Können Sie die Wirksamkeit der Mikrosegmentierung messen?

„Wenn du es nicht messen kannst, kannst du es nicht kontrollieren.“ — Baron Kelvin

Quantitative Messungen fließen in alles ein, was wir tun — ob es darum geht, verschiedene Produkte zu vergleichen, den Erfolg eines Projekts zu ermitteln oder die Entwicklung einer Sportmannschaft zu verfolgen. Wir sind in der Lage, echte, objektive Vergleiche „wie bei Gleichem“ anzustellen, anstatt uns ausschließlich auf subjektive Meinungen zu verlassen. Doch wenn es um viele Sicherheitsprodukte für Unternehmen geht, scheinen wir mit Produkten zufrieden zu sein, die uns überzeugen mehr konform, verbessern unsere Sicherheit, oder bieten Sie eine besser Art und Weise, Bedrohungen zu erkennen — mehr/verbessern/besser sind alle Qualitativ Maßnahmen — das ist ein merkwürdiger Ansatz. Zunehmend stellen wir jedoch fest, dass der versierte Käufer von Wertpapieren jetzt nach Zahlen fragt, um die Behauptungen des Verkäufers zu untermauern. Sie stellen Fragen wie: „Wie wird der Erfolg dieses Produkts oder dieser Lösung gemessen?“

Die Flut von Artikeln in den Sicherheitsmedien in den letzten Jahren macht deutlich, dass Mikrosegmentierung ist heute eine unverzichtbare Sicherheitskontrolle für Unternehmen, sozusagen „fester Bestandteil“ jeder Sicherheitsstrategie. Insbesondere die zentrale Rolle der Mikrosegmentierung in jeder Zero-Trust-Strategie ist nicht überraschend, da sie laterale Bewegungen einschränkt und es einem Angreifer erschwert, sich im Netzwerk zurechtzufinden, um das gewünschte Ziel zu finden. Mikrosegmentierung ist das Paradebeispiel für „geringste Privilegien“ — nur Dinge dürfen kommunizieren, die kommunizieren dürfen, nicht mehr und nicht weniger. Allerdings fehlten denjenigen, die Mikrosegmentierung eingeführt haben (oder erwägen, sie einzuführen), in der Vergangenheit quantitative Messgrößen, um ihre Wirksamkeit nachzuweisen.

Bei Illumio hielten wir es für wichtig, die Vorteile der Mikrosegmentierung quantitativ nachzuweisen, zu zeigen, wie sich die Auswirkungen mit zunehmender Größe der Umgebung ändern, und eine klare Testmethode zu entwickeln, die von jeder Organisation, die diese Ergebnisse in ihrer eigenen Umgebung validieren möchte, wiederholt werden kann. Um dies zu erreichen, haben wir uns mit Spezialisten des roten Teams zusammengetan Bischof Fox Erstellung und Dokumentation eines branchenweit ersten Entwurfs zur Messung der Wirksamkeit der Mikrosegmentierung auf der Grundlage der Hauptkomponenten des MITRE ATT&CK® -Frameworks.

Das Bishop Fox-Team wurde beauftragt, in einer Testumgebung über eine Reihe von Runden ein Paar „Kronjuwelen“ -Vermögenswerte zu finden. Stellen Sie sich das wie eine Übung vor, bei der die Flagge erobert wird, allerdings ohne blaues Team, das aktiv die Umwelt schützt. Insgesamt gab es vier Testrunden, einschließlich des Kontrolltests. Mit jedem Test wurde die Mikrosegmentierungsrichtlinie immer strenger:

• Kontrolltest — Keine Mikrosegmentierungskontrollen vorhanden (im Wesentlichen a flaches Netzwerk)
• Anwendungsfall 1 — Trennung der Umgebung (d. h. die Mikrosegmentierung ist ziemlich grobkörnig und stellt sicher, dass Workloads in verschiedenen Umgebungen — Produktion, Test, Entwicklung — nur mit anderen Workloads in derselben Umgebung verbunden werden können)
• Anwendungsfall 2 — Anwendungs-Ringfencing (d. h. die nächste Stufe der Mikrosegmentierungsgranularität, bei der nur Workloads, die einer bestimmten Anwendung (z. B. Zahlungsabwicklungsanwendung oder HRM-Anwendung) in einer bestimmten Umgebung zugeordnet sind, miteinander kommunizieren können. Stell dir vor, das würde die Schlinge wirklich enger ziehen.)
• Anwendungsfall 3 — Tiersegmentierung (d. h. dies ist eine der feinkörnigsten Formen der Mikrosegmentierungsrichtlinie und stellt sicher, dass nur Workloads, die einer bestimmten Ebene (z. B. Web-Ebene oder DB-Ebene usw.) in einer bestimmten Anwendung in einer bestimmten Umgebung zugeordnet sind, miteinander kommunizieren können)

Das Bishop Fox-Team hatte keine Vorkenntnisse über die Testumgebung, und die gesamte Umgebung wurde zerstört und für jeden Test neu aufgebaut. Das bedeutet, dass in jeder Testrunde nichts übernommen wurde, insbesondere Topologie und IP-Adressen wurden weggeblasen. Alle Mikrosegmentierungsrichtlinien wurden anhand einer Whitelist- oder Default-Deny-Methode definiert. Das heißt, Regeln wurden so geschrieben, dass autorisierter Datenverkehr explizit zugelassen wurde, sodass alles ohne Regel standardmäßig nicht erlaubt und daher blockiert wurde. Die ersten Tests wurden in einer Umgebung mit 100 Workloads durchgeführt (deutlich kleiner als die Bereitstellungsgröße der meisten mittelgroßen Unternehmen), wobei Use Case 2 bei 500 und 1000 Workloads wiederholt wurde.

Hier waren die Beobachtungen für Tests mit 100 Workloads:

Diese Daten zeigen, dass selbst eine sehr einfache Richtlinie zur Trennung von Umgebungen (Anwendungsfall 1) den Schwierigkeitsgrad für einen Angreifer, sein Ziel aufzuzählen und zu erreichen, um mindestens 300% erhöht. Und der relativ geringe inkrementelle Aufwand von Die Anwendung von Anwendungs-Ringfencing-Richtlinien (Anwendungsfall 2) führt zu einem um 450% höheren Schwierigkeitsgrad für einen Angreifer. Aber es ist nicht nur der offensichtliche Anstieg des Aufwands, der die Mikrosegmentierung zu einer überzeugenden Sicherheitskontrolle macht. Wenn Sie auf die Zunahme der Anzahl blockierter Verbindungen achten, werden Sie feststellen, dass das Potenzial, einen Angreifer zu erkennen, der versucht, unbefugte Verbindungen herzustellen, den zusätzlichen Aufwand für den Verteidiger zu einer attraktiven Investition macht. Dies zeigt sich auch im Volumen des Datenverkehrs, der bei den Tests Control, Use Case 1 und Use Case 2 generiert wird. Sofern nicht über einen sehr langen Zeitraum versucht wird, sollten diese Spitzen im Verbindungsvolumen Warnmeldungen im SOC auslösen, die zu Untersuchungen führen.

Interessant ist auch der Rückgang der Verbindungen, die in Anwendungsfall 3 versucht wurden (in dem die Ebenensegmentierung angewendet wurde). Dieser Rückgang erklärt sich aus der Tatsache, dass die Umgebung so stark segmentiert war (denken Sie an Boa Constrictor zur Mittagszeit), dass der Gegner gezwungen war, seine Taktik zu ändern (im Gegensatz zu Anwendungsfall 2). Diese Änderung der Taktik führte jedoch letztlich nicht zu einem effizienteren Sieg für den Angreifer. Tatsächlich stieg die Gesamtzeit bis zum Erfolg trotz des vergleichsweise geringen Aufwands für den Verteidiger, die Mikrosegmentierungspolitik zu verschärfen, immer noch an und lag 950% über dem Kontrollexperiment, was darauf hindeutet, dass tDie Zunahme der Einschränkungen in der Sicherheitspolitik erzwingt eine wesentliche Änderung der Vorgehensweise des Angreifers., im Vergleich zu früheren Anwendungsfällen, und selbst durch diese Änderung ging es ihnen deutlich schlechter.

Die Überschrift dieser ersten Testrunde: Würden Sie den Job des Widersachers nicht zwischen 3 und 10 Mal schwieriger machen? Wenn ja, implementieren Sie die Mikrosegmentierung.

Hier sind die Daten für Anwendungsfall 2 (Application Ringfencing) bei 100, 500 und 1000 Workloads:

Das Wichtigste dabei ist, dass je größer der geschützte Bestand wird, desto schwieriger wird die Arbeit des Angreifers (zwischen dem 4,5-Fachen und dem 22-Fachen), auch wenn die Art der implementierten Segmentierungsrichtlinie nicht geändert wird — eine überzeugende Rechtfertigung dafür, über eine rein taktische Segmentierung hinauszuschauen und den Sprung zu wagen, um diese Fähigkeiten auf das gesamte Unternehmen auszudehnen, da die Vorteile real sind.

Also, was bedeutet das alles — hier sind meine letzten Gedanken:

1. Bei der Mikrosegmentierung muss ein Whitelist-Ansatz verfolgt werden. Nur mit diesem Ansatz können Sie die Verbesserung der Sicherheitslage wirklich messen, da Sie alles außer zugelassenen Pfaden eliminieren.
2. Die Mikrosegmentierung macht es selbst mit einer sehr einfachen Richtlinie zur Trennung der Umgebung für einen Angreifer mindestens dreimal schwieriger, sein Ziel zu erreichen — was an sich schon eine starke Rechtfertigung dafür ist, in diese Fähigkeit zu investieren.
3. Wenn Sie den Umfang der Mikrosegmentierung erhöhen, ohne die Richtliniendefinition ändern zu müssen, ergeben sich von selbst allgemeine Sicherheitsvorteile. Unternehmen sollten darauf abzielen, die Segmentierung auf ihren gesamten Bestand auszudehnen, nicht nur auf eine kleine taktische Teilmenge.
4. Die zunehmende Raffinesse einer Mikrosegmentierungsrichtlinie zwingt den Angreifer zu einer Änderung der Herangehensweise, was oft Zeit kostet und die Erkennungswahrscheinlichkeit erhöht.

Für weitere Informationen laden Sie eine Kopie des melden heute und begleite uns zu einem Live-Webinar am Dienstag, 16. Juni.