/
Resiliência cibernética

Testando continuamente a eficácia de seus controles Zero Trust

Quando ouvimos profissionais de segurança, fornecedores e seus clientes falarem sobre a estrutura Zero Trust, vemos muito amor dado a cinco dos principais pilares: dispositivos, dados, cargas de trabalho, rede e pessoas — todos “ativos” muito tangíveis que precisam ser protegidos e para os quais existe uma grande variedade de recursos para ajudar a alcançar essa proteção.

Diagrama Zero Trust

O 'cinto e suspensórios' da Zero Trust

Uma estratégia holística de Zero Trust deve considerar e fornecer cobertura para cada um desses cinco pilares. Mas sua estratégia não está completa e talvez nem saia do papel, se você não tiver uma história sobre Automation & Orchestration and Visibility & Analytics — elas são figurativas (e literalmente, se você observar o diagrama acima!) o “cinto e braçadeiras” que unem os 5 pilares do Zero Trust. Infelizmente, eles geralmente tendem a ser os mais negligenciados nas viagens do Zero Trust no mundo real.

Por quê? A automação e a visibilidade podem ser as áreas mais caras e complexas para os fornecedores fornecerem suas ofertas de segurança, e os clientes geralmente não têm a experiência necessária para automatizar ou analisar adequadamente.

Você não pode segmentar o que não pode ver

Na Illumio, pensamos nessas duas áreas (automação e visibilidade) como pilares centrais por si só, em vez de uma reflexão tardia. A jornada que temos o privilégio de ajudar nossos clientes ao se prepararem para alcançar seus resultados de microssegmentação começa com “Visibilidade e análise”. " Criamos um mapa detalhado de dependência de aplicativos, aproveitando a telemetria de cargas de trabalho e metadados de um CMDB, para fornecer relatórios de tráfego acionáveis a partir dos quais os clientes podem começar a criar suas políticas de segmentação para estabelecer microperímetros em torno de seus aplicativos. Nesse caso, a visibilidade não é a cereja do gelo. É o bolo.

Nenhum fornecedor pode “Zero Trust "” para você

Ao apreciar o fato de que todas as empresas, mesmo as aparentemente mais simples, são organismos complexos com uma pilha de tecnologia igualmente complexa e diversificada, “Automação e orquestração” têm sido uma parte essencial de nosso produto desde o início. Nosso produto foi projetado para ser integrado a outros sistemas e acessado programaticamente por meio de nossas APIs abertas e documentadas. Na verdade, a interface do usuário do produto é uma capa sobre nossas APIs REST. Chegaríamos ao ponto de argumentar que não há confiança zero sem automação e orquestração.

Como posso saber se essas coisas funcionam?

Nossa jornada típica do cliente segue estas etapas:

  1. Obtenha telemetria e metadados para criar um mapa
  2. Use o mapa para criar uma política de microssegmentação
  3. Teste a política antes de aplicar
  4. Imponha a política

E com o monitoramento em vigor por toda parte, sabemos quando há uma violação de uma política definida e os usuários podem tomar as medidas corretivas necessárias.

Então, qual é o objetivo de tudo isso? Ser capaz de entender como um controle específico de Zero Trust funciona é extremamente valioso (por exemplo, correspondências/violações de políticas de microssegmentação), mas e quanto à eficácia do controle no contexto mais amplo da estratégia geral de Zero Trust de uma organização?

Nesta era de ",suponha uma violação, ", caso ocorra um incidente de segurança, comque rapidez sua organização pode responder às perguntas como, quando, quem, como epor quê? E o mais importante: quais sistemas em seu arsenal atual podem funcionar em uníssono para ajudá-lo a obter as respostas a essas perguntas de forma automática e precisa?

MITRE Eu paro um momento para divagar?

Vamos dar uma olhada rápida e falar sobre a estrutura MITRE ATT & CK por um segundo.

A estrutura MITRE ATT & CK mapeia táticas, técnicas e procedimentos adversários (TTPs) que os malfeitores usam para montar um ataque - por exemplo, um ataque baseado em ameaça persistente avançada (APT) a um alvo. Usando essas informações e o conhecimento comum compartilhado sobre o comportamento de um invasor ao aproveitar esses TTPs, uma organização pode desenvolver estratégias defensivas para limitar (e, idealmente, evitar) o impacto negativo dessas atividades maliciosas. Além disso, a estrutura começa com uma posição de Assume Breach e, portanto, gira inteiramente em torno da defesa pós-compromisso — “suponha que você será violado, então concentre-se em tornar realmente difícil ser invadido”. Do ponto de vista da Blue Team, a estrutura ATT & CK, com ênfase em ter acesso ao máximo possível de dados de eventos de fontes relevantes, informa o processo pelo qual esses dados podem ser agregados e correlacionados para identificar adequadamente comportamentos maliciosos e, por sua vez, gerar as respostas necessárias. A postagem do blog ATT & CK 101 da MITRE é um excelente ponto de partida para todas as coisas sobre ATT & CK.

Medindo a eficácia da microssegmentação

Durante o recente trabalho sobre como testar a eficácia da microssegmentação, Bishop Fox, especialistas da equipe vermelha, começaram mapeando as partes relevantes da estrutura MITRE ATT & CK de acordo com as técnicas que eles procurariam aproveitar na tentativa de “capturar as bandeiras”.

Bispo Fox Mitre

Essa identificação de técnicas adversárias permitiu então que eles determinassem a eficácia da Illumio Adaptive Security Platform em ajudar a detectar e derrotar esses ataques. MITRE tem um ótimo artigo sobre como a estrutura ATT & CK pode ser usada para encontrar ameaças cibernéticas de forma eficaz.

Portanto, com um conjunto de ferramentas de segurança que fornece visibilidade de alta fidelidade, acesso total por meio de sua API e oferece uma estrutura de modelagem como o MITRE ATT & CK, as organizações podem criar ferramentas que podem monitorar os controles Zero Trust, analisar a telemetria e responder automaticamente para tomar as medidas apropriadas. Mas como você monitora a eficácia dessas ferramentas?

Tornando os testes contínuos parte do seu DNA Zero Trust

Uma opção é, obviamente, contratar um especialista independente da equipe vermelha para desempenhar o papel de um atacante, enquanto a equipe azul da organização aproveita seus controles analíticos e de segurança cuidadosamente construídos para monitorar e responder. Isso é extremamente valioso e recomendado periodicamente. E se houvesse uma maneira de automatizar tanto a atividade da equipe vermelha quanto a resposta da equipe azul? As organizações poderiam testar continuamente a eficácia de seus modelos e controles e adotar uma abordagem de melhoria constante. E é exatamente isso que fornecedores como o AttackIQ estão possibilitando agora. Por meio de sua tecnologia, os clientes podem validar a eficácia de um controle de segurança específico e, talvez o mais interessante, determinar como suas defesas se alinham contra adversários sofisticados.

Na Illumio, estamos entusiasmados com a parceria com a AttackIQ no lançamento de seu programa Preactive Security Exchange porque entendemos que os clientes precisam ser capazes de medir e ver valor em seus investimentos em Zero Trust. A plataforma de testes altamente configurável, automatizada e repetível que o AttackIQ fornece torna a medição da eficácia dos controles Zero Trust uma meta alcançável para as organizações. E, como sabemos, uma vez que você possa medir algo, você pode começar a melhorá-lo.

Confira nossa página de segurança Zero Trust para saber mais sobre como a Illumio pode ajudá-lo em sua jornada Zero Trust.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Dissipando mitos de segurança baseados em host na Ásia-Pacífico
Resiliência cibernética

Dissipando mitos de segurança baseados em host na Ásia-Pacífico

Saiba como as soluções de microssegmentação baseadas em host com foco na Zero Trust podem impulsionar suas práticas de segurança na APAC e em todo o mundo.

Resiliência cibernética, plano estratégico da CISA e prova de segmentação de confiança zero
Resiliência cibernética

Resiliência cibernética, plano estratégico da CISA e prova de segmentação de confiança zero

Para a CISA, a segurança Zero Trust é fundamental para alcançar suas estratégias de segurança cibernética e atingir suas metas de resiliência cibernética.

As 4 mudanças de mentalidade necessárias para proteger a nuvem
Resiliência cibernética

As 4 mudanças de mentalidade necessárias para proteger a nuvem

Leia as quatro principais mudanças de mentalidade que as organizações devem fazer ao proteger a nuvem.

Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?