Testando continuamente a eficácia de seus controles Zero Trust

Quando ouvimos profissionais de segurança, fornecedores e seus clientes falarem sobre a estrutura Zero Trust , vemos muita ênfase em cinco pilares principais: Dispositivos, Dados, Cargas de Trabalho, Rede e Pessoas – todos 'ativos' muito tangíveis que precisam ser protegidos e para os quais existe uma ampla variedade de recursos para ajudar a alcançar essa proteção.

O 'cinto e suspensórios' da Zero Trust

Uma estratégia holística de Zero Trust deve considerar e fornecer cobertura para cada um desses cinco pilares. Mas sua estratégia não está completa e talvez nem saia do papel, se você não tiver uma história sobre Automation & Orchestration and Visibility & Analytics — elas são figurativas (e literalmente, se você observar o diagrama acima!) o “cinto e braçadeiras” que unem os 5 pilares do Zero Trust. Infelizmente, eles geralmente tendem a ser os mais negligenciados nas viagens do Zero Trust no mundo real.

Por quê? A automação e a visibilidade podem ser as áreas mais caras e complexas para os fornecedores fornecerem suas ofertas de segurança, e os clientes geralmente não têm a experiência necessária para automatizar ou analisar adequadamente.

Você não pode segmentar o que não pode ver

Na Illumio, consideramos essas duas áreas (Automação e Visibilidade) como pilares fundamentais por si só, e não como uma mera formalidade. A jornada que temos o privilégio de ajudar nossos clientes a trilhar em direção aos seus objetivos de microsegmentação começa com "Visibilidade e Análise". Criamos um mapa detalhado de dependências de aplicativos, aproveitando a telemetria das cargas de trabalho e os metadados de um CMDB, para fornecer relatórios de tráfego acionáveis a partir dos quais os clientes podem começar a desenvolver suas políticas de segmentação para estabelecer microperímetros em torno de seus aplicativos. Neste caso, a visibilidade não é a cereja do bolo. É o bolo.

Nenhum fornecedor pode “Zero Trust "” para você

Compreendendo que todas as empresas, mesmo as aparentemente mais simples, são organismos complexos com uma infraestrutura tecnológica igualmente complexa e diversificada, a "Automação e Orquestração" tornou-se um elemento essencial e indispensável do nosso produto desde o início. Nosso produto foi projetado para ser integrado a outros sistemas e acessado programaticamente por meio de nossas APIs abertas e documentadas. Na verdade, a interface do usuário do produto é uma camada sobreposta às nossas APIs REST. Chegamos ao ponto de argumentar que não existe Zero Trust sem Automação e Orquestração.

Como posso saber se essas coisas funcionam?

Nossa jornada típica do cliente segue estas etapas:

1. Obtenha telemetria e metadados para criar um mapa
2. Use o mapa para criar uma política de microssegmentação
3. Teste a política antes de aplicar
4. Imponha a política

E com o monitoramento em vigor por toda parte, sabemos quando há uma violação de uma política definida e os usuários podem tomar as medidas corretivas necessárias.

Então, qual é o objetivo de tudo isso? Ser capaz de entender como um controle específico de Zero Trust funciona é extremamente valioso (por exemplo, correspondências/violações de políticas de microssegmentação), mas e quanto à eficácia do controle no contexto mais amplo da estratégia geral de Zero Trust de uma organização?

Nesta era de "presumir violação de segurança ", caso ocorra um incidente de segurança, com que rapidez sua organização consegue responder às perguntas: oquê, quando, quem, como e porquê ? E, mais importante ainda, quais sistemas em seu arsenal atual podem trabalhar em conjunto para ajudá-lo a obter as respostas para essas perguntas de forma automática e precisa?

MITRE Eu paro um momento para divagar?

Vamos fazer um breve parêntese e falar um pouco sobre o framework MITRE ATT&CK .

A estrutura MITRE ATT & CK mapeia táticas, técnicas e procedimentos adversários (TTPs) que os malfeitores usam para montar um ataque - por exemplo, um ataque baseado em ameaça persistente avançada (APT) a um alvo.

Usando essas informações e o conhecimento comum compartilhado sobre o comportamento de um invasor ao aproveitar esses TTPs, uma organização pode desenvolver estratégias defensivas para limitar (e, idealmente, evitar) o impacto negativo dessas atividades maliciosas. Além disso, a estrutura começa com uma posição de Assume Breach e, portanto, gira inteiramente em torno da defesa pós-compromisso — “suponha que você será violado, então concentre-se em tornar realmente difícil ser invadido”.

Do ponto de vista de uma equipe de segurança (Blue Team), a estrutura ATT&CK, com sua ênfase no acesso ao máximo de dados de eventos possível provenientes de fontes relevantes, orienta o processo pelo qual esses dados podem ser agregados e correlacionados para identificar adequadamente comportamentos maliciosos e, consequentemente, direcionar as respostas necessárias. A própria publicação do blog da MITRE, ATT&CK 101, é um excelente ponto de partida para tudo relacionado ao ATT&CK.

Medindo a eficácia da microssegmentação

Durante o recente trabalho de teste da eficácia da microsegmentação, os especialistas em segurança da Bishop Fox começaram mapeando as partes relevantes da estrutura MITRE ATT&CK para as técnicas que pretendiam utilizar em sua tentativa de "capturar as bandeiras".

A identificação das técnicas adversárias permitiu-lhes determinar a eficácia da Plataforma de Segurança Adaptativa da Illumio na detecção e neutralização desses ataques. A MITRE tem um excelente artigo sobre como a estrutura ATT&CK pode ser usada para encontrar ameaças cibernéticas de forma eficaz.

Portanto, com um conjunto de ferramentas de segurança que fornece visibilidade de alta fidelidade, acesso total por meio de sua API e oferece uma estrutura de modelagem como o MITRE ATT & CK, as organizações podem criar ferramentas que podem monitorar os controles Zero Trust, analisar a telemetria e responder automaticamente para tomar as medidas apropriadas. Mas como você monitora a eficácia dessas ferramentas?

Tornando os testes contínuos parte do seu DNA Zero Trust

Uma opção é, obviamente, contratar um especialista independente da equipe vermelha para desempenhar o papel de um atacante, enquanto a equipe azul da organização aproveita seus controles analíticos e de segurança cuidadosamente construídos para monitorar e responder. Isso é extremamente valioso e recomendado periodicamente. E se houvesse uma maneira de automatizar tanto a atividade da equipe vermelha quanto a resposta da equipe azul?

As organizações poderiam testar continuamente a eficácia de seus modelos e controles e adotar uma abordagem de melhoria constante. E é exatamente isso que fornecedores como a AttackIQ estão tornando possível. Por meio de sua tecnologia, os clientes podem validar a eficácia de um controle de segurança específico e, talvez ainda mais interessante, determinar como suas defesas se comparam a adversários sofisticados.

Na Illumio, estamos entusiasmados com a parceria com a AttackIQ no lançamento do programa Preactive Security Exchange, pois entendemos que os clientes precisam ser capazes de mensurar e visualizar o valor de seus investimentos em Zero Trust. A plataforma de testes altamente configurável, automatizada e repetível que a AttackIQ oferece torna a medição da eficácia dos controles de Zero Trust uma meta alcançável para as organizações. E como sabemos, uma vez que você consegue medir algo, você pode começar a melhorá-lo.

Confira nossa página sobre segurança Zero Trust para saber mais sobre como a Illumio pode ajudar você em sua jornada Zero Trust.