.png)
Pruebas continuas de la eficacia de sus controles de confianza cero
Cuando escuchamos a los profesionales de seguridad, proveedores y sus clientes hablar sobre el marco de Confianza Cero , vemos que se da mucha importancia a cinco de los pilares fundamentales: Dispositivos, Datos, Cargas de trabajo, Red y Personas, todos ellos "activos" muy tangibles que necesitan protección y para los cuales existe una amplia variedad de capacidades para ayudar a lograr esta protección.
El 'cinturón y los tirantes' de Zero Trust
Una estrategia holística de Zero Trust debe considerar y proporcionar cobertura para cada uno de estos cinco pilares. Pero su estrategia no está completa, y es posible que ni siquiera despegue, si no tiene una historia sobre Automatización y Orquestación y Visibilidad y Análisis: estos son, en sentido figurado (¡y literalmente si mira el diagrama de arriba!) el "cinturón y tirantes" que mantienen unidos los 5 pilares de Zero Trust. Lamentablemente, a menudo tienden a ser los más descuidados en los viajes de Zero Trust del mundo real.
¿Por qué? La automatización y la visibilidad pueden ser las áreas más costosas y complejas para que los proveedores entreguen sus ofertas de seguridad y los clientes a menudo carecen de la experiencia para automatizar o analizar adecuadamente.
No puedes segmentar lo que no puedes ver
En Illumio, consideramos estas dos áreas (automatización y visibilidad) como pilares fundamentales por sí mismas, en lugar de considerarlas una ocurrencia tardía. El viaje que tenemos el privilegio de ayudar a nuestros clientes a emprender mientras se proponen lograr sus resultados de microsegmentación comienza con "Visibilidad y análisis". Creamos un mapa detallado de dependencia de aplicaciones, aprovechando la telemetría de las cargas de trabajo y los metadatos de una CMDB, para proporcionar reportes de tráfico procesables a partir de los cuales los clientes pueden comenzar a construir sus políticas de segmentación para establecer microperímetros alrededor de sus aplicaciones. En este caso, la visibilidad no es la guinda del pastel. Es el pastel.
Ningún proveedor puede "Zero Trust-ify"
Al valorar el hecho de que todas las compañías, incluso las aparentemente más simples, son organismos complejos con una pila de tecnología igualmente compleja y diversa, “Automatización y Orquestación” fue una parte fundamental e imprescindible de nuestro producto desde el principio. Nuestro producto está diseñado para integrar en otros sistemas y acceder a él mediante programación a través de nuestras API abiertas y documentadas. De hecho, la interfaz de usuario del producto es una máscara sobre nuestras API REST. Nos atreveríamos a afirmar que no existe Confianza Cero sin Automatización y Orquestación.
¿Cómo sé si esto funciona?
Nuestro recorrido típico del cliente sigue estos pasos:
- Obtención de telemetría y metadatos para crear un mapa
- Emplee el mapa para crear una política de microsegmentación
- Probar la directiva antes de aplicarla
- Aplicar directiva
Y con el monitoreo implementado en todo momento, sabemos cuándo hay una violación de una política definida y los usuarios pueden tomar las medidas correctivas necesarias.
Entonces, ¿cuál es el punto de todo esto? Ser capaz de comprender cómo funciona un control específico de Zero Trust es muy valioso (por ejemplo, coincidencias/violaciones de la política de microsegmentación), pero ¿qué pasa con la efectividad del control en el contexto más amplio de la estrategia general de Zero Trust de una organización?
En esta era de "asumir violaciones ", si ocurre un incidente de seguridad, ¿con qué rapidez puede su organización responder a las preguntas qué, cuándo, quién, cómo y porqué ? Y lo más importante, ¿qué sistemas de su arsenal actual pueden trabajar al unísono para ayudarlo a llegar a las respuestas a estas preguntas de forma automática y precisa?
MITRE ¿Me tomo un momento para divagar?
