust oft am meisten vernachlässigt.

Warum? Automatisierung und Transparenz können die kostspieligsten und komplexesten Bereiche sein, die Anbieter in ihren Sicherheitsangeboten bereitstellen müssen, und den Kunden fehlt oft das Know-how, um sie richtig zu automatisieren oder zu analysieren.

Sie können nicht segmentieren, was Sie nicht sehen können

Bei Illumio betrachten wir diese beiden Bereiche (Automatisierung und Transparenz) als eigenständige Kernpfeiler und nicht als nachträgliche Überlegung. Der Weg, den wir mit Freude beschreiten dürfen, um unsere Kunden bei der Erreichung ihrer Ziele im Bereich der Mikrosegmentierung zu unterstützen, beginnt mit „Transparenz und Analyse“. Wir erstellen eine detaillierte Abhängigkeitskarte der Anwendungen, indem wir Telemetriedaten von Workloads und Metadaten aus einer CMDB nutzen, um aussagekräftige Verkehrsberichte bereitzustellen, anhand derer Kunden ihre Segmentierungsrichtlinien entwickeln können, um Mikroperimeter um ihre Anwendungen zu errichten. In diesem Fall ist Sichtbarkeit nicht das Sahnehäubchen. Es ist der Kuchen.

Kein einzelner Anbieter kann Sie "Zero Trust-ifizieren"

In Anerkennung der Tatsache, dass alle Unternehmen, selbst die scheinbar einfachsten, komplexe Organismen mit einem ebenso komplexen und vielfältigen Technologie-Stack sind, war „Automatisierung und Orchestrierung“ von Anfang an ein unverzichtbarer Kernbestandteil unseres Produkts. Unser Produkt ist so konzipiert, dass es in andere Systeme integriert und programmatisch über unsere offenen und dokumentierten APIs aufgerufen werden kann. Tatsächlich ist die Produkt-UI eine Benutzeroberfläche, die über unseren REST-APIs liegt. Wir würden sogar so weit gehen zu behaupten, dass es ohne Automatisierung und Orchestrierung kein Zero Trust gibt.

Woher weiß ich, ob dieses Zeug funktioniert?

Unsere typische Customer Journey folgt diesen Schritten:

  1. Abrufen von Telemetriedaten und Metadaten zum Erstellen einer Karte
  2. Verwenden der Karte zum Erstellen von Mikrosegmentierungsrichtlinien
  3. Testen der Richtlinie vor dem Erzwingen
  4. Richtlinie durchsetzen

Und durch die durchgehende Überwachung wissen wir, wann ein Verstoß gegen eine definierte Richtlinie vorliegt, und die Benutzer können die erforderlichen Abhilfemaßnahmen ergreifen.

Also, was ist der Sinn von all dem? In der Lage zu sein, zu verstehen, wie eine bestimmte Zero-Trust-Kontrolle funktioniert (z. B. Übereinstimmungen/Verstöße gegen Mikrosegmentierungsrichtlinien), ist enorm wertvoll, aber wie sieht es mit der Wirksamkeit der Kontrolle im größeren Kontext der gesamten Zero-Trust-Strategie eines Unternehmens aus?

Im Zeitalter des Prinzips „ Gehen Sie von einem Sicherheitsvorfall aus“: Wie schnell kann Ihr Unternehmen im Falle eines Sicherheitsvorfalls die Fragen nach dem Was, Wann, Wer, Wie undWarum beantworten? Und vor allem: Welche Systeme in Ihrem aktuellen Arsenal können zusammenarbeiten, um Ihnen zu helfen, die Antworten auf diese Fragen automatisch und präzise zu finden?

MITRE Ich nehme mir einen Moment Zeit, um abzuschweifen?

Lassen Sie uns kurz einen Exkurs machen und für einen Moment über das MITRE ATT&CK-Framework sprechen.

Das MITRE ATT&CK-Framework bildet gegnerische Taktiken, Techniken und Verfahren (TTPs) ab, die böswillige Akteure nutzen, um einen Angriff durchzuführen - zum Beispiel einen auf Advanced Persistent Threat (APT) basierenden Angriff auf ein Ziel.

Anhand dieser Informationen und des gemeinsamen Wissens über das Verhalten eines Angreifers bei der Ausnutzung dieser TTPs kann ein Unternehmen Abwehrstrategien entwickeln, um die negativen Auswirkungen dieser bösartigen Aktivitäten zu begrenzen (und im Idealfall zu verhindern). Darüber hinaus geht das Framework von der Position "Assume Breach aus" aus und dreht sich daher ausschließlich um die Verteidigung nach der Kompromittierung – "Gehen Sie davon aus, dass Sie verletzt werden, also konzentrieren Sie sich darauf, es wirklich schwer zu machen, pwned zu werden".

Aus der Sicht eines Blue Teams dient das ATT&CK-Framework, das den Zugriff auf möglichst viele Ereignisdaten aus relevanten Quellen betont, als Grundlage für den Prozess, durch den diese Daten aggregiert und korreliert werden können, um bösartige Verhaltensweisen richtig zu identifizieren und im Gegenzug die notwendigen Reaktionen auszulösen. Der Blogbeitrag ATT&CK 101 von MITRE ist ein hervorragender Ausgangspunkt für alles rund um ATT&CK.

Messung der Wirksamkeit der Mikrosegmentierung

Im Rahmen der jüngsten Arbeiten zum Testen der Wirksamkeit von Mikrosegmentierung begannen die Red-Team-Spezialisten von Bishop Fox damit, die relevanten Teile des MITRE ATT&CK-Frameworks den Techniken zuzuordnen, die sie bei ihrem Versuch, die „Flags zu erobern“, einsetzen würden.

BischofFoxMITRE

Durch die Identifizierung der Angriffstechniken konnten sie dann feststellen, wie effektiv die Illumio Adaptive Security Platform bei der Erkennung und Abwehr dieser Angriffe war. MITRE hat einen hervorragenden Bericht darüber verfasst, wie das ATT&CK-Framework effektiv zur Erkennung von Cyberbedrohungen eingesetzt werden kann.

Mit einem Sicherheits-Toolset, das eine hohe Wiedergabetreue und vollen Zugriff über die API bietet und ein Modellierungsframework wie MITRE ATT&CK bietet, sind Unternehmen in der Lage, Tools zu entwickeln, die Zero-Trust-Kontrollen überwachen, Telemetriedaten analysieren und automatisch reagieren können, um die entsprechenden Maßnahmen zu ergreifen. Aber wie können Sie die Wirksamkeit dieser Tools überwachen?

Machen Sie kontinuierliches Testen zu einem Teil Ihrer Zero-Trust-DNA

Eine Möglichkeit besteht natürlich darin, einen unabhängigen Red-Team-Spezialisten einzustellen, der die Rolle eines Angreifers übernimmt, während das Blue Team des Unternehmens seine sorgfältig aufgebauten Analyse- und Sicherheitskontrollen nutzt, um zu überwachen und darauf zu reagieren. Dies ist äußerst wertvoll und wird regelmäßig empfohlen. Was wäre, wenn es eine Möglichkeit gäbe, sowohl die Red-Team-Aktivität als auch die Blue-Team-Reaktion zu automatisieren?

Organisationen könnten die Wirksamkeit ihrer Modellierung und Kontrollen kontinuierlich überprüfen und einen Ansatz der ständigen Verbesserung verfolgen. Und genau das ermöglichen Anbieter wie AttackIQ jetzt. Mithilfe ihrer Technologie können Kunden sowohl die Wirksamkeit einer bestimmten Sicherheitsmaßnahme überprüfen als auch – und das ist vielleicht noch interessanter – feststellen, wie ihre Abwehrmaßnahmen im Vergleich zu ausgeklügelten Angreifern abschneiden.

Wir bei Illumio freuen uns, mit AttackIQ beim Start ihres Preactive Security Exchange -Programms zusammenzuarbeiten, denn wir verstehen, dass Kunden den Wert ihrer Zero Trust-Investitionen messen und erkennen können müssen. Die hochgradig konfigurierbare, automatisierte und wiederholbare Testplattform von AttackIQ macht die Messung der Wirksamkeit von Zero-Trust-Kontrollen zu einem erreichbaren Ziel für Unternehmen. Und wie wir wissen, kann man, sobald man etwas messen kann, auch damit beginnen, es zu verbessern.

Besuchen Sie unsere Zero Trust-Sicherheitsseite , um mehr darüber zu erfahren, wie Illumio Sie auf Ihrem Weg zu Zero Trust unterstützen kann.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Malware-Payloads & Beacons: Arten von bösartigen Payloads
Cyber-Resilienz

Malware-Payloads & Beacons: Arten von bösartigen Payloads

Verstehen Sie die verschiedenen Arten von Nutzlasten und überprüfen Sie ein Beispiel für bösartigen Code, den sie möglicherweise verwenden.

Mehr lesen
Schlüsselthemen auf der Infosecurity Europe 2023, Resilienz des Energiesektors und Cyberbedrohungen im Hochschulbereich
Cyber-Resilienz

Schlüsselthemen auf der Infosecurity Europe 2023, Resilienz des Energiesektors und Cyberbedrohungen im Hochschulbereich

Lesen Sie mehr über Die Berichterstattung von Illumio im Juni 2023 konzentrierte sich auf die Eindämmung von Sicherheitsverletzungen als bewährten Weg in der Cybersicherheit.

Mehr lesen
Wie Illumio das Cyber-Risiko der ACH Group senkt – nahezu ohne Overhead
Cyber-Resilienz

Wie Illumio das Cyber-Risiko der ACH Group senkt – nahezu ohne Overhead

"Ein gutes Leben für ältere Menschen" ist der Slogan der ACH Group, einer gemeinnützigen Organisation mit Sitz in Australien. Wenn jedoch die IT-Systeme von ACH von Cyberkriminellen lahmgelegt werden, könnte die Fähigkeit des Unternehmens, die von ihnen betreuten Mitarbeiter zu unterstützen, beeinträchtigt werden.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren