/
Segmentação Zero Trust

Como o Zero Trust permite que as organizações abordem cada etapa da cadeia de mortes cibernéticas

Nesta postagem do blog, analisamos a Cyber Kill Chain, como os modelos de segurança que pressupõem confiança só ajudam a mitigar as etapas 1 a 6 da cadeia — ou seja, tudo até o ponto de comprometimento inicial — e como um Confiança zero A abordagem de segurança aumenta significativamente os controles existentes que se concentram no pré-comprometimento, ao mesmo tempo em que fornece os principais recursos necessários para apoiar a detecção e a resposta após o comprometimento. Como resultado, as organizações que adotam o Zero Trust provavelmente estarão mais bem preparadas para detectar e conter intrusos mal-intencionados.

Todos nós entendemos o valor da defesa profunda para evitar que os ataques ocorram. Claro, é por isso que investimos em firewalls de próxima geração (NGFWs) para proteger o perímetro, segurança de terminais para dispositivos de funcionários e ferramentas de segurança de e-mail e web para proteger a produtividade, entre os muitos outros investimentos em segurança que fazemos.

O valor dessas ferramentas preventivas e de defesa aprofundada é capturado na Cyber Kill Chain, destinada a identificar e prevenir intrusões cibernéticas. Formalizado pela Lockheed Martin em 2011, o Cyber Kill Chain definiu, na última década, como as organizações mapeiam seus controles de segurança e, como resultado direto, determinam como medem sua resiliência cibernética. Aqui estão as sete etapas:

  1. Reconhecimento: Um atacante coleta informações sobre o alvo antes do ataque.
  2. Arma: o atacante cibernético cria seu ataque, como um documento infectado do Microsoft Office e um e-mail de phishing ou um malware.
  3. Entrega: transmissão do ataque, como o envio de um e-mail de phishing real
  4. Exploração: A “detonação” real do ataque, como uma exploração em execução em um sistema.
  5. Instalação: O atacante instala malware na vítima (nem todos os ataques exigem malware).
  6. Comando e Controle: O sistema agora comprometido “chama de lar” um sistema de Comando e Controle (C&C) para que o atacante cibernético obtenha o controle.
  7. Ações sobre objetivos: O atacante agora tem acesso e pode prosseguir com suas ações para atingir seus objetivos.

Recorrendo aos velhos ditados de “uma cadeia é tão forte quanto seu elo mais fraco” e “a defesa é a melhor forma de ataque”, a Cyber Kill Chain prioriza impedir que os atacantes progridam da esquerda para a direita, ou dito de outra forma, antes que eles obtenham uma infecção inicial ou acessem um ambiente. A expectativa de que, se você conseguir deter um agente mal-intencionado a qualquer momento antes da etapa 7 (Ações sobre objetivos), você tenha frustrado um ataque com sucesso.

O resultado final disso tem sido uma forte (e talvez exagerada) ênfase em controles preventivos até recentemente — firewalls, antivírus, gateways da web — que não funcionam presumir violação; em vez disso, eles presumem que todos os ataques podem ser detectados e bloqueados. No entanto, todas essas ferramentas sofrem da mesma limitação: elas estão, na melhor das hipóteses, impedindo o “mal conhecido”. Eles dependem das seguintes suposições:

  1. O prédio que abriga meu escritório e minha força de trabalho é confiável.
  2. O perímetro da rede é rígido e confiável.
  3. A rede dentro desse perímetro confiável é confiável.
  4. Os dispositivos conectados a essa rede confiável são confiáveis.
  5. Os aplicativos executados nesses dispositivos confiáveis são confiáveis.
  6. Os usuários que acessam esses aplicativos confiáveis são confiáveis.
  7. Os atacantes são previsíveis e repetem os mesmos comportamentos.

O objetivo dos controles preventivos é manter os malfeitores afastados e, assim, manter o nível de confiança implícito. Mas o que acontece se um atacante passar de “mal conhecido” para “mal desconhecido” — como essas linhas de defesa se comparam então? Ataques modernos e sofisticados (desde a violação do Target até Cloud Hopper e tudo mais) foram projetados para explorar especificamente essa falsa sensação de confiança e avançar rapidamente para as etapas 6 e 7 da Kill Chain, ignorando os controles que buscam evitar as etapas 1 a 5. E esses controles preventivos estão sempre se atualizando.

Antes de prosseguirmos, é importante enfatizar que as medidas preventivas são uma parte importante e essencial da defesas cibernéticas, mas eles não são mais o princípio e o fim de tudo. Na verdade, eles são apenas o começo. E isso porque as suposições sobre as quais elas foram construídas não se sustentam mais, especialmente em 2020, quando a pandemia global forçou uma revolução completa na forma como as organizações de todos os setores funcionam, resultando em um novo normal:

  1. Minha empresa não está mais localizada em locais específicos.
  2. Existe um perímetro, mas não é abrangente.
  3. A rede geralmente não é exclusiva da minha organização.
  4. Dispositivos que eu não controlo existem na minha rede.
  5. Muitas vezes, os aplicativos que a empresa está usando não são hospedados, não são de minha propriedade e não são gerenciados por mim.
  6. Os usuários estão em toda parte.
  7. Os atacantes são imprevisíveis e estão sempre procurando novas formas de ataque.

Com essas novas suposições mostrando que pouco é absolutamente confiável, existimos em uma situação em que a probabilidade de evitar uma violação é baixa e, portanto, nosso foco deve mudar para detecção, resposta e contenção. E é aqui que trazemos o Zero Trust.

É importante dividir o Zero Trust em três áreas principais:

  1. Controles
  2. Monitoramento
  3. Automação e orquestração

Controles Zero Trust

Os controles Zero Trust podem se alinhar nominalmente aos controles preventivos originados do modelo perimetral de outrora, mas o ponto de partida é diferente:

  • O modelo perimetral pressupõe que tudo no interior é confiável e, portanto, coloca uma ênfase exagerada na força do perímetro — é uma abordagem única para todos.
  • Com o Zero Trust, essa suposição de confiança implícita simplesmente não existe — então somos forçados a ser mais inteligentes:
  • O que mais precisa de proteção?
  • Quem precisa acessá-lo?
  • De onde?
  • Quando?
  • Por quê?
  • Quais são as interdependências?

Esses são os pontos de dados que usamos para criar uma política de Zero Trust.

Se considerarmos isso da perspectiva de um invasor, podemos ver que uma barreira significativamente maior está sendo imposta à sua capacidade de violar com sucesso — ele não pode mais presumir que simplesmente obter acesso à rede é suficiente, seja para realizar movimentos laterais, aumentar privilégios ou ligar de volta para casa. Como vimos no Relatório do bispo Fox sobre a eficácia da microssegmentação, controles Zero Trust, como esse, forçam os atacantes a mudarem o comportamento e a utilizarem outras técnicas, o que aumenta a chance de detecção dos defensores. Uma abordagem de controle Zero Trust ajuda a reduzir a superfície de ataque disponível para exploração. O modelo de controle Zero Trust é uma atualização da defesa em profundidade, com camadas que protegem dados vitais, dificultando que os invasores se movam livremente, mesmo que evitem as tecnologias preventivas.

Estrutura MITRE ATT&CK

Antes de falarmos sobre monitoramento e automação/orquestração no contexto do Zero Trust, vamos seguir para o Estrutura MITRE ATT&CK. O ponto de partida da estrutura é a suposição de violação e a ênfase na compreensão de como um atacante se comportará entre o momento do comprometimento inicial e a conclusão bem-sucedida da missão. Esse entendimento nos ajuda a definir capacidades de detecção que monitoram eventos específicos que, isoladamente ou quando correlacionados, nos fornecem um indicador de comportamento anormal que pode justificar uma investigação mais aprofundada.

Monitoramento Zero Trust

A estrutura MITRE ATT&CK valoriza a visibilidade — eventos de alta fidelidade do maior número possível de fontes de dados (rede, firewall, proxy, AV, EDR, IAM, OS, provedor de serviços em nuvem, aplicativo, banco de dados, IoT etc.) para permitir que equipes defensivas modelem uma variedade de comportamentos que associam a ataques conhecidos e continuem a desenvolvê-los à medida que mais conhecimentos sobre adversários e seus métodos são adquiridos. A abordagem Zero Trust valoriza a visibilidade que as abordagens anteriores não davam. Na verdade, um lema da Zero Trust poderia ser “você não pode proteger o que não pode ver”. Assim, começando com a melhoria da visibilidade como parte de um programa Zero Trust e combinado com o uso da estrutura MITRE ATT&CK para modelar o comportamento adverso ao qual a organização pode estar sujeita, é possível obter valor na defensiva da Cyber Kill Chain usando recursos que já existem.

