Definition von Kennzahlen für die erfolgreiche Verwaltung Ihres Zero-Trust-Implementierungsplans
Das Zero-Trust-Mentalität geht davon aus, dass die eigene Perimeterabwehr durchbrochen wurde, und die Prioritäten richten sich darauf, die laterale Bewegung böswilliger Akteure einzudämmen. Illumio veröffentlicht der dreistufige Zero-Trust-Plan, das Einzelpersonen verwenden, um ihre Zero-Trust-Reise zu planen und zu operationalisieren.
In der Blogserie Zero Trust ist nicht schwer... wenn Sie pragmatisch sind, mein Kollege Raghu Nandakumara unterteilt diese Konzepte weiter in sechs praktische Schritte.
Kennzahlen spielen eine wertvolle Rolle, wenn es darum geht, Unternehmen bei der Operationalisierung und Erreichung von Zero Trust (ZT) zu unterstützen. Unsere Kunden verwenden Kennzahlen, um zu ermitteln, wo sie beginnen sollen, wichtige Meilensteine zu definieren, ihre Zero-Trust-Fähigkeiten weiterzuentwickeln und zu beschreiben, wie Erfolg aussieht. Doppelklicken wir im Kontext unseres dreistufigen Plans zur Implementierung von Zero Trust auf einige dieser Kennzahlen.
Schritt 1: Entdecken
In dieser ersten Phase konzentrieren sich unsere Kunden darauf, herauszufinden, was geschützt werden muss, auf welche ZT-Säulen sie sich konzentrieren sollten, und die erste Roadmap für die Erweiterung des Umfangs und der Reife ihrer ZT-Implementierung zu entwerfen. Einhaltung von Vorschriften, wie Datensicherheitsstandard der Zahlungskartenbranche (PCI DSS) und SWIFT CSF oder Risikomanagement mit NIST CSF oder dem Die 20 wichtigsten Sicherheitskontrollen der GUS sind typische Geschäftstreiber. Unsere Kunden verwenden diese Treiber, um den Umfang ihres ursprünglichen ZT-Plans auf bestimmte Anwendungen und Geschäftsprozesse zu beschränken und so ihre Pläne nutzbarer zu machen. Die Sponsoren und die Unternehmensleitung werden versuchen, strategische Geschäftsvorteile zu messen, wie beispielsweise die Verringerung der Anzahl der meldepflichtigen Verstöße in den letzten 12 Monaten. Das operative Team wird sich auf Kennzahlen konzentrieren, die die Sichtbarkeit und Planung verbessern.
Die ZT-Architektur von Forrester besteht aus mehreren Säulen oder Kompetenzen, und es wäre lächerlich teuer und riskant, alles auf einmal zu versuchen. Es kann schwierig sein, die Zustimmung verschiedener wichtiger Interessengruppen zu erhalten. Der intelligente und effektive Ansatz, um alle zur Unterstützung von ZT zu bewegen, besteht darin, mithilfe eines branchenspezifischen Rahmens, der durch interne Kennzahlen unterstützt wird, zu ermitteln, welche Sicherheitskompetenzen zuerst angegangen werden müssen und wie diese weiterentwickelt werden können.
Viele Praktiker haben es benutzt Das Zero Trust Maturity eXtended Security Self-Assessment-Tool von Forrester um dies zu tun (Abonnement erforderlich). Die Ergebnisse haben interne Diskussionen darüber ausgelöst, wo und wie ihre Zero-Trust-Kompetenzen weiterentwickelt werden können. Das Ergebnis der ZT-Kapazitätsbewertung eines Kunden könnte beispielsweise die Implementierung einer feinkörnigen Segmentierung des Datenverkehrs auf PCI-verbundenen Systemen nahelegen. Beispiele für wichtige Kennzahlen, die das Unternehmen möglicherweise als Indikatoren für die Wirksamkeit des Programms verfolgen sollte, sind:
- Wie viele PCI-verbundene Systeme sind genau im Leistungsumfang enthalten?
- Worin bestand die Verbesserung der Genauigkeit im Vergleich zu früheren Perioden (bevor die Sichtbarkeit in Echtzeit aktiviert wurde)?
