/
Segmentación de confianza cero

¿Se puede medir la eficacia de la microsegmentación?

“Si no puedes medirlo, no puedes controlarlo”. — Señor Kelvin

Las mediciones cuantitativas informan todo lo que hacemos — ya sea comparar diferentes productos, determinar el éxito de un proyecto o rastrear el desarrollo de un equipo deportivo. Somos capaces de hacer comparaciones reales, objetivas, “igual a igual”, en lugar de apoyarnos únicamente en opiniones subjetivas. Sin embargo, cuando se trata de muchos de los productos de seguridad para la empresa, parece que estamos contentos con los productos que nos harán más conforme, mejorar nuestra seguridad, o proporcionar un mejor manera de detectar amenazas: más, mejor/mejores son todas cualitativo medidas — este es un enfoque curioso. Sin embargo, cada vez más, estamos viendo que el comprador experto de Security ahora está pidiendo los números para respaldar las reclamaciones de los proveedores. Están haciendo preguntas como, “¿cómo se medirá el éxito de ese producto o solución?”

La efusión de artículos en los medios de seguridad en los últimos años deja claro que microsegmentación ahora es un control de seguridad esencial para las organizaciones, “lo que está en juego”, por así decir, en cualquier estrategia de seguridad. En particular, el papel central de la microsegmentación en cualquier estrategia Zero Trust no es sorprendente dado que limita el movimiento lateral e impide la capacidad de un atacante para navegar por la red para encontrar el objetivo deseado. La microsegmentación es el ejemplo por excelencia de “privilegio mínimo” -sólo permitir que se comuniquen cosas que deberían permitirse comunicarse, nada más, nada menos. No obstante, quienes implementan (o contemplan implementar) la microsegmentación históricamente han carecido de medidas cuantitativas que demuestren su eficacia.

En Illumio sentimos que era importante demostrar cuantitativamente los beneficios de la microsegmentación, cómo cambia el impacto a medida que aumenta el tamaño del entorno, y una metodología de pruebas clara que podría ser repetida por cualquier organización que desee validar estos resultados en sus propios entornos. Para lograr esto, nos asociamos con especialistas del equipo rojo Obispo Fox llevar a cabo y documentar un primer plan de la industria sobre cómo medir la eficacia de la microsegmentación basado en los componentes principales del marco MITRE ATT&CK®.

El equipo de Bishop Fox tuvo la tarea de encontrar un par de activos de 'joya de la corona' en un entorno de prueba durante una serie de rondas. Piense en esto como un ejercicio de 'capturar la bandera', pero sin un equipo azul que defienda activamente el medio ambiente. En total, se realizaron cuatro rondas de pruebas incluyendo la prueba de control. Con cada prueba, la política de microsegmentación se volvió cada vez más estricta:

  • Prueba de control — No se han implementado controles de microsegmentación (esencialmente un red plana)
  • Caso de uso 1 — Separación ambiental (es decir, la microsegmentación es bastante básica y garantiza que las cargas de trabajo en diferentes entornos (producción, pruebas, desarrollo) solo puedan conectarse a otras cargas de trabajo en el mismo entorno)
  • Caso de uso 2 — Application Ringfencing (es decir, el siguiente nivel de granularidad de microsegmentación en el que solo las cargas de trabajo asociadas a una aplicación específica (por ejemplo, aplicación de procesamiento de pagos o aplicación de HRM) en un entorno específico pueden comunicarse entre sí. Piense en esto como realmente apretar la soguita)
  • Caso de uso 3 — Segmentación de niveles (es decir, esta es una de las formas más específicas de política de microsegmentación y garantiza que solo las cargas de trabajo asociadas a un nivel específico (por ejemplo, nivel Web o nivel de base de datos, etc.) en una aplicación específica en un entorno específico puedan comunicarse entre sí)

El equipo de Bishop Fox no tenía conocimiento previo del entorno de prueba, y todo el entorno fue destruido y reconstruido para cada prueba. Lo que significa que en cada ronda de pruebas, nada se llevó a cabo, en particular la topología y las direcciones IP. Todas las políticas de microsegmentación se definieron utilizando una lista blanca o un enfoque de denegación predeterminado, es decir, las reglas se escribieron para permitir explícitamente el tráfico autorizado, por lo que cualquier cosa sin una regla estaba, por defecto, no permitida y, por lo tanto, bloqueada. El conjunto inicial de pruebas se realizó en un entorno de 100 cargas de trabajo (considerablemente más pequeño que el tamaño de implementación de la mayoría de las organizaciones de tamaño mediano), con repeticiones del Caso de Uso 2 a 500 y 1000 cargas de trabajo.

Aquí estaban las observaciones para pruebas que involucran 100 cargas de trabajo:

BishopFoxTable1

Estos datos muestran que incluso una política de separación ambiental muy simple (Caso de Uso 1) proporciona al menos un 300% de aumento en la dificultad para que un atacante pueda enumerar y alcanzar su objetivo. Y el esfuerzo incremental relativamente bajo de la aplicación de políticas de Application Ringfencing (Caso de uso 2) da como resultado un aumento del 450% en la dificultad para un atacante. Pero no es solo el aumento obvio en el esfuerzo lo que hace que la microsegmentación sea un control de seguridad convincente. Si prestas atención al aumento en el número de Conexiones Bloqueadas verás que el potencial de detección de un atacante que intenta conexiones no autorizadas hace que el esfuerzo incremental sea una inversión atractiva para el defensor. Esto también se muestra en el volumen de tráfico generado a través de las pruebas Control, Caso de Uso 1 y Caso de Uso 2; a menos que se intente durante un período de tiempo muy largo, estos picos en los volúmenes de conexión deberían desencadenar alertas en el SOC, lo que conducirá a investigaciones.

También es interesante la caída en las conexiones intentadas en el Caso de Uso 3 (en el que se aplicó la segmentación por niveles). Esta caída se explica por el hecho de que el ambiente estaba tan fuertemente segmentado (piense en Boa Constrictor a la hora del almuerzo) que el adversario se vio obligado a cambiar de táctica (vs. Caso de Uso 2). Sin embargo, este cambio en la táctica no dio como resultado en última instancia una victoria más eficiente para el atacante. De hecho, a pesar del esfuerzo comparativamente bajo para el defensor por apretar la política de microsegmentación, el tiempo total para el éxito aún aumentó y estuvo 950% por encima del experimento de control, lo que indica que tel aumento de las restricciones en la política de seguridad obliga a un cambio material en el enfoque del atacante, en comparación con casos de uso anteriores, e incluso este cambio los dejó significativamente peor.

El titular de esta primera ronda de pruebas — ¿no te gustaría que el trabajo del adversario sea entre 3x — 10x más difícil? Si es así, implementar la microsegmentación.

Estos son los datos para el Caso de Uso 2 (Application Ringfencing) en 100, 500 y 1000 cargas de trabajo:

BishopFox2

La clave aquí es que a medida que aumenta el tamaño del patrimonio protegido, el trabajo del atacante se vuelve considerablemente más difícil (entre 4.5x y 22x), incluso sin cambios en la naturaleza de la política de segmentación implementada : una fuerte justificación para mirar más allá de una implementación de segmentación altamente táctica, y dar el salto para extender este conjunto de capacidades en todo el estado, ya que los beneficios son reales.

Entonces, ¿qué significa todo esto? Aquí están mis pensamientos finales:

  1. La microsegmentación debe adoptar un enfoque de lista blanca; solo al tomar este enfoque puede medir verdaderamente la mejora en la postura de seguridad, ya que elimina todo menos las vías aprobadas.
  2. La microsegmentación, incluso con una política de separación ambiental muy simple, hace que sea al menos 3 veces más difícil para un atacante lograr su resultado, por su propia justificación sólida para invertir en esta capacidad.
  3. El aumento del tamaño de implementación de la microsegmentación sin necesidad de cambiar la definición de la política da como resultado beneficios generales de seguridad por sí mismos: las organizaciones deben aspirar a extender la segmentación a todo su patrimonio, no solo a un pequeño subconjunto táctico.
  4. El aumento de la sofisticación de una política de microsegmentación obliga a un cambio de enfoque por parte del atacante, a menudo a un costo de tiempo y aumentando las posibilidades de detección.

Para obtener más información, descargue una copia del reportar hoy y únete a nosotros para un seminario web en vivo el martes 16 de junio.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Minimizar su superficie de ataque durante fusiones y adquisiciones y desinversiones
Segmentación de confianza cero

Minimizar su superficie de ataque durante fusiones y adquisiciones y desinversiones

Illumino Adaptive Security Platform (ASP) desempeña un papel fundamental en el proceso de fusiones y adquisiciones y desinversiones.

Seguridad basada en agentes frente a seguridad sin agente: ¿Cuál es el mejor enfoque?
Segmentación de confianza cero

Seguridad basada en agentes frente a seguridad sin agente: ¿Cuál es el mejor enfoque?

Descubra los pros y los contras de la seguridad basada en agentes frente a la seguridad sin agente, dónde implementar agentes en su sistema operativo y por qué el enfoque a prueba de fallas de Illumio garantiza una protección continua.

Construyendo el programa de confianza cero de Siemens: 3 cosas que Thomas Mueller-Lynch aprendió
Segmentación de confianza cero

Construyendo el programa de confianza cero de Siemens: 3 cosas que Thomas Mueller-Lynch aprendió

Obtenga recomendaciones de expertos para crear un programa de confianza cero del líder de confianza cero y director global de identidades digitales de Siemens.

No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?