Cómo la segmentación de confianza cero detiene el ransomware 4 veces más rápido que la detección y la respuesta por sí solas
Está bien documentado que Cero Confianza es una mentalidad y el postulado base es asumir una brecha. Esto puede sonar aterrador, pero en realidad, significa que debes asumir que si tu organización aún no ha sido violada, es probable que voluntad pasar. Las posturas de seguridad deben cambiar de pasivas y de espera a proactivas y de caza. ¿Por qué es esto más importante que nunca?
El La pandemia ha acelerado la transformación del negocio, impulsando la introducción de la automatización y las cadenas de suministro integradas, rompiendo la estructura tradicional de redes y sistemas y creando nuevos niveles de hiperconectividad. Un viaje al hospital es ahora un experiencia digital end-to-end. Puedes entrar y salir de una sucursal minorista o bancaria sin interactuar con un ser humano.
Este cambio ha creado una nuevo conjunto de vectores de ataque y oportunidades para los ciberdelincuentes. Adoptar la mentalidad de “asumir una violación” que impulsa un enfoque más proactivo es ahora el único camino a seguir.
La buena noticia es que hay una serie de marcos que pueden guiar a su organización en este enfoque. Y el estándar de oro de los marcos es Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST).
Pero, ¿cómo puede la implementación de prácticas en el CSF del NIST ayudar a su organización a limitar el impacto de una violación inevitable?
Illumio encargó a Bishop Fox, líder de pruebas ofensivas de seguridad y penetración, medir cuantitativamente cómo mediante la realización de una serie de ataques de ransomware emulados. En este post, vamos a resumir los escenarios de ataque y los resultados clave. El informe completo está disponible aquí.
Construir un modelo más seguro: identificar, proteger, detectar, responder
Los dos primeros pasos del marco NIST CSF están bien establecidos y son obvios:
Identificar
- Determine qué activos tienen más probabilidades de ser atacados y qué activos tendrán el mayor impacto si se ven comprometidos.
- Mapear los flujos de datos entre todos los dispositivos, TI y OT.
- Determine las vulnerabilidades en cada dispositivo para cuantificar la exposición de ese dispositivo en función de las conexiones mapeadas.
Proteger
- Bloquee todos los puertos y protocolos no utilizados y de alto riesgo.
- Implementar el cercado de anillos de activos y aplicaciones y permitir el acceso basado en privilegios mínimos.
Paso 3 (Detectar) y paso 4 (Responder) es donde las cosas se han fragmentado.
Hemos progresado mucho desde los días de las firmas con la llegada del aprendizaje automático, las fuentes de amenazas y la detección de anomalías de comportamiento. Cuando detección y respuesta de punto final (EDR) primero explotó en la escena, se vio como la respuesta a todos los ataques a puntos finales. Al igual que con todo lo cibernético, los delincuentes han invertido tiempo y recursos en tratar de evadir estos nuevos productos. Actualmente, demasiadas organizaciones dependen de la detección y la respuesta sin implementar primero los pasos 1 y 2.
Hasta ahora, la comprensión de la debilidad potencial de este enfoque ha sido apócrifa y boca a boca.
Probar el impacto de la Segmentación de Confianza Cero y EDR contra el ransomware
Como parte de la emulación de ataque, comparando la implementación de los cuatro pasos en lugar de solo la detección y la respuesta, el equipo rojo utilizó un conjunto bien establecido de tácticas, técnicas y procedimientos (TTP) de la Entornos MITRE ATT&CK y PRE-ATT&CK para intentar infectar hosts. El equipo azul utilizó tecnologías de detección y respuesta combinadas con la Segmentación de Confianza Cero de Illumio para medir la eficacia relativa en la contención de un ataque de ransomware activo.
Escenarios de ataque explicados
Los escenarios de prueba incluyeron:
- Detección sola
- Detección y segmentación de confianza cero para respuesta a incidentes
- Detección y segmentación de confianza cero bloqueando proactivamente puertos conocidos utilizados por ransomware
- Detección y Segmentación de confianza cero implementando de manera proactiva el cercado completo de aplicaciones
Cada prueba midió si se podía detener el ataque y cuánto tiempo tomaría, cuántos hosts estaban infectados y cuántos TTPs se ejecutaron. Los escenarios estuvieron a cargo de dos consultores de Bishop Fox: uno actuando como el equipo rojo (atacando) y otro como el azul (defendiendo).
Resultados del escenario de ataque

Escenario 1: Detección por sí sola: Este escenario estaba desprovisto de cualquier Segmentación de confianza cero capacidades y resultó en un éxito completo para el equipo rojo. Fueron capaces de ejecutar todos los TTPs e infectaron a todos los hosts después de 2 horas y 28 minutos.
Escenario 2: detección y segmentación de confianza cero para la respuesta a incidentes: Este modelo tenía Illumio desplegado pero inicialmente en modo visibilidad, alimentando alertas al sistema SIEM, que además estaba recopilando datos de eventos de EDR, Active Directory, Sysmon, etc. Al detectar actividad anómala, el equipo azul desplegó una política de contención. El ataque se detuvo en 38 minutos.
Escenario 3: detección y segmentación de confianza cero bloqueando proactivamente puertos conocidos utilizados por ransomware: En este escenario, los puertos comunes que usa el ransomware fueron bloqueados por Illumio para reducir el movimiento lateral. El ataque se detuvo después de 24 minutos con solo 2 hosts comprometidos.
Escenario 4: Detección y Segmentación de Confianza Cero que implementa de manera proactiva el cercado de anillo completo de aplicaciones: Se implementó la esgrima de anulación completa de aplicaciones, lo que resultó en que no se propagó el ransomware y el ataque se detuvo en 10 minutos. Este resultado fue 4 veces más rápido que la implementación reactiva.
Pruebas adicionales mostraron que Illumio Core fue “especialmente útil” para cubrir los puntos ciegos de EDR en ubicaciones donde el comportamiento del atacante no se detectó correctamente mediante alertas EDR preconfiguradas, destacando la importancia de las tecnologías de detección y respuesta y la Segmentación de Confianza Cero en la construcción de una estrategia de seguridad moderna y resistente para contener ransomware.
Estos resultados combinados muestran que EDR debe emparejarse con la Segmentación de Confianza Cero para ser más eficaz contra ransomware y otros ataques cibernéticos.
Al adoptar la mentalidad Zero Trust de “asumir incumplimiento” y”solo permite el acceso con privilegios más escasos”, una organización que implementa la Segmentación de Confianza Cero con EDR puede mejorar drásticamente su protección contra el ransomware. Esto puede significar la diferencia entre poder operar durante un ciberataque y una falla importante del negocio.
Descargue el informe completo para obtener más detalles, Emulación de escenario de ransomware 2022: Informe de evaluación.