¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
segmentación
Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
11de diciembre de 2020
23 min. leer

Cómo la confianza cero permite a las organizaciones abordar cada paso de la cadena de muerte cibernética

En esta entrada del blog, analizamos la Cyber Kill Chain, cómo los modelos de seguridad que presuponen solo la confianza ayudan a mitigar los pasos 1 a 6 de la cadena (es decir, todo hasta el punto de compromiso inicial) y cómo un enfoque de confianza cero para la seguridad mejora significativamente los controles existentes que se centran en el compromiso previo y, al mismo tiempo, proporciona capacidades clave que son necesarias para respaldar la detección y la respuesta posteriores al compromiso. Como resultado, las organizaciones que adoptan Zero Trust probablemente estarán mejor preparadas para detectar y contener a intrusos maliciosos.

Todos entendemos el valor de la defensa en profundidad para evitar que los ataques se consoliden. Por supuesto, es por eso que invertimos en firewalls de última generación (NGFW) para proteger el perímetro, seguridad de puntos finales para los dispositivos de los empleados y herramientas de seguridad sitio web y de email para proteger la productividad, entre las muchas otras inversiones en seguridad que realizamos.

El valor de estas herramientas preventivas y de defensa en profundidad se captura en la Cyber Kill Chain, destinada a identificar y prevenir intrusiones cibernéticas. Formalizada por Lockheed Martin en 2011, la Cyber Kill Chain definió, durante la última década, cómo las organizaciones trazan sus controles de seguridad y, como resultado directo, determinan cómo miden su resiliencia cibernética. Estos son los siete pasos:

  1. Reconocimiento: Un atacante recopila información sobre el objetivo antes del ataque.
  2. Armamentización: El atacante cibernético crea su ataque, como un documento infectado de Microsoft Office y un email de phishing o malware.
  3. Entrega: Transmisión del ataque, como el envío de un email de phishing real
  4. Explotación: La "detonación" real del ataque, como un exploit que se ejecuta en un sistema.
  5. Instalación: el atacante instala malware en la víctima (no todos los ataques requieren malware).
  6. Comando y control: El sistema ahora comprometido "llama a casa" a un sistema de comando y control (C&C) para que el atacante cibernético obtenga el control.
  7. Acciones sobre objetivos: el atacante ahora tiene acceso y puede pasar a sus acciones para cumplir sus objetivos.

Recurriendo a los viejos adagios de "una cadena es tan fuerte como su eslabón más débil" y "la defensa es la mejor forma de ataque", la Cyber Kill Chain pone una prima en frustrar a los atacantes que progresan de izquierda a derecha, o dicho de otra manera, antes de que obtengan una infección inicial o acceso dentro de un entorno. La expectativa de que si puede detener a un actor malicioso en cualquier momento antes del paso 7 (Acciones sobre objetivos), frustró con éxito un ataque.

El resultado neto de esto fue hasta hace poco un fuerte (y quizás excesivo) énfasis en los controles preventivos (firewall, antivirus, puertas de enlace sitio web) que no parten de la base de que se pueden detectar y bloquear todos los ataques. Sin embargo, todas estas herramientas padecen la misma limitación: en el mejor de los casos, previenen el "mal conocido". Dependen de los siguientes supuestos:

  1. El edificio que alberga mi oficina y mi fuerza laboral es confiable.
  2. El perímetro de la red es duro y confiable.
  3. La red dentro de este perímetro de confianza es de confianza.
  4. Los dispositivos conectados a esta red de confianza son de confianza.
  5. Las aplicaciones que se ejecutan en estos dispositivos de confianza son de confianza.
  6. Los usuarios que acceden a estas aplicaciones de confianza son de confianza.
  7. Los atacantes son previsibles y repiten los mismos comportamientos.

El objetivo de los controles preventivos es mantener alejados a los malos actores y así mantener el nivel de confianza implícito. Pero ¿qué sucede si un atacante pasa de ser un "malo conocido" a un "malo desconocido"? ¿Cómo se comparan entonces estas líneas de defensa? Los ataques modernos y sofisticados (desde la violación de Target hasta Cloud Hopper y todo lo demás) están diseñados para explotar específicamente esta falsa sensación de confianza para avanzar rápidamente a los pasos 6 y 7 de la cadena de eliminación, eludiendo los controles que buscan evitar los pasos 1 al 5. Y estos controles preventivos siempre están tratando de poner al día.

Antes de continuar, es importante destacar que las medidas preventivas son una parte importante y esencial de las defensas cibernéticas de cualquier organización, pero ya no son el principio ni el fin. De hecho, son sólo el comienzo. Y eso se debe a que las suposiciones sobre las que se construyeron ya no se sostienen, especialmente en 2020, cuando la pandemia mundial obligó a una revolución completa en la forma en que funcionan las organizaciones en todos los sectores, lo que dio lugar a una nueva normalidad:

  1. Mi compañía ya no se encuentra en ubicaciones específicas.
  2. Existe un perímetro, pero no lo abarca todo.
  3. La red a menudo no es exclusiva de mi organización.
  4. Los dispositivos que no controlo existen en mi red.
  5. A menudo, las aplicaciones que emplea la compañía no están alojadas, son de mi propiedad ni están gestionadas por mí.
  6. Los usuarios están en todas partes.
  7. Los atacantes son impredecibles y siempre buscan nuevas vías de ataque.

Con estas nuevas suposiciones que muestran que se puede confiar absolutamente en poco, existimos en una situación en la que la probabilidad de prevenir una violación es baja, por lo que nuestro enfoque debe cambiar a la detección, respuesta y contención. Y aquí es donde traemos Zero Trust.

Es importante dividir Zero Trust en 3 áreas clave:

  1. Mandos
  2. Monitorización
  3. Automatización y orquestación

Controles de Confianza cero

Los controles de Confianza cero pueden alinear nominalmente con los controles preventivos que se originaron en el modelo perimetral de antaño, pero el punto de partida es diferente:

  • El modelo perimetral asume que se puede confiar en todo lo que hay en el interior y, por lo tanto, pone un énfasis sobreponderado en la resistencia del perímetro: es un enfoque único para todos.
  • Con Zero Trust, esta suposición de confianza implícita simplemente no existe, por lo que nos vemos obligados a ser más inteligentes:
  • ¿Qué es lo que más necesita protección?
  • ¿Quién necesita acceder a él?
  • ¿De dónde?
  • ¿Cuando?
  • ¿Por qué?
  • ¿Cuáles son las interdependencias?

Estos son los puntos de datos que empleamos para crear una política de Confianza cero.

Si consideramos esto desde la perspectiva de un atacante, podemos ver que se establece un estándar mucho más alto para su capacidad de lograr una vulneración exitosa: ya no pueden asumir que simplemente obtener acceso a la red es suficiente, ya sea para realizar un movimiento lateral, escalar privilegios o llamar a casa. Como vimos en el reporte de Bishop Fox sobre la eficacia de la microsegmentación, los controles de Confianza Cero como este obligan a los atacantes a cambiar su comportamiento y a emplear otras técnicas, todo lo cual mejora las posibilidades de detección de los defensores. Un enfoque de Confianza Cero para los controles ayuda a reducir la superficie de ataque disponible para la explotación. El modelo de control Zero Trust es una actualización de la defensa en profundidad, con capas que protegen datos vitales, lo que dificulta que los atacantes, incluso si evaden las tecnologías preventivas, se muevan libremente.

MITRE ATT&CK Framework

Antes de hablar sobre monitoreo y automatización/orquestación en el contexto de Confianza Cero, pasemos al marco MITRE ATT&CK. El punto de partida del marco es la suposición de que habrá una violación y el énfasis en comprender cómo se comportará un atacante entre el momento del compromiso inicial y la conclusión exitosa de la misión.  Esta comprensión nos ayuda a definir capacidades de detección que monitorean eventos específicos que, ya sea de manera aislada o correlacionada, nos brindan un indicador de comportamiento anormal que puede justificar una mayor investigación.

Monitoreo de Zero Trust

El marco MITRE ATT&CK otorga una gran importancia a la visibilidad: eventos de alta fidelidad de tantas fuentes de datos como sea posible (red, firewall, proxy, AV, EDR, IAM, OS, proveedor de servicios en la nube, aplicación, base de datos, IoT, etc.) para permitir que los equipos defensivos modelen una variedad de comportamientos que asocian con ataques conocidos y continúen evolucionando a medida que se adquiere más conocimiento sobre los adversarios y sus métodos. El enfoque de Zero Trust otorga una prima a la visibilidad que los enfoques anteriores no tenían, de hecho, un lema de Zero Trust podría ser "no se puede proteger lo que no se puede ver". Por lo tanto, al comenzar con la mejora de la visibilidad como parte de un programa Zero Trust y combinado con el uso del marco MITRE ATT&CK para modelar el comportamiento adverso al que la organización puede estar sometida, se puede obtener valor en el extremo defensivo de la cadena de muerte cibernética empleando capacidades que ya existen.

El excelente podcast de la BBC “13 Minutes to the Moon” cubre la infame expedición Apolo 13 en su segundo serial y el diseño de la nave espacial Apolo y todo el equipo operativo que la apoya sirve como una buena analogía para resaltar la importancia de la detección y la respuesta, a pesar de los mejores intentos de prevención. La nave espacial diseñada para la misión Apolo tenía asombrosos niveles de resiliencia y mecanismos de seguridad integrados en cada componente, con numerosos escenarios de falla probados para garantizar que se pudiera recuperar cualquier resultado posible esperado. Con el Apolo 13, la pérdida de un solo motor de refuerzo fue compensada con el encendido de los otros cuatro, sin embargo, no había nada en el diseño que pudiera evitar el desgaste del aislamiento del cableado que desencadenó la explosión que puso en peligro la misión; una vez que esto ocurrió (similar a una brecha), la tripulación y el control de la misión dependieron completamente de la telemetría de la nave espacial, las observaciones de los astronautas y los expertos en tierra para detectar el problema, aislarlo y recuperar de él. Este es un gran ejemplo de cómo, con datos de la fidelidad correcta disponibles de las fuentes de datos relevantes junto con la capacidad de analizar estos datos de manera eficiente, los equipos de operaciones de seguridad están mucho mejor preparados para clasificar incidentes con mayor precisión, lo que les permite tomar decisiones mejores (y más rápidas) sobre qué evento (o combinación de eventos) necesita ser investigado más a fondo y cuál puede ignorar de manera segura.

Automatización de Zero Trust

El auge de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) se centra en tomar toda la fase posterior a la detección de un ataque y proporcionar el conjunto de tecnología para pasar de manera eficiente de la detección a la respuesta. Para patrones de comportamiento malicioso comunes, toda esta secuencia podría incluso automatizar para liberar tiempo de los analistas para la investigación de ataques más sofisticados. Las plataformas SOAR, para ofrecer estas eficiencias, dependen de su capacidad para integrar con soluciones tecnológicas que proporcionen los datos relevantes o tomen las medidas de respuesta necesarias. Es por eso que la orquestación y la automatización son un pilar esencial (pero a menudo pasado por alto) en Zero Trust. Si bien poder orquestar, a través de la automatización, una nueva configuración o modificar una configuración existente como parte de un cambio planeado proporciona importantes beneficios operativos, el beneficio real de seguridad se obtiene cuando las mismas plataformas se pueden orquestar de manera rápida y consistente para reaccionar a un incidente de seguridad.

Entonces, volviendo a donde comenzamos:

  • El enfoque perimetral tradicional de la seguridad solo aborda una parte de la cadena de muerte cibernética y nos deja en gran medida ciegos a las etapas posteriores al compromiso.
  • Zero Trust mejora significativamente la prevención al comenzar con una auditoría de lo que se está protegiendo (p. ej. datos críticos o una aplicación clave) y garantizar que los controles en torno a esto se construyan con un enfoque de privilegios mínimos.
  • Zero Trust comienza con una posición de "asumir infracción" y otorga una gran importancia a las soluciones que proporcionan registros de alta calidad para respaldar la detección posterior al compromiso.
  • Además, la defensa de que las tecnologías destinadas a ayudar a los clientes a lograr Zero Trust deben tener una buena orquestación y automatización significa que pueden admitir plataformas SOAR en la respuesta automatizada a incidentes.

Por lo tanto, la adopción de un enfoque de confianza cero mejora el enfoque perimetral tradicional que se centró en frustrar las primeras 6 etapas de la cadena de muerte cibernética, y también arma a las organizaciones con la capacidad de centrar en detectar y frustrar a los atacantes en caso de que alcancen la etapa 7 e intenten tomar las acciones previstas.

Para obtener más información sobre el enfoque de Illumio sobre Zero Trust, visite: https://www.illumio.com/solutions/zero-trust

Temas relacionados

No se encontraron artículos.

Artículos relacionados

Cómo la confianza cero permite a las organizaciones abordar cada paso de la cadena de muerte cibernética
segmentación

Cómo la confianza cero permite a las organizaciones abordar cada paso de la cadena de muerte cibernética

En esta publicación de blog, analizamos la cadena de muerte cibernética, cómo los modelos de seguridad que asumen la confianza solo ayudan a mitigar los pasos 1 a 6 de la cadena.

Lee más
5 razones por las que a su arquitecto de nube le encantará la microsegmentación
segmentación

5 razones por las que a su arquitecto de nube le encantará la microsegmentación

Para un arquitecto de la nube, ir a la nube es más que un simple cambio de ubicación.

Lee más
¿Se puede medir la eficacia de la microsegmentación?
segmentación

¿Se puede medir la eficacia de la microsegmentación?

Illumio y Bishop Fox llevaron a cabo y documentaron un plan pionero en la industria sobre cómo medir la eficacia de la microsegmentación.

Lee más
No se encontraron artículos.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más