Prueba continua de la eficacia de sus controles de confianza cero

Cuando escuchamos a los profesionales de la seguridad, los proveedores y sus clientes hablar sobre Cero Confianza en el marco, vemos que se le da mucho amor a cinco de los pilares principales: Dispositivos, Datos, Cargas de Trabajo, Red y Personas, todos 'activos' muy tangibles que necesitan protección y para los cuales existe una amplia variedad de capacidades para ayudar a lograr esta protección.

'Cinturón y frenas' de Zero Trust

Una estrategia holística de confianza cero debe considerar y proporcionar cobertura para cada uno de estos cinco pilares. Pero tu estrategia no está completa, y es posible que ni siquiera despegue, si no tienes una historia sobre Automatización y Orquestación y Visibilidad y Análisis, estas son figurativas (¡y literalmente si miras el diagrama de arriba!) el 'cinturón y braces' que mantienen unidos los 5 pilares Zero Trust. Lamentablemente, a menudo tienden a ser los más descuidados en los viajes de Zero Trust del mundo real.

¿Por qué? La automatización y la visibilidad pueden ser las áreas más costosas y complejas que los proveedores pueden ofrecer en sus ofertas de seguridad y los clientes a menudo carecen de la experiencia para automatizar o analizar adecuadamente.

No puedes segmentar lo que no puedes ver

En Illumio, pensamos en estas dos áreas (Automatización y Visibilidad) como pilares centrales por derecho propio en lugar de una idea tardía. El viaje que tenemos el privilegio de ayudar a nuestros clientes a tomar mientras se dispusieron a lograr sus resultados de microsegmentación comienza con “Visibilidad y análisis”. Construimos un detallado mapa de dependencia de aplicaciones, aprovechando la telemetría de las cargas de trabajo y los metadatos de una CMDB, para proporcionar informes de tráfico procesables a partir de los cuales los clientes pueden comenzar a crear sus políticas de segmentación para establecer microperímetros alrededor de sus aplicaciones. En este caso, la visibilidad no es la guinda. Es el pastel.

Ningún proveedor puede “Confiar Cero” en usted

A través de una apreciación del hecho de que todas las empresas, incluso las aparentemente más simples, son organismos complejos con una pila tecnológica igualmente compleja y diversa, “Automatización y Orquestación” ha sido una parte esencial de nuestro producto desde el principio. Nuestro producto está diseñado para integrado a otros sistemas y se accede mediante programación a través de nuestras API abiertas y documentadas. De hecho, la interfaz de usuario del producto es una máscara encima de nuestras API REST. Iríamos tan lejos como para argumentar que no hay Confianza Cero sin Automatización y Orquestación.

¿Cómo sé si esto funciona?

Nuestro recorrido típico del cliente sigue estos pasos:

1. Obtener telemetría y metadatos para construir un mapa
2. Utilice el mapa para crear una política de microsegmentación
3. Probar la política antes de aplicarla
4. Hacer cumplir la política

Y con el monitoreo implementado en todo momento, sabemos cuándo hay una violación de una política definida, y los usuarios pueden tomar las acciones de remediación necesarias.

Entonces, ¿cuál es el punto de todo esto? Ser capaz de entender cómo funciona un control de confianza cero específico es enormemente valioso (por ejemplo, coincidentes o violaciones de políticas de microsegmentación), pero ¿qué pasa con la efectividad del control en el contexto más amplio de la estrategia general de confianza cero de una organización?

En esta era de”asumir una violación,” si se produce un incidente de seguridad, ¿qué tan rápido puede su organización responder a la wqué, cuándo, quién, cómo y wpor preguntas? Y lo más importante, ¿qué sistemas de su arsenal actual pueden funcionar al unísono para ayudarle a obtener las respuestas de estas preguntas de manera automática y precisa?

MITRE ¿Me tomo un momento para divagar?

Tomemos un lado rápido y hablemos sobre el Marco MITRE ATT&CK por un segundo.

El marco MITRE ATT&CK traza tácticas, técnicas y procedimientos adversarios (TTP) que los malos actores aprovechan para montar un ataque, por ejemplo, un ataque basado en una amenaza persistente avanzada (APT) contra un objetivo. Al utilizar esta información y el conocimiento común compartido del comportamiento de un atacante a medida que aprovecha estos TTP, una organización puede desarrollar estrategias defensivas para limitar (e idealmente prevenir) el impacto negativo de estas actividades maliciosas. Además, el marco comienza desde una posición de Asume Breach y, por lo tanto, gira completamente en torno a la defensa posterior al compromiso: “suponga que se le violará, así que concéntrese en hacer que sea realmente difícil ser pecionado”. Desde la perspectiva de un Equipo Azul, el marco ATT&CK, con su énfasis en tener acceso a la mayor cantidad posible de datos de eventos de fuentes relevantes, informa el proceso mediante el cual estos datos pueden agregarse y correlacionarse para identificar adecuadamente comportamientos maliciosos y, a su vez, impulsar las respuestas necesarias. El propio MITRE Entrada de blog de ATT&CK 101 es un excelente punto de partida para todas las cosas ATT&CK.

Medición de la eficacia de la microsegmentación

Durante el reciente trabajo sobre Prueba de la eficacia de la microsegmentación, especialistas del equipo rojo Obispo Fox comenzó mapeando las partes relevantes del marco MITRE ATT&CK con las técnicas que parecería aprovechar en su intento de 'capturar las banderas'.

Esta identificación de técnicas adversariales les permitió entonces determinar qué tan efectivo es el Illumio. Plataforma de Seguridad Adaptativa estuvo en ayudar a detectar y derrotar estos ataques. MITRE tiene una gran escribir sobre cómo se puede utilizar el marco ATT&CK para encontrar de manera efectiva las amenazas cibernéticas.

Por lo tanto, con un conjunto de herramientas de seguridad que proporciona visibilidad de alta fidelidad, acceso completo a través de su API y ofrece un marco de modelado como MITRE ATT&CK, las organizaciones pueden crear herramientas que pueden monitorear los controles Zero Trust, analizar telemetría y responder automáticamente para tomar las medidas adecuadas. Pero, ¿cómo monitorea la efectividad de estas herramientas?

Hacer que las pruebas continuas sean parte de su ADN de Zero Trust

Una opción es, por supuesto, contratar a un especialista independiente del equipo rojo para que desempeñe el papel de atacante, mientras que el equipo azul de la organización aprovecha sus análisis cuidadosamente construidos y controles de seguridad para monitorear y responder. Esto es muy valioso y se recomienda periódicamente. ¿Y si hubiera una manera de que tanto la actividad del equipo rojo como la respuesta del equipo azul pudieran automatizarse? Las organizaciones podrían probar continuamente la eficacia de sus modelos y controles y adoptar un enfoque de mejora constante. Y esto es exactamente lo que les gusta a los vendedores Ataque IQ ahora están haciendo posible. A través de su tecnología, los clientes pueden validar la efectividad de un control de seguridad específico y, quizás lo que sea más interesante, determinar cómo sus defensas se alinean contra adversarios sofisticados.

En Illumio, estamos entusiasmados de asociarnos con AttackIQ en el lanzamiento de su Intercambio de seguridad preactivo programa porque entendemos que los clientes necesitan poder medir y ver el valor en sus inversiones Zero Trust. La plataforma de pruebas altamente configurable, automatizada y repetible que proporciona AttackiQ hace que la medición de la eficacia de los controles Zero Trust sea un objetivo alcanzable para las organizaciones. Y como sabemos, una vez que puedes medir algo puedes empezar a mejorarlo.

Echa un vistazo a nuestro Seguridad Zero Trust página para obtener más información sobre cómo Illumio puede ayudarle en su viaje de Zero Trust.