/
Segmentação Zero Trust

Como a segmentação Zero Trust interrompe o ransomware 4 vezes mais rápido do que apenas a deteção e a resposta

Está bem documentado que Confiança zero é uma mentalidade e o princípio básico é presumir uma violação. Isso pode parecer assustador, mas, na realidade, significa que você deve presumir que, se sua organização ainda não foi violada, é provável que vai acontecer. As posturas de segurança devem mudar de passivas e de espera para proativas e de caça. Por que isso é mais importante do que nunca?

O a pandemia acelerou a transformação dos negócios, impulsionando a introdução da automação e de cadeias de suprimentos integradas, quebrando a estrutura tradicional de redes e sistemas e criando novos níveis de hiperconectividade. Uma viagem ao hospital agora é uma experiência digital de ponta a ponta. Você pode entrar e sair de uma agência bancária ou de varejo sem interagir com um ser humano.

Essa mudança criou uma substancial novo conjunto de vetores de ataque e oportunidades para cibercriminosos. Adotar a mentalidade de “presumir uma violação”, que impulsiona uma abordagem mais proativa, agora é o único caminho a seguir.

A boa notícia é que existem várias estruturas que podem orientar sua organização nessa abordagem. E o padrão-ouro dos frameworks é o Estrutura de segurança cibernética (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST).

Mas como a implementação de práticas no CSF do NIST pode ajudar sua organização a limitar o impacto de uma violação inevitável?

A Illumio contratou a Bishop Fox, líder em testes ofensivos de segurança e penetração, para medir quantitativamente o desempenho, conduzindo uma série de ataques de ransomware emulados. Neste post, resumiremos os cenários de ataque e os principais resultados. O relatório completo está disponível aqui.

Construindo um modelo mais seguro: identificar, proteger, detectar, responder

As duas primeiras etapas da estrutura CSF do NIST estão bem estabelecidas e óbvias:

Identifique

  1. Determine quais ativos têm maior probabilidade de serem atacados e quais ativos terão o maior impacto se forem comprometidos.
  2. Mapeie os fluxos de dados entre todos os dispositivos, TI e OT.
  1. Determine as vulnerabilidades em cada dispositivo para quantificar a exposição desse dispositivo com base nas conexões mapeadas.

Proteger

  1. Bloqueie todas as portas e protocolos não utilizados e de alto risco.
  2. Implemente a delimitação de ativos e aplicativos e permita o acesso com base no menor privilégio.

Etapa 3 (Detectar) e etapa 4 (Responder) são onde as coisas se tornaram fragmentadas.

Progredimos muito desde a época das assinaturas com o advento do aprendizado de máquina, dos feeds de ameaças e da detecção de anomalias comportamentais. Quando detecção e resposta de terminais (EDR) apareceu pela primeira vez em cena, foi vista como a resposta para todos os ataques a terminais. Como acontece com todas as coisas cibernéticas, os criminosos investiram tempo e recursos na tentativa de evitar esses novos produtos. Atualmente, muitas organizações dependem da detecção e da resposta sem primeiro implementar as etapas 1 e 2.

Até agora, a compreensão da fraqueza potencial dessa abordagem tem sido apócrifa e de boca em boca.

Testando o impacto da segmentação Zero Trust e do EDR contra ransomware

Como parte da emulação do ataque, comparando a implementação de todas as quatro etapas em vez de apenas a detecção e a resposta, a equipe vermelha usou um conjunto bem estabelecido de táticas, técnicas e procedimentos (TTP) do Estruturas MITRE ATT&CK e PRE-ATT&CK para tentar infectar hospedeiros. A equipe azul usou tecnologias de detecção e resposta combinadas com a segmentação Zero Trust da Illumio para medir a eficácia relativa na contenção de um ataque ativo de ransomware.

