Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

Você pode medir a eficácia da microsegmentação?

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
June 4, 2020
23 leitura mínima

“Se você não pode medi-lo, não pode controlá-lo.” — Senhor Kelvin

As medições quantitativas informam tudo o que fazemos, seja comparando produtos diferentes, determinando o sucesso de um projeto ou acompanhando o desenvolvimento de uma equipe esportiva. Somos capazes de fazer comparações reais, objetivas, do tipo “igual para igual”, em vez de confiar apenas em opiniões subjetivas. No entanto, quando se trata de muitos dos produtos de segurança para empresas, parece que estamos satisfeitos com os produtos que nos tornarão mais compatível, aprimorar nossa segurança, ou forneça um melhor forma de detectar ameaças — mais/melhorar/melhores são todas qualitativa medidas — essa é uma abordagem curiosa. Cada vez mais, porém, vemos que o experiente comprador de segurança agora está solicitando os números para respaldar as reivindicações do fornecedor. Eles estão fazendo perguntas como: “como o sucesso desse produto ou solução será medido?”

A enxurrada de artigos na mídia de segurança nos últimos anos deixa claro que microsegmentação agora é um controle de segurança essencial para as organizações, “riscos estáveis”, se você quiser, em qualquer estratégia de segurança. Em particular, o papel central da microssegmentação em qualquer estratégia Zero Trust não surpreende, pois limita o movimento lateral e impede a capacidade do atacante de navegar na rede para encontrar o alvo pretendido. A microsegmentação é o exemplo por excelência de “privilégio mínimo” — permitir que se comuniquem apenas coisas que deveriam poder se comunicar, nada mais, nada menos. No entanto, aqueles que implementam (ou contemplam implementar) a microssegmentação historicamente carecem de medidas quantitativas para demonstrar sua eficácia.

Na Illumio, sentimos que era importante demonstrar quantitativamente os benefícios da microssegmentação, como o impacto muda à medida que o tamanho do ambiente aumenta e uma metodologia de teste clara que poderia ser repetida por qualquer organização que deseje validar esses resultados em seus próprios ambientes. Para conseguir isso, fizemos uma parceria com especialistas da equipe vermelha Bispo Fox conduzir e documentar um plano pioneiro do setor sobre como medir a eficácia da microssegmentação com base nos principais componentes da estrutura MITRE ATT&CK®.

A equipe da Bishop Fox foi encarregada de encontrar um par de ativos de “joia da coroa” em um ambiente de teste durante uma série de rodadas. Pense nisso como um exercício de “capturar a bandeira”, mas sem uma equipe azul para defender ativamente o meio ambiente. No total, houve quatro rodadas de testes, incluindo o teste de controle. A cada teste, a política de microssegmentação ficou cada vez mais rígida:

  • Teste de controle — Nenhum controle de microsegmentação em vigor (essencialmente um rede plana)
  • Caso de uso 1 — Separação ambiental (ou seja, a microssegmentação é bastante granular e garante que cargas de trabalho em diferentes ambientes — produção, teste, desenvolvimento — só possam se conectar a outras cargas de trabalho no mesmo ambiente)
  • Caso de uso 2 — Ringfencing de aplicativos (ou seja, o próximo nível de granularidade de microssegmentação, em que somente cargas de trabalho associadas a um aplicativo específico (por exemplo, aplicativo de processamento de pagamentos ou aplicativo de HRM) em um ambiente específico podem se comunicar entre si. Pense nisso como realmente apertar o laço)
  • Caso de uso 3 — Segmentação por camadas (ou seja, essa é uma das formas mais refinadas de política de microssegmentação e garante que somente cargas de trabalho associadas a uma camada específica (por exemplo, camada da Web ou camada de banco de dados, etc.) em um aplicativo específico em um ambiente específico possam se comunicar entre si)

A equipe da Bishop Fox não tinha conhecimento prévio do ambiente de teste, e todo o ambiente foi destruído e reconstruído para cada teste. O que significa que, em cada rodada de testes, nada foi transferido, em particular a topologia e os endereços IP, foi ignorado. Todas as políticas de microssegmentação foram definidas usando uma lista branca ou uma abordagem de negação padrão — ou seja, as regras foram escritas para permitir explicitamente o tráfego autorizado, portanto, qualquer coisa sem uma regra era, por padrão, não permitida e, portanto, bloqueada. O conjunto inicial de testes foi feito em um ambiente de 100 cargas de trabalho (consideravelmente menor do que o tamanho da implantação da maioria das organizações de médio porte), com repetições do Caso de Uso 2 em 500 e 1.000 cargas de trabalho.

