¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
segmentación
Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
11de diciembre de 2020
23 min. leer

Cómo la confianza cero permite a las organizaciones abordar cada paso de la cadena de muerte cibernética

In this blog post we look at the Cyber Kill Chain, how security models that assume trust only help in mitigating Steps 1 to 6 in the chain – i.e. everything up to the point of initial compromise – and how a Zero Trust approach to security both significantly up levels existing controls that focus on pre-compromise, while also providing key capabilities that are necessary to support post-compromise detection and response. As a result, organizations adopting Zero Trust are likely to be better prepared to detect and contain malicious intruders.

We all understand the value of defense-in-depth to prevent attacks from taking hold. Of course, this is why we have invested in next-generation firewalls (NGFWs) to protect the perimeter, endpoint security for employee devices, and email and web security tools to protect productivity, amongst the many other security investments we make.

The value of these preventative tools and defense-in-depth is captured in the Cyber Kill Chain, intended to identify and prevent cyber intrusions. Formalized by Lockheed Martin in 2011, the Cyber Kill Chain has, for the last decade, defined how organizations map out their security controls and, as a direct result, determine how they measure their cyber resiliency. Here are the seven steps:

  1. Reconocimiento: Un atacante recopila información sobre el objetivo antes del ataque.
  2. Armamentización: El atacante cibernético crea su ataque, como un documento infectado de Microsoft Office y un email de phishing o malware.
  3. Entrega: Transmisión del ataque, como el envío de un email de phishing real
  4. Explotación: La "detonación" real del ataque, como un exploit que se ejecuta en un sistema.
  5. Instalación: el atacante instala malware en la víctima (no todos los ataques requieren malware).
  6. Comando y control: El sistema ahora comprometido "llama a casa" a un sistema de comando y control (C&C) para que el atacante cibernético obtenga el control.
  7. Acciones sobre objetivos: el atacante ahora tiene acceso y puede pasar a sus acciones para cumplir sus objetivos.

Recurriendo a los viejos adagios de "una cadena es tan fuerte como su eslabón más débil" y "la defensa es la mejor forma de ataque", la Cyber Kill Chain pone una prima en frustrar a los atacantes que progresan de izquierda a derecha, o dicho de otra manera, antes de que obtengan una infección inicial o acceso dentro de un entorno. La expectativa de que si puede detener a un actor malicioso en cualquier momento antes del paso 7 (Acciones sobre objetivos), frustró con éxito un ataque.

The net result of this has been a strong (and perhaps over-) emphasis on preventative controls until recently – firewalls, anti-virus, web gateways — that don’t assume breach; rather they assume all attacks can be detected and blocked. Yet, all of these tools suffer from the same limitation: they are, at their best, preventing the ‘known bad’. They depend on the following assumptions:

  1. El edificio que alberga mi oficina y mi fuerza laboral es confiable.
  2. El perímetro de la red es duro y confiable.
  3. La red dentro de este perímetro de confianza es de confianza.
  4. Los dispositivos conectados a esta red de confianza son de confianza.
  5. Las aplicaciones que se ejecutan en estos dispositivos de confianza son de confianza.
  6. Los usuarios que acceden a estas aplicaciones de confianza son de confianza.
  7. Los atacantes son previsibles y repiten los mismos comportamientos.

The objective of preventative controls is to keep the bad actors out and thereby maintain the implied trust level. But what happens if an attacker morphs from ‘known bad’ to ‘unknown bad’ – how do these lines of defense stack up then? Modern, sophisticated attacks (from the Target breach through to Cloud Hopper and everything in between and beyond) are designed to specifically exploit this false sense of trust to fast forward to Steps 6 and 7 on the Kill Chain, bypassing controls that look to prevent Steps 1 through 5. And these preventative controls are always playing catch up.

Before we proceed further, it’s important to stress that preventative measures are an important and essential part of any organization’s cyber defenses, but they are no longer the be all and end all. In fact, they are just the start. And that is because the assumptions they were built on no longer hold, especially in 2020 when the global pandemic has forced a complete revolution in how organizations in every sector work, resulting in a new normal:

  1. Mi compañía ya no se encuentra en ubicaciones específicas.
  2. Existe un perímetro, pero no lo abarca todo.
  3. La red a menudo no es exclusiva de mi organización.
  4. Los dispositivos que no controlo existen en mi red.
  5. A menudo, las aplicaciones que emplea la compañía no están alojadas, son de mi propiedad ni están gestionadas por mí.
  6. Los usuarios están en todas partes.
  7. Los atacantes son impredecibles y siempre buscan nuevas vías de ataque.

Con estas nuevas suposiciones que muestran que se puede confiar absolutamente en poco, existimos en una situación en la que la probabilidad de prevenir una violación es baja, por lo que nuestro enfoque debe cambiar a la detección, respuesta y contención. Y aquí es donde traemos Zero Trust.

Es importante dividir Zero Trust en 3 áreas clave:

  1. Mandos
  2. Monitorización
  3. Automatización y orquestación

Controles de Confianza cero

Los controles de Confianza cero pueden alinear nominalmente con los controles preventivos que se originaron en el modelo perimetral de antaño, pero el punto de partida es diferente:

  • El modelo perimetral asume que se puede confiar en todo lo que hay en el interior y, por lo tanto, pone un énfasis sobreponderado en la resistencia del perímetro: es un enfoque único para todos.
  • Con Zero Trust, esta suposición de confianza implícita simplemente no existe, por lo que nos vemos obligados a ser más inteligentes:
  • ¿Qué es lo que más necesita protección?
  • ¿Quién necesita acceder a él?
  • ¿De dónde?
  • ¿Cuando?
  • ¿Por qué?
  • ¿Cuáles son las interdependencias?

Estos son los puntos de datos que empleamos para crear una política de Confianza cero.

If we consider this from the perspective of an attacker, we can see that a significantly higher bar is being put on their ability to successfully breach – they can no longer assume that simply gaining access to the network is sufficient, whether it be to perform lateral movement, escalate privileges or call back home. As we have seen from the Bishop Fox report on the efficacy of microsegmentation, Zero Trust controls such as this force attackers to change behavior and leverage other techniques, all of which enhance the defenders chance of detection. A Zero Trust approach to controls helps reduce the attack surface available for exploit. The Zero Trust control model is an update to defense-in-depth – with layers that protect vital data, making it difficult for attackers — even if they evade preventative technologies — to move freely.

MITRE ATT&CK Framework

Before we talk about Monitoring and Automation/Orchestration in the context of Zero Trust, let’s segue to the MITRE ATT&CK framework. The starting point of the framework is an assumption of breach, and an emphasis on understanding how an attacker will behave between that time of initial compromise to successful conclusion of the mission.  This understanding helps us define detection capabilities that monitor for specific events which, either in isolation or when correlated, provide us with an indicator of abnormal behaviour that may warrant further investigation.

Monitoreo de Zero Trust

El marco MITRE ATT&CK otorga una gran importancia a la visibilidad: eventos de alta fidelidad de tantas fuentes de datos como sea posible (red, firewall, proxy, AV, EDR, IAM, OS, proveedor de servicios en la nube, aplicación, base de datos, IoT, etc.) para permitir que los equipos defensivos modelen una variedad de comportamientos que asocian con ataques conocidos y continúen evolucionando a medida que se adquiere más conocimiento sobre los adversarios y sus métodos. El enfoque de Zero Trust otorga una prima a la visibilidad que los enfoques anteriores no tenían, de hecho, un lema de Zero Trust podría ser "no se puede proteger lo que no se puede ver". Por lo tanto, al comenzar con la mejora de la visibilidad como parte de un programa Zero Trust y combinado con el uso del marco MITRE ATT&CK para modelar el comportamiento adverso al que la organización puede estar sometida, se puede obtener valor en el extremo defensivo de la cadena de muerte cibernética empleando capacidades que ya existen.

