Tester en permanence l'efficacité de vos contrôles de confiance zéro

When we hear security practitioners, vendors and their customers talk about the Zero Trust framework, we see a lot of love given to five of the core pillars: Devices, Data, Workloads, Network and People – all very tangible ‘assets’ that need protecting, and for which a wide variety of capabilities exist to help achieve this protection.

La ceinture et les bretelles de Zero Trust

Une stratégie holistique de confiance zéro doit prendre en compte et couvrir chacun de ces cinq piliers. Mais votre stratégie n'est pas complète, et pourrait même ne pas décoller, si vous n'avez pas d'histoire autour de l'automatisation & Orchestration et visibilité & Analyse - ce sont au sens figuré (et au sens propre si vous regardez le diagramme ci-dessus !) la "ceinture et les bretelles" qui maintiennent ensemble les 5 piliers de la confiance zéro. Malheureusement, ils ont souvent tendance à être les plus négligés dans les parcours de confiance zéro dans le monde réel.

Pourquoi ? L'automatisation et la visibilité peuvent être les domaines les plus coûteux et les plus complexes pour les fournisseurs dans leurs offres de sécurité et les clients manquent souvent d'expertise pour automatiser ou analyser correctement.

Vous ne pouvez pas segmenter ce que vous ne pouvez pas voir

At Illumio, we think of these two areas (Automation and Visibility) as core pillars in their own right rather than an afterthought. The journey we’re privileged enough to help our customers take as they set out to achieve their micro-segmentation outcomes starts with “Visibility and Analytics." We build a detailed application dependency map, leveraging telemetry from workloads and metadata from a CMDB, to provide actionable traffic reports from which customers can start building their segmentation policies to establish microperimeters around their applications. In this case, Visibility isn’t the icing. It’s the cake.

Aucun fournisseur ne peut à lui seul "Zero Trust-ifier"" vous

Through an appreciation of the fact that all enterprises, even the seemingly simplest, are complex organisms with an equally complex and diverse technology stack, “Automation and Orchestration” has been a ‘must have’, core part of our product from the outset. Our product is designed to be integrated into other systems and accessed programmatically via our open and documented APIs. In fact, the product UI is a skin on top of our REST APIs. We would go so far as to argue that there is no Zero Trust without Automation and Orchestration.

Comment savoir si ce produit est efficace ?

Notre parcours client type suit les étapes suivantes :

1. Obtenir des données télémétriques et des métadonnées pour construire une carte
2. Utilisez la carte pour élaborer une politique de micro-segmentation
3. Tester la politique avant de l'appliquer
4. Appliquer la politique

Et grâce à la surveillance permanente, nous savons quand il y a violation d'une politique définie, et les utilisateurs peuvent prendre les mesures correctives nécessaires.

Quel est donc l'intérêt de tout cela ? Il est extrêmement utile de pouvoir comprendre le fonctionnement d'un contrôle spécifique de la confiance zéro (par exemple, les correspondances/violations de la politique de micro-segmentation), mais qu'en est-il de l'efficacité du contrôle dans le contexte plus large de la stratégie globale de confiance zéro d'une organisation ?

In this era of "assume breach," should there be a security incident, how quickly can your organisation answer the what, when, who, how and why questions? And most importantly which systems in your current arsenal can work in unison to help you get to the answers of these questions automatically and accurately?

MITRE Je prends un moment pour m'écarter du sujet ?

Let’s take a quick aside and talk about the MITRE ATT&CK framework for a second.

Le cadre MITRE ATT&CK décrit les tactiques, techniques et procédures adverses (TTP) que les acteurs malveillants utilisent pour monter une attaque - par exemple une attaque basée sur une menace persistante avancée (APT) contre une cible.

En utilisant ces informations et les connaissances communes partagées sur le comportement des attaquants lorsqu'ils exploitent ces TTP, une organisation peut développer des stratégies défensives pour limiter (et idéalement prévenir) l'impact négatif de ces activités malveillantes. En outre, le cadre part d'une position de supposition de violation et est donc entièrement axé sur la défense post-compromission - "supposez que vous serez victime d'une violation, alors concentrez-vous sur les moyens à mettre en œuvre pour qu'il soit vraiment difficile d'être victime d'une violation".

From a Blue Team’s perspective, the ATT&CK framework, with its emphasis on having access to as much event data from relevant sources as possible, informs the process by which this data can be aggregated and correlated to properly identify malicious behaviours and, in turn, drive the necessary responses. MITRE’s own ATT&CK 101 blog post is an excellent starting point for all things ATT&CK.

Mesurer l'efficacité de la micro-segmentation

During the recent work on Testing the Efficacy of Micro-Segmentation, red team specialists Bishop Fox began by mapping the relevant parts of the MITRE ATT&CK framework to the techniques they would look to be leveraging in their attempt to ‘capture the flags.’

This identification of adversarial techniques then allowed them to determine how effective the Illumio Adaptive Security Platform was in helping to detect and defeat these attacks. MITRE has a great write up on how the ATT&CK framework can be used to effectively find cyber threats.

Ainsi, avec un ensemble d'outils de sécurité qui offre une visibilité de haute fidélité, un accès complet via son API et un cadre de modélisation tel que MITRE ATT&CK, les organisations sont en mesure de construire des outils qui peuvent surveiller les contrôles Zero Trust, analyser la télémétrie et répondre automatiquement pour prendre les mesures appropriées. Mais comment contrôler l'efficacité de cet outil ?

Intégrer les tests continus dans l'ADN de la confiance zéro

L'une des options consiste bien sûr à engager un spécialiste indépendant de l'équipe rouge pour jouer le rôle d'un attaquant, tandis que l'équipe bleue de l'organisation tire parti de ses analyses et de ses contrôles de sécurité soigneusement mis en place pour surveiller et réagir. Il s'agit d'un outil extrêmement précieux et recommandé périodiquement. Et s'il existait un moyen d'automatiser à la fois l'activité de l'équipe rouge et la réponse de l'équipe bleue ?

Organisations could continuously test the effectiveness of their modelling and controls and take an approach of constant improvement. And this is exactly what vendors like AttackIQ are now making possible. Through their technology, customers can both validate the effectiveness of a specific security control and, perhaps more interestingly, can determine how their defenses line up against sophisticated adversaries.

At Illumio, we are excited to partner with AttackIQ in the launch of their Preactive Security Exchange program because we understand that customers need to be able to measure and see value in their Zero Trust investments. The highly configurable, automated, repeatable testing platform that AttackIQ provides makes measuring the efficacy of Zero Trust controls an achievable goal for organisations. And as we know, once you can measure something you can start improving it.

Check out our Zero Trust security page to learn more about how Illumio can help you on your Zero Trust journey.