Wie Zero-Trust-Segmentierung Ransomware viermal schneller stoppt als Erkennung und Reaktion allein

Es ist gut dokumentiert, dass Null Vertrauen ist eine Denkweise und der Grundgedanke ist, von Verstößen auszugehen. Das mag beängstigend klingen, aber in Wirklichkeit bedeutet es, dass Sie davon ausgehen sollten, dass, wenn Ihr Unternehmen noch nicht verletzt wurde, es wahrscheinlich ist, dass Testament passieren. Die Sicherheitslage muss sich von passiv und abwartend zu proaktiv und jagend ändern. Warum ist das wichtiger denn je?

Das Die Pandemie hat die Geschäftstransformation beschleunigt, das die Einführung von Automatisierung und integrierten Lieferketten vorantreibt, die traditionelle Struktur von Netzwerken und Systemen durchbricht und ein neues Maß an Hyperkonnektivität schafft. Ein Ausflug ins Krankenhaus ist jetzt ein durchgängiges digitales Erlebnis. Sie können eine Einzelhandels- oder Bankfiliale betreten und verlassen, ohne mit einem Menschen zu interagieren.

Diese Verschiebung hat zu einer erheblichen neuer Satz von Angriffsvektoren und Möglichkeiten für Cyberkriminelle. Der einzig mögliche Weg ist jetzt die Annahme eines Sicherheitsverstoßes, der zu einem proaktiveren Ansatz führt.

Die gute Nachricht ist, dass es eine Reihe von Frameworks gibt, die Ihr Unternehmen bei diesem Ansatz unterstützen können. Und der Goldstandard von Frameworks ist der Cybersicherheits-Framework (CSF) des Nationalen Instituts für Standards und Technologie (NIST).

Aber wie kann die Implementierung von Praktiken im NIST CSF Ihrem Unternehmen helfen, die Auswirkungen eines unvermeidlichen Verstoßes zu begrenzen?

Illumio beauftragte Bishop Fox, einen führenden Anbieter von offensiven Sicherheits- und Penetrationstests, mit der Durchführung einer Reihe emulierter Ransomware-Angriffe quantitativ zu messen. In diesem Beitrag fassen wir die Angriffsszenarien und die wichtigsten Ergebnisse zusammen. Der vollständige Bericht ist verfügbar hier.

Aufbau eines sichereren Modells: Identifizieren, schützen, erkennen, reagieren

Die ersten beiden Schritte des NIST-CSF-Rahmens sind gut etabliert und offensichtlich:

Identifizieren

1. Ermitteln Sie, welche Ressourcen am wahrscheinlichsten angegriffen werden und welche Ressourcen die größten Auswirkungen haben, wenn sie kompromittiert werden.
2. Ordnen Sie die Datenflüsse zu zwischen allen Geräten, IT und OT.

1. Ermitteln Sie die Sicherheitslücken auf jedem Gerät, um die Gefährdung dieses Geräts anhand der zugewiesenen Verbindungen zu quantifizieren.

Beschützen

1. Blockieren Sie alle ungenutzten und risikoreichen Ports und Protokolle.
2. Implementieren Sie ein Ringfencing für Ressourcen und Anwendungen und ermöglichen Sie den Zugriff auf der Grundlage der geringsten Rechte.

Schritt 3 (Erkennen) und Schritt 4 (Antworten) sind dort, wo die Dinge fragmentiert sind.

Seit den Tagen der Signaturen haben wir mit dem Aufkommen von maschinellem Lernen, Bedrohungsfeeds und der Erkennung von Verhaltensanomalien enorme Fortschritte gemacht. Wann Endpunkterkennung und Reaktion (EDR) Als es zuerst explodierte, wurde es als Antwort auf alle Angriffe auf Endgeräte angesehen. Wie bei allen Cyberangriffen haben die Kriminellen Zeit und Ressourcen investiert, um diesen neuen Produkten auszuweichen. Zu viele Unternehmen sind derzeit auf Erkennung und Reaktion angewiesen, ohne zuvor die Schritte 1 und 2 umgesetzt zu haben.

Bisher war das Verständnis der potenziellen Schwäche dieses Ansatzes nur apokryphisch und mündlich verbreitet.

Testen der Auswirkungen von Zero-Trust-Segmentierung und EDR gegen Ransomware

Im Rahmen der Angriffsemulation, bei der die Implementierung aller vier Schritte verglichen wurde und nicht nur die Erkennung und Reaktion, verwendete das rote Team eine gut etablierte Reihe von Taktiken, Techniken und Verfahren (TTP) aus dem MITRE ATT&CK- und PRE-ATT&CK-Frameworks um zu versuchen, Wirte zu infizieren. Das Team von Blue verwendete Erkennungs- und Reaktionstechnologien in Kombination mit der Zero-Trust-Segmentierung von Illumio, um die relative Wirksamkeit bei der Eindämmung eines aktiven Ransomware-Angriffs zu messen.

Angriffsszenarien erklärt

Die Testszenarien umfassten:

1. Erkennung allein
2. Erkennung und Zero-Trust-Segmentierung für die Reaktion auf Vorfälle
3. Erkennung und Zero-Trust-Segmentierung blockieren proaktiv bekannte Ports, die von Ransomware verwendet werden
4. Erkennung und Zero-Trust-Segmentierung, proaktive Implementierung von vollständigem Anwendungs-Ringfencing

Bei jedem Test wurde gemessen, ob der Angriff gestoppt werden konnte und wie lange das dauern würde, wie viele Hosts infiziert waren und wie viele TTPs ausgeführt wurden. Die Szenarien wurden von zwei Beratern von Bishop Fox durchgeführt: einer agierte als rotes Team (angreifend) und einer als blaues Team (verteidigend).

Ergebnisse des Angriffsszenarios

Szenario 1 — Erkennung allein: Dieses Szenario war frei von allem Zero-Trust-Segmentierung Fähigkeiten und führte zu einem vollen Erfolg für das rote Team. Sie konnten alle TTPs ausführen und infizierten alle Hosts nach 2 Stunden und 28 Minuten.

Szenario 2 — Erkennung und Zero-Trust-Segmentierung für die Reaktion auf Vorfälle: Bei diesem Modell wurde Illumio eingesetzt, aber zunächst im Sichtbarkeitsmodus. Es sendete Warnmeldungen an das SIEM-System, das auch Ereignisdaten von EDR, Active Directory, Sysmon usw. sammelte. Bei der Entdeckung anomaler Aktivitäten implementierte das Blue-Team eine Eindämmungsrichtlinie. Der Angriff wurde in 38 Minuten gestoppt.

Szenario 3 — Erkennung und Zero-Trust-Segmentierung blockieren proaktiv bekannte Ports, die von Ransomware verwendet werden: In diesem Szenario wurden gängige Ports, die Ransomware verwendet, von Illumio blockiert, um seitliche Bewegungen zu reduzieren. Der Angriff wurde nach 24 Minuten gestoppt, da nur 2 Hosts gefährdet waren.

Szenario 4 — Erkennung und Zero-Trust-Segmentierung, proaktive Implementierung eines vollständigen Anwendungs-Ring-Fencings: Es wurde ein vollständiger Anwendungs-Ring-Fencing eingesetzt, sodass sich die Ransomware nicht ausbreitete und der Angriff innerhalb von 10 Minuten gestoppt wurde. Dieses Ergebnis war viermal schneller als die reaktive Bereitstellung.

Zusätzliche Tests ergaben, dass Illumio Core „besonders nützlich“ war, um blinde Flecken an Orten abzudecken, an denen das Verhalten von Angreifern durch vorkonfigurierte EDR-Warnungen nicht richtig erkannt wurde. Dies verdeutlichte die Bedeutung sowohl der Erkennungs- und Reaktionstechnologien als auch der Zero-Trust-Segmentierung für die Entwicklung einer modernen, widerstandsfähigen Sicherheitsstrategie zur Eindämmung von Ransomware.

Diese Ergebnisse zusammen zeigen, dass EDR sollte mit Zero-Trust-Segmentierung kombiniert werden um am effektivsten gegen Ransomware und andere Cyberangriffe zu sein.

Indem wir uns die Zero-Trust-Mentalität „von einem Verstoß ausgehen“ zu eigen machen und“nur Least-Privilege-Zugriff zulassen„, kann ein Unternehmen, das Zero-Trust-Segmentierung mit EDR einsetzt, seinen Schutz vor Ransomware drastisch verbessern. Dies kann den Unterschied zwischen der Fähigkeit, während eines Cyberangriffs zu operieren, und einem größeren Geschäftsausfall ausmachen.

Laden Sie den vollständigen Bericht herunter, um weitere Informationen zu erhalten. Emulation des Ransomware-Szenarios 2022: Bewertungsbericht.