/
Zero-Trust-Segmentierung

Wie Zero-Trust-Segmentierung Ransomware viermal schneller stoppt als Erkennung und Reaktion allein

Es ist gut dokumentiert, dass Null Vertrauen ist eine Denkweise und der Grundgedanke ist, von Verstößen auszugehen. Das mag beängstigend klingen, aber in Wirklichkeit bedeutet es, dass Sie davon ausgehen sollten, dass, wenn Ihr Unternehmen noch nicht verletzt wurde, es wahrscheinlich ist, dass Testament passieren. Die Sicherheitslage muss sich von passiv und abwartend zu proaktiv und jagend ändern. Warum ist das wichtiger denn je?

Das Die Pandemie hat die Geschäftstransformation beschleunigt, das die Einführung von Automatisierung und integrierten Lieferketten vorantreibt, die traditionelle Struktur von Netzwerken und Systemen durchbricht und ein neues Maß an Hyperkonnektivität schafft. Ein Ausflug ins Krankenhaus ist jetzt ein durchgängiges digitales Erlebnis. Sie können eine Einzelhandels- oder Bankfiliale betreten und verlassen, ohne mit einem Menschen zu interagieren.

Diese Verschiebung hat zu einer erheblichen neuer Satz von Angriffsvektoren und Möglichkeiten für Cyberkriminelle. Der einzig mögliche Weg ist jetzt die Annahme eines Sicherheitsverstoßes, der zu einem proaktiveren Ansatz führt.

Die gute Nachricht ist, dass es eine Reihe von Frameworks gibt, die Ihr Unternehmen bei diesem Ansatz unterstützen können. Und der Goldstandard von Frameworks ist der Cybersicherheits-Framework (CSF) des Nationalen Instituts für Standards und Technologie (NIST).

Aber wie kann die Implementierung von Praktiken im NIST CSF Ihrem Unternehmen helfen, die Auswirkungen eines unvermeidlichen Verstoßes zu begrenzen?

Illumio beauftragte Bishop Fox, einen führenden Anbieter von offensiven Sicherheits- und Penetrationstests, mit der Durchführung einer Reihe emulierter Ransomware-Angriffe quantitativ zu messen. In diesem Beitrag fassen wir die Angriffsszenarien und die wichtigsten Ergebnisse zusammen. Der vollständige Bericht ist verfügbar hier.

Aufbau eines sichereren Modells: Identifizieren, schützen, erkennen, reagieren

Die ersten beiden Schritte des NIST-CSF-Rahmens sind gut etabliert und offensichtlich:

Identifizieren

  1. Ermitteln Sie, welche Ressourcen am wahrscheinlichsten angegriffen werden und welche Ressourcen die größten Auswirkungen haben, wenn sie kompromittiert werden.
  2. Ordnen Sie die Datenflüsse zu zwischen allen Geräten, IT und OT.
  1. Ermitteln Sie die Sicherheitslücken auf jedem Gerät, um die Gefährdung dieses Geräts anhand der zugewiesenen Verbindungen zu quantifizieren.

Beschützen

  1. Blockieren Sie alle ungenutzten und risikoreichen Ports und Protokolle.
  2. Implementieren Sie ein Ringfencing für Ressourcen und Anwendungen und ermöglichen Sie den Zugriff auf der Grundlage der geringsten Rechte.

Schritt 3 (Erkennen) und Schritt 4 (Antworten) sind dort, wo die Dinge fragmentiert sind.

Seit den Tagen der Signaturen haben wir mit dem Aufkommen von maschinellem Lernen, Bedrohungsfeeds und der Erkennung von Verhaltensanomalien enorme Fortschritte gemacht. Wann Endpunkterkennung und Reaktion (EDR) Als es zuerst explodierte, wurde es als Antwort auf alle Angriffe auf Endgeräte angesehen. Wie bei allen Cyberangriffen haben die Kriminellen Zeit und Ressourcen investiert, um diesen neuen Produkten auszuweichen. Zu viele Unternehmen sind derzeit auf Erkennung und Reaktion angewiesen, ohne zuvor die Schritte 1 und 2 umgesetzt zu haben.

Bisher war das Verständnis der potenziellen Schwäche dieses Ansatzes nur apokryphisch und mündlich verbreitet.

Testen der Auswirkungen von Zero-Trust-Segmentierung und EDR gegen Ransomware

Im Rahmen der Angriffsemulation, bei der die Implementierung aller vier Schritte verglichen wurde und nicht nur die Erkennung und Reaktion, verwendete das rote Team eine gut etablierte Reihe von Taktiken, Techniken und Verfahren (TTP) aus dem MITRE ATT&CK- und PRE-ATT&CK-Frameworks um zu versuchen, Wirte zu infizieren. Das Team von Blue verwendete Erkennungs- und Reaktionstechnologien in Kombination mit der Zero-Trust-Segmentierung von Illumio, um die relative Wirksamkeit bei der Eindämmung eines aktiven Ransomware-Angriffs zu messen.

Angriffsszenarien erklärt

Die Testszenarien umfassten:

  1. Erkennung allein
  2. Erkennung und Zero-Trust-Segmentierung für die Reaktion auf Vorfälle
  3. Erkennung und Zero-Trust-Segmentierung blockieren proaktiv bekannte Ports, die von Ransomware verwendet werden
  4. Erkennung und Zero-Trust-Segmentierung, proaktive Implementierung von vollständigem Anwendungs-Ringfencing

Bei jedem Test wurde gemessen, ob der Angriff gestoppt werden konnte und wie lange das dauern würde, wie viele Hosts infiziert waren und wie viele TTPs ausgeführt wurden. Die Szenarien wurden von zwei Beratern von Bishop Fox durchgeführt: einer agierte als rotes Team (angreifend) und einer als blaues Team (verteidigend).

Ergebnisse des Angriffsszenarios

/illumio-bishop-fox-ransomware-scenario-emulation-2022-assessment-report

Szenario 1 — Erkennung allein: Dieses Szenario war frei von allem Zero-Trust-Segmentierung Fähigkeiten und führte zu einem vollen Erfolg für das rote Team. Sie konnten alle TTPs ausführen und infizierten alle Hosts nach 2 Stunden und 28 Minuten.

Szenario 2 — Erkennung und Zero-Trust-Segmentierung für die Reaktion auf Vorfälle: Bei diesem Modell wurde Illumio eingesetzt, aber zunächst im Sichtbarkeitsmodus. Es sendete Warnmeldungen an das SIEM-System, das auch Ereignisdaten von EDR, Active Directory, Sysmon usw. sammelte. Bei der Entdeckung anomaler Aktivitäten implementierte das Blue-Team eine Eindämmungsrichtlinie. Der Angriff wurde in 38 Minuten gestoppt.

Szenario 3 — Erkennung und Zero-Trust-Segmentierung blockieren proaktiv bekannte Ports, die von Ransomware verwendet werden: In diesem Szenario wurden gängige Ports, die Ransomware verwendet, von Illumio blockiert, um seitliche Bewegungen zu reduzieren. Der Angriff wurde nach 24 Minuten gestoppt, da nur 2 Hosts gefährdet waren.

Szenario 4 — Erkennung und Zero-Trust-Segmentierung, proaktive Implementierung eines vollständigen Anwendungs-Ring-Fencings: Es wurde ein vollständiger Anwendungs-Ring-Fencing eingesetzt, sodass sich die Ransomware nicht ausbreitete und der Angriff innerhalb von 10 Minuten gestoppt wurde. Dieses Ergebnis war viermal schneller als die reaktive Bereitstellung.

Zusätzliche Tests ergaben, dass Illumio Core „besonders nützlich“ war, um blinde Flecken an Orten abzudecken, an denen das Verhalten von Angreifern durch vorkonfigurierte EDR-Warnungen nicht richtig erkannt wurde. Dies verdeutlichte die Bedeutung sowohl der Erkennungs- und Reaktionstechnologien als auch der Zero-Trust-Segmentierung für die Entwicklung einer modernen, widerstandsfähigen Sicherheitsstrategie zur Eindämmung von Ransomware.

Diese Ergebnisse zusammen zeigen, dass EDR sollte mit Zero-Trust-Segmentierung kombiniert werden um am effektivsten gegen Ransomware und andere Cyberangriffe zu sein.

Indem wir uns die Zero-Trust-Mentalität „von einem Verstoß ausgehen“ zu eigen machen und“nur Least-Privilege-Zugriff zulassen„, kann ein Unternehmen, das Zero-Trust-Segmentierung mit EDR einsetzt, seinen Schutz vor Ransomware drastisch verbessern. Dies kann den Unterschied zwischen der Fähigkeit, während eines Cyberangriffs zu operieren, und einem größeren Geschäftsausfall ausmachen.

Laden Sie den vollständigen Bericht herunter, um weitere Informationen zu erhalten. Emulation des Ransomware-Szenarios 2022: Bewertungsbericht.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Konzentrieren Sie sich erneut auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt
Zero-Trust-Segmentierung

Konzentrieren Sie sich erneut auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt

Lernen Sie die 4 wichtigsten Methoden kennen, mit denen die Zero-Trust-Segmentierung die Cloud vor der Ausbreitung von Cyberangriffen schützt.

Wie Kyla Guru, Expertin für Cybersicherheitsbildung, Cyberunsicherheit löst
Zero-Trust-Segmentierung

Wie Kyla Guru, Expertin für Cybersicherheitsbildung, Cyberunsicherheit löst

Wir haben uns mit Kyla Guru, Gründerin und CEO von Bits N' Bytes Cybersecurity Education, getroffen, um über ihre innovativen Fortschritte in der barrierefreien Cybersicherheitsbildung und ihre Gedanken zu sprechen, die digitale Welt für alle sicherer zu machen.

Wie Illumio mit der Cloud Security Alliance zur Förderung von Best Practices für die Cloud-Sicherheit beiträgt
Zero-Trust-Segmentierung

Wie Illumio mit der Cloud Security Alliance zur Förderung von Best Practices für die Cloud-Sicherheit beiträgt

Illumio tritt der Cloud Security Alliance (CSA) bei, um bei der Definition von Standards, Zertifizierungen und Best Practices für die Cloud-Sicherheit zu helfen, um sicheres Cloud-Computing zu gewährleisten.

Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Ready to learn more about Zero Trust Segmentation?