Cómo la confianza cero permite a las organizaciones abordar cada paso en la cadena de cibermuerte

En esta entrada de blog analizamos la Cyber Kill Chain, cómo los modelos de seguridad que asumen confianza solo ayudan a mitigar los Pasos 1 a 6 de la cadena —es decir, todo hasta el punto de compromiso inicial— y cómo un Cero Confianza el enfoque de seguridad aumenta significativamente los niveles de controles existentes que se centran en el compromiso previo, al tiempo que proporciona capacidades clave que son necesarias para soportar la detección y respuesta posteriores al compromiso. Como resultado, es probable que las organizaciones que adopten Zero Trust estén mejor preparadas para detectar y contener intrusos maliciosos.

Todos entendemos el valor de la defensa en profundidad para evitar que los ataques se apoderen. Por supuesto, esta es la razón por la que hemos invertido en firewalls de próxima generación (NGFW) para proteger el perímetro, seguridad de punto final para dispositivos de empleados y herramientas de seguridad de correo electrónico y web para proteger la productividad, entre las muchas otras inversiones en seguridad que hacemos.

El valor de estas herramientas preventivas y de defensa en profundidad se captura en la Cyber Kill Chain, destinada a identificar y prevenir intrusiones cibernéticas. Formalizado por Lockheed Martin en 2011, el Cadena Cyber Kill ha definido, durante la última década, cómo las organizaciones mapean sus controles de seguridad y, como resultado directo, determinan cómo miden su resiliencia cibernética. Estos son los siete pasos:

1. Reconocimiento: Un atacante recopila información sobre el objetivo antes del ataque.
2. Armaonización: El atacante cibernético crea su ataque, como un documento infectado de Microsoft Office y correo electrónico de phishing o una pieza de malware.
3. Entrega: Transmisión del ataque, como el envío de un correo electrónico de phishing real
4. Explotación: La 'detonación' real del ataque, como un exploit que se ejecuta en un sistema.
5. Instalación: El atacante instala malware en la víctima (no todos los ataques requieren malware).
6. Comando y Control: El sistema ahora comprometido “llama a casa” a un sistema de Comando y Control (C&C) para que el ciberatacante obtenga el control.
7. Acciones sobre Objetivos: El atacante ahora tiene acceso y puede pasar a sus acciones para cumplir con sus objetivos.

Retrocediendo sobre los viejos adagios de “una cadena es tan fuerte como su eslabón más débil” y “la defensa es la mejor forma de ataque”, la Cyber Kill Chain pone una prima en frustrar a los atacantes que progresan de izquierda a derecha, o dicho de otra manera, antes de que obtengan una infección inicial o acceso dentro de un entorno. La expectativa de que si puedes detener a un actor malintencionado en cualquier punto antes del paso 7 (Acciones sobre objetivos), hayas frustrado con éxito un ataque.

El resultado neto de esto ha sido un fuerte (y quizás excesivo) énfasis en los controles preventivos hasta hace poco (firewalls, antivirus, puertas de enlace web) que no asumir una violación; más bien asumen que todos los ataques pueden ser detectados y bloqueados. Sin embargo, todas estas herramientas sufren de la misma limitación: están, en su mejor momento, previniendo lo 'malo conocido'. Dependen de los siguientes supuestos:

1. El edificio que alberga mi oficina y fuerza laboral es de confianza.
2. El perímetro de la red es duro y de confianza.
3. La red dentro de este perímetro de confianza es de confianza.
4. Los dispositivos conectados a esta red de confianza son de confianza.
5. Las aplicaciones que se ejecutan en estos dispositivos de confianza son de confianza.
6. Los usuarios que acceden a estas aplicaciones de confianza son de confianza.
7. Los atacantes son predecibles y repiten los mismos comportamientos.

El objetivo de los controles preventivos es mantener alejados a los malos actores y con ello mantener el nivel de confianza implícito. Pero, ¿qué sucede si un atacante se transforma de “malo conocido” a “malo desconocido”? ¿Cómo se comparan entonces estas líneas de defensa? Ataques modernos y sofisticados (desde la violación de Target hasta Tolva de nubes y todo lo que se encuentra en el medio y más allá) están diseñados para explotar específicamente este falso sentido de confianza para avanzar rápidamente a los Pasos 6 y 7 en Kill Chain, evitando los controles que buscan evitar los Pasos 1 a 5. Y estos controles preventivos siempre están jugando a ponerse al día.

Antes de continuar, es importante enfatizar que las medidas preventivas son una parte importante y esencial de cualquier organización ciberdefensas, pero ya no son el ser todo y terminar todo. De hecho, son solo el comienzo. Y eso se debe a que los supuestos en los que se construyeron ya no se mantienen, especialmente en 2020 cuando la pandemia mundial ha obligado a una revolución completa en la forma en que trabajan las organizaciones de cada sector, dando como resultado una nueva normalidad:

1. Mi empresa ya no se encuentra en ubicaciones específicas.
2. Existe un perímetro pero no lo abarca todo.
3. La red a menudo no es exclusiva de mi organización.
4. Los dispositivos que no controlo existen en mi red.
5. A menudo, las aplicaciones que utiliza el negocio no están alojadas, no son propiedad ni administradas por mí.
6. Los usuarios están en todas partes.
7. Los atacantes son impredecibles, y siempre buscan nuevas vías de ataque.

Con estas nuevas suposiciones que muestran que poco se puede confiar absolutamente, existimos en una situación en la que la probabilidad de prevenir una brecha es baja, por lo que nuestro enfoque debe cambiar a la detección, respuesta y contención. Y aquí es donde traemos Zero Trust.

Es importante dividir Zero Trust en 3 áreas clave:

1. Controles
2. Monitoreo
3. Automatización y orquestación

Controles Zero Trust

Los controles Zero Trust pueden alinearse nominalmente con los controles preventivos que se originaron a partir del modelo perimetral de antaño, pero el punto de partida es diferente:

• El modelo perimetral asume que se puede confiar en todo lo que hay en el interior y, por lo tanto, pone un énfasis sobreponderado en la fuerza del perímetro: es un enfoque único para todos.
• Con Zero Trust, esta suposición de confianza implícita simplemente no existe, por lo que nos vemos obligados a ser más inteligentes:
• ¿Qué es lo que más necesita protección?
• ¿Quién necesita acceder a él?
• ¿De dónde?
• ¿Cuándo?
• ¿Por qué?
• ¿Cuáles son las interdependencias?

Estos son los puntos de datos que utilizamos para construir una política de confianza cero.

Si consideramos esto desde la perspectiva de un atacante, podemos ver que se está poniendo una barra significativamente más alta en su capacidad de violar con éxito —ya no pueden asumir que simplemente obtener acceso a la red sea suficiente, ya sea para realizar movimiento lateral, escalar privilegios o llamar de vuelta a casa. Como hemos visto desde el Informe del Obispo Fox sobre la eficacia de la microsegmentación, los controles Zero Trust como este obligan a los atacantes a cambiar de comportamiento y aprovechar otras técnicas, todo lo cual aumenta las posibilidades de detección de los defensores. Un enfoque de confianza cero para los controles ayuda a reducir la superficie de ataque disponible para el exploit. El modelo de control Zero Trust es una actualización de la defensa en profundidad, con capas que protegen datos vitales, lo que dificulta que los atacantes, incluso si evaden las tecnologías preventivas, se muevan libremente.

Marco MITRE ATT&CK

Antes de hablar de Monitoreo y Automatización/Orquestación en el contexto de Zero Trust, vamos a pasar al Marco MITRE ATT&CK. El punto de partida del marco es un supuesto de violación, y un énfasis en entender cómo se comportará un atacante entre ese momento de compromiso inicial y la conclusión exitosa de la misión. Esta comprensión nos ayuda a definir capacidades de detección que monitorean eventos específicos que, ya sea de forma aislada o cuando están correlacionados, nos proporcionan un indicador de comportamiento anormal que puede justificar una mayor investigación.

Monitoreo de confianza cero

El marco MITRE ATT&CK otorga una importancia a la visibilidad: eventos de alta fidelidad de tantas fuentes de datos como sea posible (red, firewall, proxy, AV, EDR, IAM, OS, Cloud Service Provider, Application, DB, IoT, etc.) para permitir que los equipos defensivos modelaran una gama de comportamientos que asocian con ataques conocidos, y continúen evolucionando estos a medida que se obtiene mayor conocimiento sobre los adversarios y sus métodos. El enfoque Zero Trust pone una prima a la visibilidad que los enfoques anteriores no tenían, de hecho un lema de Zero Trust podría ser “no puedes proteger lo que no puedes ver”. Así, comenzando por mejorar la visibilidad como parte de un programa Zero Trust y combinado con el uso del marco MITRE ATT&CK para modelar el comportamiento adversarial al que pueda estar sujeta la organización, se puede tener valor en el extremo defensivo de la Cyber Kill Chain utilizando capacidades que ya existen.

El excelente Podcast de la BBC”13 Minutos a la Luna” cubre la infame expedición Apolo 13 en su segunda serie y el diseño de la nave espacial Apolo y todo el equipo operativo que apoya sirve como una buena analogía para resaltar la importancia de la detección y respuesta, a pesar de los mejores intentos de prevención. La nave espacial diseñada para la misión Apollo tenía una increíble cantidad de resiliencia y seguridad contra fallas integradas en cada componente, con numerosos escenarios de falla probados para garantizar que se pudiera recuperar cualquier resultado posible y esperado. Con el Apolo 13, la pérdida de un solo motor de refuerzo fue compensada por el disparo de los otros 4, sin embargo no había nada en el diseño que pudiera haber evitado el desgaste del aislamiento del cableado lo que desencadenó la explosión que puso en peligro la misión — una vez que esto ocurrió (similar a una brecha), la tripulación y el control de la misión dependían completamente de la telemetría de la nave espacial, las observaciones de los astronautas y los expertos en tierra para detectar el problema, y recuperarlo de él. Este es un gran ejemplo de cómo, con datos de la fidelidad correcta puestos a disposición de las fuentes de datos relevantes junto con la capacidad de analizar eficientemente estos datos, los equipos de operaciones de seguridad están mucho mejor preparados para evaluar los incidentes con mayor precisión, lo que les permite tomar mejores (y más rápidas) decisiones sobre qué evento (o combinación de eventos) necesitan ser investigados más a fondo, y cuáles pueden ignorarse de manera segura.

Automatización Zero Trust

El auge de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) se centra en tomar toda la fase posterior a la detección de un ataque y proporcionar el conjunto de tecnología para pasar de manera eficiente de la Detección a la Respuesta. Para patrones comunes de comportamiento malicioso, toda esta secuencia podría incluso automatizarse para liberar tiempo de los analistas para la investigación de ataques más sofisticados. Las plataformas SOAR, para entregar estas eficiencias, dependen de su capacidad para integrarse con soluciones tecnológicas que proporcionen los datos relevantes o tomen las acciones receptivas necesarias. Esta es la razón por la que la orquestación y la automatización son un pilar esencial (pero a menudo pasado por alto) en Zero Trust. Si bien ser capaz de orquestar, mediante la automatización, una nueva configuración o modificar una configuración existente como parte de un cambio planificado proporciona importantes beneficios operacionales, el beneficio real de seguridad se obtiene cuando las mismas plataformas se pueden orquestar rápida y consistentemente para reaccionar ante un incidente de seguridad.

Así que volviendo a donde empezamos:

• El enfoque perimetral tradicional de seguridad solo aborda parte de la Cyber Kill Chain, y nos deja en gran medida ciegos a las etapas posteriores al compromiso.
• Zero Trust mejora significativamente la prevención al comenzar con una auditoría de lo que se está protegiendo (por ejemplo, datos críticos o una aplicación clave) y asegurando que los controles en torno a esto se construyan con un enfoque adecuadamente menos privilegiado.
• Zero Trust comienza con una posición de “asumir incumplimiento” y da prioridad a las soluciones que proporcionan registros de alta calidad para soportar la detección posterior al compromiso.
• Además, la defensa de que las tecnologías dirigidas a ayudar a los clientes a lograr Zero Trust deben tener una buena orquestación y automatización significa que puedan soportar plataformas SOAR en la respuesta automatizada a incidentes.

De esta manera, adoptar un enfoque de Confianza Cero potencia tanto el enfoque perimetral tradicional que se enfocó en frustrar las primeras 6 etapas de la Cyber Kill Chain, como también arma a las organizaciones con las capacidades para enfocarse en detectar y frustrar a los atacantes en caso de que lleguen a la Etapa 7 e intenten tomar las acciones que se pretenden realizar.

Para obtener más información sobre el enfoque de Illumio hacia Zero Trust, visite: https://www.illumio.com/solutions/zero-trust