- Wie viel Prozent des Datenverkehrs mit PCI-verbundenen Systemen sind gesichert durch Mikrosegmentierung?
Schritt 2: Definieren
Sobald unsere Kunden ihren anfänglichen Umfang eingegrenzt und den Zero-Trust-Kompetenzen Priorität eingeräumt haben, konzentrieren sich ihre Aktivitäten auf Richtlinien, Kontrollen und dann auf die Festlegung der spezifischen Daten, die sie benötigen, um ZT-Anforderungen kontinuierlich durchzusetzen und ihre Sicherheitsvorkehrungen aufrechtzuerhalten. In vielen Fällen ist diese Phase eng mit umfassenderen GRC-Programmen (Governance, Risiko und Compliance) verknüpft. Operative und taktische Kennzahlen helfen ihnen dabei, objektiv zu beschreiben, wie Erfolg in jeder Phase ihrer ZT-Roadmap aussieht und welche Indikatoren sie als Indikatoren verwenden werden, um ihre Fortschritte zu messen und kritische Lücken zu identifizieren. Viele dieser Kennzahlen werden häufig als Beweisdaten für ihre Konformitätstests und Auditberichte verwendet. Wenn ein Kunde über ein Risikomanagement- und kontinuierliches Überwachungsprogramm verfügt, verwendet er diese Kennzahlen auch, um seine Sicherheitsbasis zu ermitteln und nachzuverfolgen, wie gut das Unternehmen im Vergleich zu den angestrebten Sicherheitsindikatoren abschneidet. Beim Betrachten PCI-Konformität, zum Beispiel beantworten ZT-Metriken in dieser Phase Fragen wie:
- Wie viel Prozent unserer kritischen Anwendungen und Unternehmensverbindungen hatten vor der Segmentierung zu weit gefasste und/oder veraltete Firewall-Regeln?
- Wie hoch war der prozentuale Rückgang veralteter und zu weit gefasster Firewall-Regeln nach der Mikrosegmentierung?
- Während wir zu einem Betriebsmodell für Telearbeit übergehen,
- Wie viel Prozent der Endgeräte haben legitime Verbindungen zu den Zahlungsanwendungen?
- Wie viel Prozent der legitimen Endgeräte werden verwaltet und nicht verwaltet/BYOD?
- Wie viel Prozent der Endgeräte werden auf verdächtige Verbindungen und Richtlinienverstöße überwacht?
- Wie viel Prozent der legitimen Verbindungen von Remote-Benutzern (über vom Unternehmen ausgestellte Laptops oder BYOD) zu den Zahlungsanwendungen sind mikrosegmentiert?
Schritt 3: Durchsetzen
Dies ist die Phase, in der Sie zu den Schlagzeugen kommen werden. Sobald die erste Bereitstellung und Implementierung abgeschlossen sind, verlagert sich der Schwerpunkt auf die kontinuierliche Überwachung und Validierung der angestrebten Zero-Trust-Haltung. Zero Trust ist keine einmalige Aktivität, da die einzelnen Umgebungen dynamisch sind. In der Durchsetzungsphase sollten Unternehmen sicherstellen, dass sie mit den Veränderungen in ihrer Umgebung Schritt halten können.
Mit Illumios Fähigkeit ständig überwachen Die Verbindungen und Abläufe zwischen Umgebungen — Peer-to-Peer-Verbindungen zwischen Endpunkten, Benutzerverbindungen zu Unternehmensanwendungen und Workload-Verbindungen — ermöglichen es Unternehmen, auf einfache Weise kontextbezogene Informationen zu erhalten. Sie nutzen diese Erkenntnisse, um automatisieren und orchestrieren Richtlinien, Reaktion auf Vorfälle und Problembehebung, die oft von unseren Kunden zitiert als Hauptvorteile der Lösung. Auch hier helfen operative und taktische Kennzahlen Unternehmen dabei, die Schlüsselindikatoren zu identifizieren, anhand derer sie wissen, dass ihre Zero-Trust-Programme planmäßig funktionieren. Zu den Beispielen für Fragen und relevante Kennzahlen gehören:
- Was war die durchschnittliche Zeit, um neue und geänderte IP-Konnektivität in den Zahlungsanwendungen und PCI-verbundenen Systemen zu erkennen?
- Wie lange dauerte es im Durchschnitt, die geltenden Firewall-Regeln als Reaktion auf Änderungen der IP-Verbindungen zu den Zahlungsanwendungen zu aktualisieren?
- Was war der Rückgang der Anzahl der Sicherheitslücken mit hohem und mittlerem Schweregrad in den Zahlungsanwendungen, die das Patch-Fenster des Unternehmens überschritten haben?
- Wie hoch war die Anzahl der (aufgrund betrieblicher Einschränkungen) ungepatchten, aber kritischen Anwendungen, die Mikrosegmentierung verwendeten?
Messung des Werts der Mikrosegmentierung für Zero Trust
Die Mikrosegmentierung ist eine wichtige Komponente zur Eindämmung lateraler Bewegungsangriffe, was das Endspiel von Zero Trust ist. Ein typischer Kunde von Illumio sieht sich mit vielen konkurrierenden Sicherheitsprioritäten konfrontiert, sodass es Fälle geben wird, in denen die Beteiligten wissen wollen, „um wie viel“. Eine Methodik zu haben, die die Wirksamkeit der Mikrosegmentierung dokumentiert und quantitativ belegt, wird einem Befürworter der Mikrosegmentierung helfen, seine Initiative seinen internen Stakeholdern zu verkaufen.
Vor Kurzem haben wir uns mit Bishop Fox, einem Spezialisten von Red Team, zusammengetan, um einen Ansatz zur Messung der Wirksamkeit der Mikrosegmentierung zu entwickeln, der auf den Hauptkomponenten des MITRE ATT&CK® Frameworks basiert. Das Ergebnis dieser Zusammenarbeit ist:“Bewertungsbericht zur Wirksamkeit der Mikrosegmentierung“. Der Bericht beschreibt eine wiederholbare Methode, mit der Kunden Tests in ihrer eigenen Umgebung durchführen können.
Das Team stellte fest, dass richtig angewendete Richtlinien zur Mikrosegmentierung es böswilligen Akteuren erschwerten, sich seitwärts zu bewegen, was die Zeit für Kompromittierungen verlängerte. Das Bishop Fox-Team stellt außerdem fest, dass die Mikrosegmentierung die Anzahl der erkennbaren Ereignisse erhöht, die es dem Angreifer ermöglichen, die Zielsysteme zu erreichen.
In dem Bericht wird darauf hingewiesen, dass eine Erhöhung der Reichweite der Mikrosegmentierungsfunktionen bei gleichbleibender Richtlinienlage zu messbaren Vorteilen bei der Abwehr des Angriffs führt. Dadurch wird der Angreifer gezwungen, seine Techniken zu ändern, um das Netzwerk effizienter zu durchqueren. Daher können Kunden die Mikrosegmentierung verwenden, um nicht nur die laterale Bewegung einzudämmen, sondern auch, um den Angreifer zu zwingen, sich auf eine Weise zu verhalten, die die Fähigkeiten des Kunden zur Überwachung und Erkennung von Bedrohungen optimiert. Diese Schlussfolgerung deutet auf eine Gelegenheit hin, Zero-Trust-Metriken zu untersuchen und zu entwickeln, die Antworten auf folgende Fragen geben:
- Anzahl der feststellbaren Ereignisse und Schadensindikatoren
- Verbesserung der Zeit zur Erkennung eines Angriffs durch Verbesserung der Funktionen zur Bedrohungssuche
- Bessere Zeit zur Eindämmung eines Angriffs (wie Ransomware)
Besuchen Sie unsere Seite mit Zero-Trust-Lösungen um mehr über die Möglichkeiten von Illumio zur Operationalisierung von Zero Trust zu erfahren.
Wenn Sie mehr über die Wirksamkeit der Mikrosegmentierung erfahren möchten, schauen Sie sich bitte die Webinar auf Abruf.