Cenários de ataque explicados

Os cenários de teste incluíram:

  1. Detecção isolada
  2. Detecção e segmentação Zero Trust para resposta a incidentes
  3. Detecção e segmentação Zero Trust bloqueando proativamente portas conhecidas usadas por ransomware
  4. Detecção e segmentação Zero Trust, implementando proativamente a delimitação completa de aplicativos

Cada teste mediu se o ataque poderia ser interrompido e quanto tempo isso levaria, quantos hosts foram infectados e quantos TTPs foram executados. Os cenários foram conduzidos por dois consultores da Bishop Fox: um atuando como equipe vermelha (atacante) e outro como azul (defendendo).

Resultados do cenário de ataque

/illumio-bishop-fox-ransomware-scenario-emulation-2022-assessment-report

Cenário 1 — Detecção isolada: Este cenário foi desprovido de qualquer Segmentação Zero Trust capacidades e resultaram em sucesso total para a equipe vermelha. Eles conseguiram executar todos os TTPs e infectaram todos os hosts após 2 horas e 28 minutos.

Cenário 2 — Detecção e segmentação Zero Trust para resposta a incidentes: Esse modelo tinha o Illumio implantado, mas inicialmente no modo de visibilidade, alimentando alertas para o sistema SIEM, que também estava coletando dados de eventos do EDR, do Active Directory, do Sysmon etc. Após a detecção de atividade anômala, a equipe azul implantou uma política de contenção. O ataque foi interrompido em 38 minutos.

Cenário 3 — Detecção e segmentação Zero Trust bloqueando proativamente portas conhecidas usadas pelo ransomware: Nesse cenário, as portas comuns que o ransomware usa foram bloqueadas pelo Illumio para reduzir o movimento lateral. O ataque foi interrompido após 24 minutos com apenas 2 hospedeiros comprometidos.

Cenário 4 — Detecção e segmentação Zero Trust implementando proativamente uma delimitação completa de aplicativos: O ring-fencing completo do aplicativo foi implantado, resultando na não disseminação do ransomware, e o ataque foi interrompido em 10 minutos. Esse resultado foi 4 vezes mais rápido do que a implantação reativa.

Testes adicionais mostraram que o Illumio Core foi “especialmente útil” para cobrir pontos cegos de EDR em locais onde o comportamento do invasor não foi detectado adequadamente por alertas de EDR pré-configurados, destacando a importância das tecnologias de detecção e resposta e da Segmentação Zero Trust na criação de uma estratégia de segurança moderna e resiliente para conter o ransomware.

Esses resultados combinados mostram que O EDR deve ser combinado com a segmentação Zero Trust para ser mais eficaz contra ransomware e outros ataques cibernéticos.

Ao adotar a mentalidade Zero Trust de “presumir violação” e”permitir somente acesso com privilégios mínimos”, uma organização que implementa a segmentação Zero Trust com EDR pode melhorar drasticamente sua proteção contra ransomware. Isso pode significar a diferença entre ser capaz de operar durante um ataque cibernético e uma grande falha comercial.

Baixe o relatório completo para obter mais detalhes, Emulação de cenário de ransomware 2022: relatório de avaliação.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Por que a microsegmentação é a resposta aos ataques GenAI
Segmentação Zero Trust

Por que a microsegmentação é a resposta aos ataques GenAI

Saiba por que a microssegmentação é a chave para impedir violações com inteligência artificial e criar resiliência cibernética.

Principais notícias sobre cibersegurança de novembro de 2024
Segmentação Zero Trust

Principais notícias sobre cibersegurança de novembro de 2024

Descubra as principais histórias de cibersegurança de novembro de 2024, incluindo insights de especialistas sobre segurança de infraestrutura crítica, riscos de saúde de terceiros e ataques baseados em identidade.

Perguntas sobre microssegmentação que você não sabe fazer: O que é preciso para envolver sua equipe de aplicativos?
Segmentação Zero Trust

Perguntas sobre microssegmentação que você não sabe fazer: O que é preciso para envolver sua equipe de aplicativos?

Como introduzir a microssegmentação e, ao mesmo tempo, desenvolver um relacionamento duradouro e confiável com proprietários de aplicativos, equipes de DevOps e de nuvem.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?