Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware

La carrera por innovar entre ciberseguridad y ransomware a menudo se siente como un juego interminable de gato y ratón. El trabajo constante de las organizaciones para mantenerse mejor protegidas a menudo se ha encontrado con frustrantemente poco terreno ganado.

¿Por qué es esto? Es una pregunta de larga data que Paul Dant, Director Senior de Estrategia de Ciberseguridad de Illumio, y Trevin Edgeworth, Director de Práctica del Equipo Rojo del Obispo Fox, se dispuso a responder en el seminario web de este mes, Mejorando sus defensas contra ransomware a través de la segmentación de confianza cero.

Descargue una copia de Bishop Fox Emulación de escenario de ransomware 2022: Informe de evaluación para ver cómo la Segmentación de Confianza Cero hace que los atacantes sean ineficaces en menos de 10 minutos.

Cómo el ransomware se mantiene por delante de los esfuerzos de ciberseguridad

Dant y Edgeworth explicaron exactamente por qué ransomware siempre parece estar un paso por delante de los mejores esfuerzos de la industria de la ciberseguridad.

“Creo que hemos mejorado, pero al mismo tiempo también lo han hecho los adversarios”, dijo Edgeworth, un veterano de décadas de ciberseguridad ofensiva. “Los actores de amenazas siguen evolucionando al igual que nosotros. Tiene sofisticados tipos de ataques dirigidos por humanos que están súper personalizados para cada entorno”.

Otro tema que Edgeworth destacó fueron las mejores prácticas básicas de seguridad: “Vince Lombardi, el legendario entrenador de fútbol, una vez sostuvo una pelota de fútbol y le dijo a sus jugadores: 'Esto es un futbol'. Lombardi motivó a sus jugadores instándolos a apegarse a lo básico. Esos conceptos básicos aburridos son los que conducen a una ciberseguridad exitosa”.

Por último, hay movimiento lateral que es la forma en que el ransomware y las brechas se propagan a través de una red.

“Lo que lo hace demasiado fácil [para el ransomware] es esa capacidad de moverse lateralmente, incluso si implica un solo sistema comprometido en una red en particular”, dijo Dant. Con demasiada frecuencia, los hackers aprovechan un solo punto débil en un superficie de ataque como puerta de entrada para realizar movimientos laterales y buscar en una empresa sus activos más críticos. Esto permite que los hackers causen el mayor dolor y urgencia.

Diseñando el entorno perfecto de pruebas de Segmentación de Confianza Cero

Entonces, ¿cómo se preparan mejor las organizaciones para esta embestida de herramientas y oportunidades a disposición de los hackers?

El obispo Fox construyó intrincadamente una metodología para probar el Plataforma de Segmentación Illumio Zero Trust contra las complejidades de los ataques del mundo real.

Edgeworth describió una especie de entorno de pruebas de fuego vivo en el que Bishop Fox desempeñaba el papel de ambos bandos, los atacantes y los defensores.

“Como Bishop Fox jugaba tanto el lado rojo como el azul, queríamos diseñar la metodología de una manera que redujera el potencial de sesgo”, dijo Edgeworth. “Queríamos crear un escenario lo más realista posible y ejecutar ese escenario en una variedad de configuraciones defensivas diferentes. Esto nos permitiría comparar y contrastar cómo le fue a cada uno de esos entornos frente a un ataque similar”.

La metodología pedía cuatro configuraciones defensivas distintas, cada una más robusta que la anterior:

1. Un escenario de control intacto sin capacidades de Illumio
2. Un modelo de detección y respuesta con el modo monitor solamente
3. Una protección estática preconfigurada con una política de segmentación básica orientada a cepas de ransomware conocidas y comunes
4. Cercado de anillo de aplicación completo, incluido Illumio personalizado Cero Confianza Política de segmentación con sus propias reglas

Cada configuración se probó con el mismo patrón de ataque, lo que permitió recopilar datos completos para medir la efectividad de cada sistema. Como hacker ético en el pasado, Dant notó la precisión de la prueba que se mapeaba increíblemente bien con las expectativas de lo que los atacantes lanzarían a las organizaciones.

Interpretación de los datos de emulación de Bishop Fox

Después de probar cada fase, los datos resultantes dejaron las cosas claras como el cristal.

Con cada uno de los ataques emulados de Bishop Fox, hubo menos hosts comprometidos, tiempos más cortos para detectar y contener, y menos TTPs exitosos ejecutados por los atacantes.

Con Núcleo de Illumio completamente desplegado en la fase 4, el ataque se apagó en unos asombrosos 10 minutos.

“No hay mejor manera de demostrarlo que simulando realmente la amenaza en su entorno y diseccionando esos resultados”, señaló Edgeworth.

El rigor del entorno de pruebas de Bishop Fox legitimó aún más la Segmentación de Confianza Cero y la Plataforma de Segmentación Illumio Zero Trust.

“Puedo ver muy claramente cómo la Segmentación de Confianza Cero es un control tan válido en previniendo el movimiento lateral”, dijo Dant. “No solo estamos logrando un nuevo nivel de visibilidad, sino que también estamos permitiendo que una organización se sienta segura de que si un atacante es capaz de comprometer algún punto de la red, ZTS haría muy difícil que se lleve a cabo ese ataque”.

Contáctanos para programar una consulta y demostración con nuestros expertos de Illumio.