The excellent BBC Podcast “13 Minutes to the Moon” covers the infamous Apollo 13 expedition in its second series and the design of the Apollo spacecraft and the entire operational team supporting serves as a good analogy to highlight the importance of detection and response, despite the best attempts at prevention. The spacecraft designed for the Apollo mission had incredible amounts of resiliency and fail-safes built into every component, with numerous failure scenarios tested to ensure that any possible, expected outcome could be recovered from. With Apollo 13, the loss of a single booster engine was compensated by the firing of the other 4, however there was nothing in the design that could have prevented the wearing out of wiring insulation which triggered the explosion that jeopardized the mission – once this occurred (akin to a breach), the crew and mission control were entirely dependent on the telemetry from the spacecraft, observations from the astronauts and the experts on the ground to detect the problem, isolate it and recover from it. This is a great example of how, with data of the correct fidelity being made available from the relevant data sources coupled with the ability to efficiently analyze this data, security operations teams are far better prepared to triage incidents more accurately, allowing them to make better (and quicker) decisions on what event (or combination of events) need to be further investigated, and which can be safely ignored.

Automatización de Zero Trust

El auge de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) se centra en tomar toda la fase posterior a la detección de un ataque y proporcionar el conjunto de tecnología para pasar de manera eficiente de la detección a la respuesta. Para patrones de comportamiento malicioso comunes, toda esta secuencia podría incluso automatizar para liberar tiempo de los analistas para la investigación de ataques más sofisticados. Las plataformas SOAR, para ofrecer estas eficiencias, dependen de su capacidad para integrar con soluciones tecnológicas que proporcionen los datos relevantes o tomen las medidas de respuesta necesarias. Es por eso que la orquestación y la automatización son un pilar esencial (pero a menudo pasado por alto) en Zero Trust. Si bien poder orquestar, a través de la automatización, una nueva configuración o modificar una configuración existente como parte de un cambio planeado proporciona importantes beneficios operativos, el beneficio real de seguridad se obtiene cuando las mismas plataformas se pueden orquestar de manera rápida y consistente para reaccionar a un incidente de seguridad.

Entonces, volviendo a donde comenzamos:

  • El enfoque perimetral tradicional de la seguridad solo aborda una parte de la cadena de muerte cibernética y nos deja en gran medida ciegos a las etapas posteriores al compromiso.
  • Zero Trust mejora significativamente la prevención al comenzar con una auditoría de lo que se está protegiendo (p. ej. datos críticos o una aplicación clave) y garantizar que los controles en torno a esto se construyan con un enfoque de privilegios mínimos.
  • Zero Trust comienza con una posición de "asumir infracción" y otorga una gran importancia a las soluciones que proporcionan registros de alta calidad para respaldar la detección posterior al compromiso.
  • Además, la defensa de que las tecnologías destinadas a ayudar a los clientes a lograr Zero Trust deben tener una buena orquestación y automatización significa que pueden admitir plataformas SOAR en la respuesta automatizada a incidentes.

Por lo tanto, la adopción de un enfoque de confianza cero mejora el enfoque perimetral tradicional que se centró en frustrar las primeras 6 etapas de la cadena de muerte cibernética, y también arma a las organizaciones con la capacidad de centrar en detectar y frustrar a los atacantes en caso de que alcancen la etapa 7 e intenten tomar las acciones previstas.

For more information on Illumio’s approach to Zero Trust, visit: https://www.illumio.com/solutions/zero-trust

Temas relacionados

No se encontraron artículos.

Artículos relacionados

3 conclusiones de la nueva hoja de información sobre ciberseguridad de la NSA
segmentación

3 conclusiones de la nueva hoja de información sobre ciberseguridad de la NSA

Obtenga información sobre el reconocimiento de la NSA de la segmentación de Zero Trust como un componente esencial de Zero Trust.

Lee más
Por qué la detección de amenazas necesita segmentación de confianza cero
segmentación

Por qué la detección de amenazas necesita segmentación de confianza cero

Por qué los MSSP deberían ofrecer segmentación de Zero Trust como servicio además de la tecnología de detección de amenazas.

Lee más
Principales noticias de ciberseguridad de mayo de 2024
segmentación

Principales noticias de ciberseguridad de mayo de 2024

Poner al día con algunas de las principales historias de ciberseguridad de mayo, incluida la resolución del riesgo de ransomware, la creación de Zero Trust con Illumio ZTS + Netskope ZTNA y la desacreditación de los mitos de Zero Trust.

Lee más
No se encontraron artículos.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más