Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Segmentation
Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Décembre 11, 2020
23 min. lire

Comment la confiance zéro permet aux organisations de s'attaquer à chaque étape de la chaîne de la mort cybernétique

In this blog post we look at the Cyber Kill Chain, how security models that assume trust only help in mitigating Steps 1 to 6 in the chain – i.e. everything up to the point of initial compromise – and how a Zero Trust approach to security both significantly up levels existing controls that focus on pre-compromise, while also providing key capabilities that are necessary to support post-compromise detection and response. As a result, organizations adopting Zero Trust are likely to be better prepared to detect and contain malicious intruders.

We all understand the value of defense-in-depth to prevent attacks from taking hold. Of course, this is why we have invested in next-generation firewalls (NGFWs) to protect the perimeter, endpoint security for employee devices, and email and web security tools to protect productivity, amongst the many other security investments we make.

The value of these preventative tools and defense-in-depth is captured in the Cyber Kill Chain, intended to identify and prevent cyber intrusions. Formalized by Lockheed Martin in 2011, the Cyber Kill Chain has, for the last decade, defined how organizations map out their security controls and, as a direct result, determine how they measure their cyber resiliency. Here are the seven steps:

  1. Reconnaissance : Un attaquant recueille des informations sur la cible avant l'attaque.
  2. L'armement : Le cyber-attaquant crée son attaque, par exemple un document Microsoft Office infecté, un courriel d'hameçonnage ou un logiciel malveillant.
  3. Livraison : Transmission de l'attaque, comme l'envoi d'un courriel d'hameçonnage.
  4. Exploitation : La "détonation" proprement dite de l'attaque, par exemple l'exécution d'un programme d'exploitation sur un système.
  5. L'installation : L'attaquant installe un logiciel malveillant sur la victime (toutes les attaques ne nécessitent pas de logiciel malveillant).
  6. Commande et contrôle : Le système désormais compromis "rappelle" un système de commandement et de contrôle (C&C) pour que le cyber-attaquant en prenne le contrôle.
  7. Actions sur les objectifs : L'attaquant a maintenant accès à l'information et peut passer à l'action pour atteindre ses objectifs.

Reprenant le vieil adage selon lequel "la solidité d'une chaîne dépend de celle de son maillon le plus faible" et "la défense est la meilleure forme d'attaque", la chaîne mortelle cybernétique met l'accent sur la nécessité de contrecarrer les attaquants qui progressent de gauche à droite ou, en d'autres termes, avant qu'ils n'obtiennent une infection initiale ou un accès à l'intérieur d'un environnement. L'idée que si vous pouvez arrêter un acteur malveillant à tout moment avant l'étape 7 (Actions sur les objectifs), vous avez réussi à déjouer une attaque.

The net result of this has been a strong (and perhaps over-) emphasis on preventative controls until recently – firewalls, anti-virus, web gateways — that don’t assume breach; rather they assume all attacks can be detected and blocked. Yet, all of these tools suffer from the same limitation: they are, at their best, preventing the ‘known bad’. They depend on the following assumptions:

  1. Le bâtiment qui abrite mon bureau et mon personnel est digne de confiance.
  2. Le périmètre du réseau est dur et fiable.
  3. Le réseau situé à l'intérieur de ce périmètre de confiance est fiable.
  4. Les appareils connectés à ce réseau de confiance sont fiables.
  5. Les applications fonctionnant sur ces appareils de confiance sont fiables.
  6. Les utilisateurs qui accèdent à ces applications de confiance sont fiables.
  7. Les attaquants sont prévisibles et répètent les mêmes comportements.

The objective of preventative controls is to keep the bad actors out and thereby maintain the implied trust level. But what happens if an attacker morphs from ‘known bad’ to ‘unknown bad’ – how do these lines of defense stack up then? Modern, sophisticated attacks (from the Target breach through to Cloud Hopper and everything in between and beyond) are designed to specifically exploit this false sense of trust to fast forward to Steps 6 and 7 on the Kill Chain, bypassing controls that look to prevent Steps 1 through 5. And these preventative controls are always playing catch up.

Before we proceed further, it’s important to stress that preventative measures are an important and essential part of any organization’s cyber defenses, but they are no longer the be all and end all. In fact, they are just the start. And that is because the assumptions they were built on no longer hold, especially in 2020 when the global pandemic has forced a complete revolution in how organizations in every sector work, resulting in a new normal:

  1. Mon entreprise n'est plus implantée dans des lieux spécifiques.
  2. Un périmètre existe mais il n'est pas exhaustif.
  3. Souvent, le réseau n'est pas exclusif à mon organisation.
  4. Des appareils que je ne contrôle pas existent sur mon réseau.
  5. Souvent, les applications utilisées par l'entreprise ne sont pas hébergées, détenues et gérées par moi.
  6. Les utilisateurs sont partout.
  7. Les attaquants sont imprévisibles et toujours à la recherche de nouveaux moyens d'attaque.

Ces nouvelles hypothèses montrant que peu de choses sont absolument fiables, nous nous trouvons dans une situation où la probabilité de prévenir une violation est faible - et nous devons donc nous concentrer sur la détection, la réaction et l'endiguement. C'est ici que nous intervenons dans le cadre de la confiance zéro.

Il est important de diviser la confiance zéro en trois domaines clés :

  1. Contrôles
  2. Surveillance
  3. Automatisation et orchestration

Contrôles de confiance zéro

Les contrôles "Zero Trust" peuvent nominalement s'aligner sur les contrôles préventifs issus du modèle périmétrique d'antan, mais le point de départ est différent :

  • Le modèle périmétrique part du principe que tout ce qui se trouve à l'intérieur est digne de confiance et met donc trop l'accent sur la solidité du périmètre - il s'agit d'une approche unique.
  • Avec la confiance zéro, cette hypothèse de confiance implicite n'existe tout simplement pas - nous sommes donc obligés d'être plus intelligents :
  • Qu'est-ce qui a le plus besoin d'être protégé ?
  • Qui doit y accéder ?
  • D'où vient-il ?
  • Quand ?
  • Pourquoi ?
  • Quelles sont les interdépendances ?

Ce sont les points de données que nous utilisons pour élaborer une politique de confiance zéro.

If we consider this from the perspective of an attacker, we can see that a significantly higher bar is being put on their ability to successfully breach – they can no longer assume that simply gaining access to the network is sufficient, whether it be to perform lateral movement, escalate privileges or call back home. As we have seen from the Bishop Fox report on the efficacy of microsegmentation, Zero Trust controls such as this force attackers to change behavior and leverage other techniques, all of which enhance the defenders chance of detection. A Zero Trust approach to controls helps reduce the attack surface available for exploit. The Zero Trust control model is an update to defense-in-depth – with layers that protect vital data, making it difficult for attackers — even if they evade preventative technologies — to move freely.

MITRE ATT&CK Framework

Before we talk about Monitoring and Automation/Orchestration in the context of Zero Trust, let’s segue to the MITRE ATT&CK framework. The starting point of the framework is an assumption of breach, and an emphasis on understanding how an attacker will behave between that time of initial compromise to successful conclusion of the mission.  This understanding helps us define detection capabilities that monitor for specific events which, either in isolation or when correlated, provide us with an indicator of abnormal behaviour that may warrant further investigation.

Contrôle de la confiance zéro

Le cadre MITRE ATT&CK met l'accent sur la visibilité - des événements de haute fidélité provenant d'autant de sources de données que possible (réseau, pare-feu, proxy, AV, EDR, IAM, OS, fournisseur de services cloud, application, DB, IoT, etc.) pour permettre aux équipes défensives de modéliser une gamme de comportements qu'elles associent à des attaques connues, et de continuer à les faire évoluer au fur et à mesure de l'acquisition de connaissances supplémentaires sur les adversaires et leurs méthodes. L'approche de la confiance zéro met l'accent sur la visibilité, ce qui n'était pas le cas des approches précédentes. En fait, la devise de la confiance zéro pourrait être "vous ne pouvez pas protéger ce que vous ne pouvez pas voir". Ainsi, en commençant par améliorer la visibilité dans le cadre d'un programme de confiance zéro et en utilisant le cadre MITRE ATT&CK pour modéliser les comportements adverses auxquels l'organisation peut être soumise, il est possible d'obtenir de la valeur à l'extrémité défensive de la chaîne de la mort cybernétique en utilisant des capacités qui existent déjà.