Hagamos un breve paréntesis y hablemos sobre el marco MITRE ATT&CK por un segundo.
El marco MITRE ATT&CK mapea las tácticas, técnicas y procedimientos adversarios (TTP) que los malos actores aprovechan para montar un ataque, por ejemplo, un ataque basado en amenazas persistentes avanzadas (APT) contra un objetivo.
Empleando esta información y el conocimiento común compartido del comportamiento de un atacante a medida que aprovechan estos TTP, una organización puede desarrollar estrategias defensivas para limitar (e idealmente prevenir) el impacto negativo de estas actividades maliciosas. Además, el marco comienza desde una posición de Asumir incumplimiento y, por lo tanto, voltea completamente en torno a la defensa posterior al compromiso: "asume que te violarán, así que concéntrate en hacer que sea realmente difícil ser golpeado".
Desde la perspectiva de un Equipo Azul, el marco ATT&CK, con su énfasis en tener acceso a la mayor cantidad posible de datos de eventos de fuentes relevantes, informa el proceso mediante el cual estos datos pueden agregar y correlacionar para identificar adecuadamente comportamientos maliciosos y, a su vez, impulsar las respuestas necesarias. La publicación del blog ATT&CK 101 de MITRE es un excelente punto de partida para todo lo relacionado con ATT&CK.
Medición de la eficacia de la microsegmentación
Durante el trabajo reciente sobre la prueba de la eficacia de la microsegmentación, los especialistas del equipo rojo Bishop Fox comenzaron por mapear las partes relevantes del marco MITRE ATT&CK con las técnicas que buscarían aprovechar en su intento de "capturar las señales".
Esta identificación de técnicas adversas les permitió luego determinar cuán efectiva era la Plataforma de Seguridad Adaptativa Illumio para ayudar a detectar y derrotar estos ataques. MITRE tiene un excelente artículo sobre cómo se puede emplear el marco ATT&CK para encontrar amenazas cibernéticas de manera efectiva.
Por lo tanto, con un conjunto de herramientas de seguridad que proporciona visibilidad de alta fidelidad, acceso completo a través de su API y ofrece un marco de modelado como MITRE ATT&CK, las organizaciones pueden crear herramientas que pueden monitorear los controles de Zero Trust, analizar la telemetría y responder automáticamente para tomar las medidas adecuadas. Pero, ¿cómo se controla la eficacia de estas herramientas?
Hacer que las pruebas continuas formen parte de su ADN Zero Trust
Una opción es, por supuesto, contratar a un especialista independiente del equipo rojo para que desempeñe el papel de atacante, mientras que el equipo azul de la organización aprovecha sus controles de seguridad y análisis cuidadosamente construidos para monitorear y responder. Esto es muy valioso y se recomienda periódicamente. ¿Qué pasaría si hubiera una manera de automatizar tanto la actividad del equipo rojo como la respuesta del equipo azul?
Las organizaciones podrían probar continuamente la eficacia de sus modelos y controles y adoptar un enfoque de mejora constante. Y esto es exactamente lo que proveedores como AttackIQ están haciendo posible ahora. Gracias a su tecnología, los clientes pueden validar la eficacia de un control de seguridad específico y, quizás más interesante aún, determinar cómo se alinean sus defensas contra adversarios sofisticados.
En Illumio, estamos entusiasmados de asociarnos con AttackIQ en el lanzamiento de su programa Preactive Security Exchange porque entendemos que los clientes necesitan poder medir y ver el valor de sus inversiones en Zero Trust. La plataforma de pruebas altamente configurable, automatizada y repetible que ofrece AttackIQ hace que medir la eficacia de los controles de Confianza Cero sea un objetivo alcanzable para las organizaciones. Y como sabemos, una vez que puedes medir algo, puedes empezar a mejorarlo.
Consulta nuestra página de seguridad Zero Trust para obtener más información sobre cómo Illumio puede ayudarte en tu camino hacia Zero Trust.
