Kontinuierliches Testen der Wirksamkeit Ihrer Zero-Trust-Kontrollen
Wenn wir Sicherheitsexperten, Anbieter und ihre Kunden über das Zero-Trust-Framework sprechen hören, sehen wir, dass fünf der Kernsäulen viel Liebe geschenkt wird: Geräte, Daten, Workloads, Netzwerk und Menschen – alles sehr greifbare "Vermögenswerte", die geschützt werden müssen und für die es eine Vielzahl von Funktionen gibt, um diesen Schutz zu erreichen.
Der "Gürtel und die Zahnspange" von Zero Trust
Eine ganzheitliche Zero-Trust-Strategie sollte jede dieser fünf Säulen berücksichtigen und abdecken. Aber Ihre Strategie ist noch nicht vollständig und kommt vielleicht nicht einmal in Gang, wenn Sie keine Geschichte rund um Automation & Orchestration und Visibility & Analytics haben – dies sind im übertragenen Sinne (und buchstäblich, wenn Sie sich das obige Diagramm ansehen!) der "Gürtel und die Zahnspange", die die 5 Zero-Trust-Säulen zusammenhalten. Leider werden sie in der realen Welt von Zero Trust oft am meisten vernachlässigt.
Warum? Automatisierung und Transparenz können die kostspieligsten und komplexesten Bereiche sein, die Anbieter in ihren Sicherheitsangeboten bereitstellen müssen, und den Kunden fehlt oft das Know-how, um sie richtig zu automatisieren oder zu analysieren.
Sie können nicht segmentieren, was Sie nicht sehen können
Bei Illumio betrachten wir diese beiden Bereiche (Automatisierung und Transparenz) als eigenständige Grundpfeiler und nicht als nachträglichen Einfall. Der Weg, den wir unsere Kunden auf dem Weg zur Erreichung ihrer Mikrosegmentierungsergebnisse begleiten dürfen, beginnt mit "Transparenz und Analysen". Wir erstellen eine detaillierte Karte der Anwendungsabhängigkeiten, die Telemetriedaten von Workloads und Metadaten aus einer CMDB nutzt, um umsetzbare Traffic-Berichte bereitzustellen, auf deren Grundlage Kunden mit der Erstellung ihrer Segmentierungsrichtlinien beginnen können, um Mikroperimeter um ihre Anwendungen herum einzurichten. In diesem Fall ist die Sichtbarkeit nicht das Sahnehäubchen. Es ist der Kuchen.
Kein einzelner Anbieter kann Sie "Zero Trust-ifizieren"
Durch die Anerkennung der Tatsache, dass alle Unternehmen, selbst die scheinbar einfachsten, komplexe Organismen mit einem ebenso komplexen und vielfältigen Technologie-Stack sind, war "Automatisierung und Orchestrierung" von Anfang an ein "Muss" und ein zentraler Bestandteil unseres Produkts. Unser Produkt ist so konzipiert, dass es in andere Systeme integriert und programmgesteuert über unsere offenen und dokumentierten APIs aufgerufen werden kann. Tatsächlich ist die Produkt-UI ein Skin über unseren REST-APIs. Wir würden sogar so weit gehen zu behaupten, dass es kein Zero Trust ohne Automatisierung und Orchestrierung gibt.
Woher weiß ich, ob dieses Zeug funktioniert?
Unsere typische Customer Journey folgt diesen Schritten:
- Abrufen von Telemetriedaten und Metadaten zum Erstellen einer Karte
- Verwenden der Karte zum Erstellen von Mikrosegmentierungsrichtlinien
- Testen der Richtlinie vor dem Erzwingen
- Richtlinie durchsetzen
Und durch die durchgehende Überwachung wissen wir, wann ein Verstoß gegen eine definierte Richtlinie vorliegt, und die Benutzer können die erforderlichen Abhilfemaßnahmen ergreifen.
Also, was ist der Sinn von all dem? In der Lage zu sein, zu verstehen, wie eine bestimmte Zero-Trust-Kontrolle funktioniert (z. B. Übereinstimmungen/Verstöße gegen Mikrosegmentierungsrichtlinien), ist enorm wertvoll, aber wie sieht es mit der Wirksamkeit der Kontrolle im größeren Kontext der gesamten Zero-Trust-Strategie eines Unternehmens aus?
Wie schnell kann Ihr Unternehmen im Falleeines Sicherheitsvorfalls im Falle eines Sicherheitsvorfalls die Fragenbeantworten, wann, wer, wie und w? Und vor allem: Welche Systeme in Ihrem aktuellen Arsenal können zusammenarbeiten, um Ihnen zu helfen, diese Fragen automatisch und genau zu beantworten?
MITRE Ich nehme mir einen Moment Zeit, um abzuschweifen?
Lassen Sie uns kurz zur Seite gehen und für eine Sekunde über das MITRE ATT&CK-Framework sprechen.
Das MITRE ATT&CK-Framework bildet gegnerische Taktiken, Techniken und Verfahren (TTPs) ab, die böswillige Akteure nutzen, um einen Angriff durchzuführen - zum Beispiel einen auf Advanced Persistent Threat (APT) basierenden Angriff auf ein Ziel. Anhand dieser Informationen und des gemeinsamen Wissens über das Verhalten eines Angreifers bei der Ausnutzung dieser TTPs kann ein Unternehmen Abwehrstrategien entwickeln, um die negativen Auswirkungen dieser bösartigen Aktivitäten zu begrenzen (und im Idealfall zu verhindern). Darüber hinaus geht das Framework von der Position "Assume Breach aus" aus und dreht sich daher ausschließlich um die Verteidigung nach der Kompromittierung – "Gehen Sie davon aus, dass Sie verletzt werden, also konzentrieren Sie sich darauf, es wirklich schwer zu machen, pwned zu werden". Aus der Perspektive eines Blue Teams informiert das ATT&CK-Framework mit seinem Schwerpunkt auf dem Zugriff auf so viele Ereignisdaten aus relevanten Quellen wie möglich den Prozess, mit dem diese Daten aggregiert und korreliert werden können, um bösartige Verhaltensweisen richtig zu identifizieren und wiederum die notwendigen Reaktionen zu ermöglichen. Der ATT&CK 101-Blogbeitrag von MITRE ist ein hervorragender Ausgangspunkt für alles, was mit ATT&CK zu tun hat.
Messung der Wirksamkeit der Mikrosegmentierung
Während der jüngsten Arbeit zum Testen der Wirksamkeit der Mikrosegmentierung begannen die Red-Team-Spezialisten von Bishop Fox damit, die relevanten Teile des MITRE ATT&CK-Frameworks den Techniken zuzuordnen, die sie bei ihrem Versuch nutzen würden, "die Flaggen zu erobern".

Diese Identifizierung von gegnerischen Techniken ermöglichte es ihnen dann, festzustellen, wie effektiv die Illumio Adaptive Security Platform bei der Erkennung und Abwehr dieser Angriffe war. MITRE hat einen großartigen Artikel darüber veröffentlicht, wie das ATT&CK-Framework verwendet werden kann, um Cyberbedrohungen effektiv zu finden.
Mit einem Sicherheits-Toolset, das eine hohe Wiedergabetreue und vollen Zugriff über die API bietet und ein Modellierungsframework wie MITRE ATT&CK bietet, sind Unternehmen in der Lage, Tools zu entwickeln, die Zero-Trust-Kontrollen überwachen, Telemetriedaten analysieren und automatisch reagieren können, um die entsprechenden Maßnahmen zu ergreifen. Aber wie können Sie die Wirksamkeit dieser Tools überwachen?
Machen Sie kontinuierliches Testen zu einem Teil Ihrer Zero-Trust-DNA
Eine Möglichkeit besteht natürlich darin, einen unabhängigen Red-Team-Spezialisten einzustellen, der die Rolle eines Angreifers übernimmt, während das Blue Team des Unternehmens seine sorgfältig aufgebauten Analyse- und Sicherheitskontrollen nutzt, um zu überwachen und darauf zu reagieren. Dies ist äußerst wertvoll und wird regelmäßig empfohlen. Was wäre, wenn es eine Möglichkeit gäbe, sowohl die Red-Team-Aktivität als auch die Blue-Team-Reaktion zu automatisieren? Unternehmen könnten die Wirksamkeit ihrer Modelle und Kontrollen kontinuierlich testen und einen Ansatz der ständigen Verbesserung verfolgen. Und genau das machen Anbieter wie AttackIQ jetzt möglich. Durch ihre Technologie können Kunden sowohl die Wirksamkeit einer bestimmten Sicherheitskontrolle validieren als auch, was vielleicht noch interessanter ist, bestimmen, wie sich ihre Abwehrmaßnahmen gegen ausgeklügelte Angreifer ausrichten.
Wir bei Illumio freuen uns über die Partnerschaft mit AttackIQ bei der Einführung ihres Preactive Security Exchange-Programms , da wir verstehen, dass Kunden in der Lage sein müssen, den Wert ihrer Zero-Trust-Investitionen zu messen und zu erkennen. Die hochgradig konfigurierbare, automatisierte und wiederholbare Testplattform, die AttackIQ bietet, macht die Messung der Wirksamkeit von Zero-Trust-Kontrollen zu einem erreichbaren Ziel für Unternehmen. Und wie wir wissen, kann man anfangen, etwas zu verbessern, sobald man es messen kann.
Schauen Sie sich unsere Zero-Trust-Sicherheitsseite an, um mehr darüber zu erfahren, wie Illumio Sie auf Ihrem Weg zu Zero Trust unterstützen kann.