The excellent BBC Podcast “13 Minutes to the Moon” covers the infamous Apollo 13 expedition in its second series and the design of the Apollo spacecraft and the entire operational team supporting serves as a good analogy to highlight the importance of detection and response, despite the best attempts at prevention. The spacecraft designed for the Apollo mission had incredible amounts of resiliency and fail-safes built into every component, with numerous failure scenarios tested to ensure that any possible, expected outcome could be recovered from. With Apollo 13, the loss of a single booster engine was compensated by the firing of the other 4, however there was nothing in the design that could have prevented the wearing out of wiring insulation which triggered the explosion that jeopardized the mission – once this occurred (akin to a breach), the crew and mission control were entirely dependent on the telemetry from the spacecraft, observations from the astronauts and the experts on the ground to detect the problem, isolate it and recover from it. This is a great example of how, with data of the correct fidelity being made available from the relevant data sources coupled with the ability to efficiently analyze this data, security operations teams are far better prepared to triage incidents more accurately, allowing them to make better (and quicker) decisions on what event (or combination of events) need to be further investigated, and which can be safely ignored.

Automatisation de la confiance zéro

L'essor des plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) se concentre sur l'ensemble de la phase de post-détection d'une attaque et fournit l'ensemble des technologies permettant de passer efficacement de la détection à la réponse. Pour les comportements malveillants courants, l'ensemble de cette séquence pourrait même être automatisé afin de libérer le temps des analystes pour l'étude d'attaques plus sophistiquées. Pour réaliser ces gains d'efficacité, les plateformes SOAR dépendent de leur capacité à s'intégrer aux solutions technologiques qui fournissent les données pertinentes ou prennent les mesures réactives nécessaires. C'est pourquoi l'orchestration et l'automatisation sont un pilier essentiel (mais souvent négligé) de la confiance zéro. Si la possibilité d'orchestrer, par l'automatisation, une nouvelle configuration ou de modifier une configuration existante dans le cadre d'un changement planifié offre des avantages opérationnels significatifs, le véritable avantage en termes de sécurité est réalisé lorsque les mêmes plateformes peuvent être orchestrées rapidement et de manière cohérente pour réagir à un incident de sécurité.

Revenons donc à notre point de départ :

  • L'approche périmétrique traditionnelle de la sécurité n'aborde qu'une partie de la chaîne de la mort cybernétique et nous laisse dans l'ignorance des étapes postérieures à la compromission.
  • La confiance zéro améliore considérablement la prévention en commençant par un audit de ce qui est protégé (par ex. données critiques ou une application clé) et de veiller à ce que les contrôles à cet égard soient élaborés selon une approche de moindre privilège appropriée.
  • La confiance zéro commence par une position de "supposition de violation" et met l'accent sur des solutions fournissant des journaux de haute qualité pour soutenir la détection après la compromission.
  • En outre, la recommandation selon laquelle les technologies visant à aider les clients à atteindre la confiance zéro doivent avoir une bonne orchestration et automatisation signifie qu'elles peuvent soutenir les plates-formes SOAR dans la réponse automatisée aux incidents.

Ainsi, l'adoption d'une approche de confiance zéro renforce l'approche traditionnelle du périmètre qui se concentre sur la prévention des six premières étapes de la chaîne de la mort cybernétique, et donne aux organisations les moyens de se concentrer sur la détection et la neutralisation des attaquants s'ils atteignent l'étape 7 et tentent d'agir comme ils le souhaitent.

For more information on Illumio’s approach to Zero Trust, visit: https://www.illumio.com/solutions/zero-trust

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

3 points à retenir de la nouvelle fiche d'information de la NSA sur la cybersécurité
Segmentation

3 points à retenir de la nouvelle fiche d'information de la NSA sur la cybersécurité

Découvrez comment la NSA reconnaît la segmentation de la confiance zéro comme un élément essentiel de la confiance zéro.

En savoir plus
Pourquoi la détection des menaces a besoin de la segmentation "zéro confiance" ?
Segmentation

Pourquoi la détection des menaces a besoin de la segmentation "zéro confiance" ?

Pourquoi les MSSP devraient proposer la segmentation Zero Trust en tant que service en plus de la technologie de détection des menaces.

En savoir plus
Les principales actualités de la cybersécurité en mai 2024
Segmentation

Les principales actualités de la cybersécurité en mai 2024

Rattrapez les principaux articles sur la cybersécurité du mois de mai, y compris la résolution du risque de ransomware, la construction de la confiance zéro avec Illumio ZTS + Netskope ZTNA, et le démenti des mythes sur la confiance zéro.

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus