Pruebas continuas de la eficacia de sus controles de confianza cero

Cuando escuchamos a los profesionales de la seguridad, a los proveedores y a sus clientes hablar sobre el marco Zero Trust , vemos que se da mucho amor a cinco de los pilares fundamentales: dispositivos, datos, cargas de trabajo, red y personas, todos "activos" muy tangibles que necesitan protección, y para los que existe una amplia variedad de capacidades para ayudar a lograr esta protección.

El 'cinturón y los tirantes' de Zero Trust

Una estrategia holística de Zero Trust debe considerar y proporcionar cobertura para cada uno de estos cinco pilares. Pero su estrategia no está completa, y es posible que ni siquiera despegue, si no tiene una historia sobre Automatización y Orquestación y Visibilidad y Análisis: estos son, en sentido figurado (¡y literalmente si mira el diagrama de arriba!) el "cinturón y tirantes" que mantienen unidos los 5 pilares de Zero Trust. Lamentablemente, a menudo tienden a ser los más descuidados en los viajes de Zero Trust del mundo real.

¿Por qué? La automatización y la visibilidad pueden ser las áreas más costosas y complejas para que los proveedores entreguen sus ofertas de seguridad y los clientes a menudo carecen de la experiencia para automatizar o analizar adecuadamente.

No puedes segmentar lo que no puedes ver

En Illumio, pensamos en estas dos áreas (Automatización y Visibilidad) como pilares centrales por derecho propio en lugar de una ocurrencia tardía. El viaje que tenemos el privilegio de ayudar a nuestros clientes a realizar cuando se proponen lograr sus resultados de microsegmentación comienza con "Visibilidad y análisis". Creamos un mapa detallado de dependencias de aplicaciones, aprovechando la telemetría de las cargas de trabajo y los metadatos de una CMDB, para proporcionar reportes de tráfico procesables a partir de los cuales los clientes pueden comenzar a crear sus políticas de segmentación para establecer microperímetros alrededor de sus aplicaciones. En este caso, la visibilidad no es la guinda. Es el pastel.

Ningún proveedor puede "Zero Trust-ify"

A través de una apreciación del hecho de que todas las compañías, incluso las aparentemente más simples, son organismos complejos con una pila de tecnología igualmente compleja y diversa, la "automatización y orquestación" fue una parte central de nuestro producto desde el principio. Nuestro producto está diseñado para integrar en otros sistemas y acceder a él mediante programación a través de nuestras API abiertas y documentadas. De hecho, la interfaz de usuario del producto es una máscara sobre nuestras API REST. Llegaríamos a argumentar que no hay Zero Trust sin Automatización y Orquestación.

¿Cómo sé si esto funciona?

Nuestro recorrido típico del cliente sigue estos pasos:

1. Obtención de telemetría y metadatos para crear un mapa
2. Emplee el mapa para crear una política de microsegmentación
3. Probar la directiva antes de aplicarla
4. Aplicar directiva

Y con el monitoreo implementado en todo momento, sabemos cuándo hay una violación de una política definida y los usuarios pueden tomar las medidas correctivas necesarias.

Entonces, ¿cuál es el punto de todo esto? Ser capaz de comprender cómo funciona un control específico de Zero Trust es muy valioso (por ejemplo, coincidencias/violaciones de la política de microsegmentación), pero ¿qué pasa con la efectividad del control en el contexto más amplio de la estrategia general de Zero Trust de una organización?

En esta era de "asumir una infracción", en caso de que haya un incidente de seguridad, ¿qué tan rápido puede su organización responder a las preguntas de qué, cuándo, quién, cómo yqué ? Y lo más importante, ¿qué sistemas en su arsenal actual pueden funcionar al unísono para ayudarlo a obtener las respuestas a estas preguntas de manera automática y precisa?

MITRE ¿Me tomo un momento para divagar?

Hagamos un breve aparte y hablemos del marco MITRE ATT&CK por un segundo.

El marco MITRE ATT&CK mapea las tácticas, técnicas y procedimientos adversarios (TTP) que los malos actores aprovechan para montar un ataque, por ejemplo, un ataque basado en amenazas persistentes avanzadas (APT) contra un objetivo. Empleando esta información y el conocimiento común compartido del comportamiento de un atacante a medida que aprovechan estos TTP, una organización puede desarrollar estrategias defensivas para limitar (e idealmente prevenir) el impacto negativo de estas actividades maliciosas. Además, el marco comienza desde una posición de Asumir incumplimiento y, por lo tanto, voltea completamente en torno a la defensa posterior al compromiso: "asume que te violarán, así que concéntrate en hacer que sea realmente difícil ser golpeado". Desde la perspectiva de un Blue Team, el marco ATT&CK, con su énfasis en tener acceso a la mayor cantidad posible de datos de eventos de fuentes relevantes, informa el proceso mediante el cual estos datos se pueden agregar y correlacionar para identificar adecuadamente comportamientos maliciosos y, a su vez, impulsar las respuestas necesarias. La propia publicación del blog ATT&CK 101 de MITRE es un excelente punto de partida para todo lo relacionado con ATT&CK.

Medición de la eficacia de la microsegmentación

Durante el reciente trabajo sobre la prueba de la eficacia de la microsegmentación, los especialistas del equipo rojo Bishop Fox comenzaron mapeando las partes relevantes del marco de MITRE ATT&CK con las técnicas que buscarían aprovechar en su intento de "capturar las banderas".

Esta identificación de técnicas adversarias les permitió determinar qué tan efectiva era la plataforma de seguridad adaptativa de Illumio para ayudar a detectar y derrotar estos ataques. MITRE tiene un excelente artículo sobre cómo se puede emplear el marco ATT&CK para encontrar amenazas cibernéticas de manera efectiva.

Por lo tanto, con un conjunto de herramientas de seguridad que proporciona visibilidad de alta fidelidad, acceso completo a través de su API y ofrece un marco de modelado como MITRE ATT&CK, las organizaciones pueden crear herramientas que pueden monitorear los controles de Zero Trust, analizar la telemetría y responder automáticamente para tomar las medidas adecuadas. Pero, ¿cómo se controla la eficacia de estas herramientas?

Hacer que las pruebas continuas formen parte de su ADN Zero Trust

Una opción es, por supuesto, contratar a un especialista independiente del equipo rojo para que desempeñe el papel de atacante, mientras que el equipo azul de la organización aprovecha sus controles de seguridad y análisis cuidadosamente construidos para monitorear y responder. Esto es muy valioso y se recomienda periódicamente. ¿Qué pasaría si hubiera una manera de automatizar tanto la actividad del equipo rojo como la respuesta del equipo azul? Las organizaciones podrían probar continuamente la efectividad de sus modelos y controles y adoptar un enfoque de mejora constante. Y esto es exactamente lo que proveedores como AttackIQ ahora están haciendo posible. A través de su tecnología, los clientes pueden validar la efectividad de un control de seguridad específico y, quizás lo más interesante, pueden determinar cómo se alinean sus defensas contra adversarios sofisticados.

En Illumio, estamos entusiasmados de asociarnos con AttackIQ en el lanzamiento de su programa Preactive Security Exchange porque entendemos que los clientes necesitan poder medir y ver el valor de sus inversiones en Zero Trust. La plataforma de pruebas altamente configurable, automatizada y repetible que proporciona AttackIQ hace que medir la eficacia de los controles Zero Trust sea un objetivo alcanzable para las organizaciones. Y como sabemos, una vez que puedes medir algo, puedes comenzar a mejorarlo.

Consulte nuestra página de seguridad de Zero Trust para obtener más información sobre cómo Illumio puede ayudarlo en su viaje hacia Zero Trust.