O excelente podcast da BBC”13 minutos até a lua” aborda a infame expedição Apollo 13 em sua segunda série e o design da espaçonave Apollo e de toda a equipe operacional que o apoia serve como uma boa analogia para destacar a importância da detecção e da resposta, apesar das melhores tentativas de prevenção. A espaçonave projetada para a missão Apollo tinha quantidades incríveis de resiliência e proteção contra falhas embutidas em cada componente, com vários cenários de falha testados para garantir que qualquer resultado possível e esperado pudesse ser recuperado. Com a Apollo 13, a perda de um único motor auxiliar foi compensada pelo disparo dos outros 4, no entanto, não havia nada no projeto que pudesse ter evitado o desgaste do isolamento da fiação que desencadeou a explosão que comprometeu a missão — uma vez que isso ocorreu (semelhante a uma violação), a tripulação e o controle da missão dependiam inteiramente da telemetria da espaçonave, das observações dos astronautas e dos especialistas em o solo para detectar o problema, isolá-lo e se recuperar dele. Esse é um ótimo exemplo de como, com dados com a fidelidade correta disponibilizados pelas fontes de dados relevantes, juntamente com a capacidade de analisar esses dados com eficiência, as equipes de operações de segurança estão muito mais preparadas para fazer a triagem de incidentes com mais precisão, permitindo que tomem decisões melhores (e mais rápidas) sobre qual evento (ou combinação de eventos) precisa ser investigado mais detalhadamente e quais podem ser ignorados com segurança.

Automação Zero Trust

A ascensão das plataformas de Orquestração, Automação e Resposta de Segurança (SOAR) se concentra em aproveitar toda a fase pós-detecção de um ataque e fornecer a tecnologia pronta para passar eficientemente da detecção à resposta. Para padrões comuns de comportamento malicioso, toda essa sequência pode até ser automatizada para liberar tempo do analista para a investigação de ataques mais sofisticados. As plataformas SOAR, para oferecer essas eficiências, dependem de sua capacidade de se integrar a soluções de tecnologia que fornecem os dados relevantes ou tomam as ações responsivas necessárias. É por isso que a orquestração e a automação são um pilar essencial (mas muitas vezes esquecido) do Zero Trust. Embora a capacidade de orquestrar, por meio da automação, uma nova configuração ou modificar uma configuração existente como parte de uma mudança planejada ofereça benefícios operacionais significativos, o benefício real de segurança é obtido quando as mesmas plataformas podem ser orquestradas de forma rápida e consistente para reagir a um incidente de segurança.

Então, voltando ao ponto de partida:

  • A abordagem tradicional de segurança perimetral aborda apenas parte da Cyber Kill Chain e nos deixa praticamente cegos quanto aos estágios pós-comprometimento.
  • O Zero Trust melhora significativamente a prevenção, começando com uma auditoria do que está sendo protegido (por exemplo, dados críticos ou um aplicativo importante) e garantindo que os controles em torno disso sejam criados com uma abordagem adequadamente menos privilegiada.
  • O Zero Trust começa com a posição de “supor uma violação” e valoriza as soluções que fornecem registros de alta qualidade para apoiar a detecção após o comprometimento.
  • Além disso, a defesa de que as tecnologias destinadas a ajudar os clientes a alcançar o Zero Trust devem ter uma boa orquestração e automação significa que elas podem oferecer suporte às plataformas SOAR na resposta automatizada a incidentes.

Assim, a adoção de uma abordagem Zero Trust aprimora a abordagem tradicional de perímetro, que se concentrava em frustrar os primeiros 6 estágios da Cyber Kill Chain, e também capacita as organizações a se concentrarem em detectar e frustrar os atacantes caso eles atinjam o Estágio 7 e tentem realizar as ações pretendidas.

Para obter mais informações sobre a abordagem da Illumio ao Zero Trust, visite: https://www.illumio.com/solutions/zero-trust

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Cinco práticas que você precisa adotar agora para a maturidade da segurança na nuvem
Segmentação Zero Trust

Cinco práticas que você precisa adotar agora para a maturidade da segurança na nuvem

Dicas para alcançar um modelo de maturidade de segurança na nuvem, a fim de apoiar e defender um modelo de maturidade nativo da nuvem.

Por que a ZTNA deixa lacunas de segurança — e como a ZTS as preenche
Segmentação Zero Trust

Por que a ZTNA deixa lacunas de segurança — e como a ZTS as preenche

Embora o ZTNA tenha provado ter muitas vantagens, não é uma solução à prova de balas para sua rede. Combinar ZTNA e microssegmentação é mais eficaz.

Sean Connelly compartilha como o Zero Trust modernizou a cibersegurança federal
Segmentação Zero Trust

Sean Connelly compartilha como o Zero Trust modernizou a cibersegurança federal

Obtenha informações sobre as mudanças transformadoras na segurança cibernética federal, a evolução dos perímetros de rede e conselhos práticos para qualquer pessoa que embarque em uma jornada de Zero Trust.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?