Aqui estão as observações de testes envolvendo 100 cargas de trabalho:

BishopFoxTable1

Esses dados mostram que mesmo uma política de separação ambiental muito simples (Caso de Uso 1) fornece um aumento de pelo menos 300% na dificuldade de um atacante enumerar e atingir seu alvo. E o esforço incremental relativamente baixo de a aplicação de políticas de Application Ringfencing (caso de uso 2) resulta em um aumento de 450% na dificuldade de um atacante. Mas não é apenas o aumento óbvio no esforço que torna a microssegmentação um controle de segurança atraente. Se você prestar atenção ao aumento no número de conexões bloqueadas, verá que a possibilidade de detecção de um invasor tentando conexões não autorizadas torna o esforço incremental um investimento atraente para o defensor. Isso também é mostrado no volume de tráfego gerado nos testes de Controle, Caso de Uso 1 e Caso de Uso 2 — a menos que sejam tentados por um longo período de tempo, esses picos nos volumes de conexão devem acionar alertas no SOC, levando a investigações.

Também é interessante a queda nas conexões tentadas no Caso de Uso 3 (no qual a segmentação por camadas foi aplicada). Essa queda é explicada pelo fato de o ambiente estar tão segmentado (pense em uma jibóia na hora do almoço) que o adversário foi forçado a mudar de tática (versus o caso de uso 2). No entanto, essa mudança de tática não resultou em uma vitória mais eficiente para o atacante. De fato, apesar do esforço comparativamente baixo do defensor em reforçar a política de microssegmentação, o tempo total de sucesso ainda aumentou e ficou 950% acima do experimento de controle, o que indica que to aumento das restrições na política de segurança força uma mudança material na abordagem do atacante, em comparação com casos de uso anteriores, e até mesmo essa mudança os deixou em situação significativamente pior.

A manchete desta primeira rodada de testes é: você não gostaria de tornar o trabalho do adversário entre 3 e 10 vezes mais difícil? Em caso afirmativo, implemente a microssegmentação.

Aqui estão os dados do Caso de Uso 2 (Application Ringfencing) em 100, 500 e 1000 cargas de trabalho:

BishopFox2

A principal lição aqui é que à medida que o tamanho da propriedade protegida aumenta, o trabalho do atacante fica consideravelmente mais difícil (entre 4,5 e 22 vezes), mesmo sem mudanças na natureza da política de segmentação implementada — uma forte justificativa para ir além de uma implantação altamente tática de segmentação e dar o salto para estender esse conjunto de capacidades a toda a propriedade, pois os benefícios são reais.

Então, o que tudo isso significa? Aqui estão minhas considerações finais:

  1. A microssegmentação precisa adotar uma abordagem de lista branca — somente adotando essa abordagem você pode realmente medir a melhoria na postura de segurança, pois está eliminando tudo, exceto os caminhos aprovados.
  2. A microssegmentação, mesmo com uma política de separação ambiental muito simples, torna pelo menos três vezes mais difícil para um atacante alcançar seu resultado — por sua própria e forte justificativa para investir nessa capacidade.
  3. Aumentar o tamanho da implantação da microssegmentação sem precisar alterar a definição da política resulta em benefícios gerais de segurança por si só — as organizações devem ter como objetivo estender a segmentação a toda a sua propriedade, não apenas a um pequeno subconjunto tático.
  4. O aumento da sofisticação de uma política de microssegmentação força uma mudança na abordagem do atacante, geralmente com um custo de tempo e aumentando as chances de detecção.

Para obter mais informações, baixe uma cópia do notícia hoje e junte-se a nós para um webinar ao vivo na terça-feira, 16 de junho.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O que você precisa para distribuir uma política de confiança zero
Segmentação Zero Trust

O que você precisa para distribuir uma política de confiança zero

Nesta série, discutimos a descoberta de políticas e a criação de políticas até agora. Depois de implementar uma política, você precisa calculá-la, transformá-la em regras e distribuí-la aos pontos de fiscalização.

Leia mais
Movimento lateral: como resolver o maior risco da nuvem
Segmentação Zero Trust

Movimento lateral: como resolver o maior risco da nuvem

Saiba por que é tão fácil para os invasores se moverem lateralmente na nuvem, os quatro erros de segurança na nuvem que tornam tudo ainda mais fácil para eles e como a microssegmentação é a chave para impedir o movimento lateral.

Leia mais
Operacionalizando a Ordem Executiva de Segurança Cibernética da Administração Biden com Zero Trust
Segmentação Zero Trust

Operacionalizando a Ordem Executiva de Segurança Cibernética da Administração Biden com Zero Trust

Pronto para operacionalizar a ordem executiva de segurança cibernética do presidente Biden com a Zero Trust? Leia este blog para descobrir como.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais