.png)
Testando continuamente a eficácia de seus controles Zero Trust
Quando ouvimos profissionais de segurança, fornecedores e seus clientes falarem sobre o Confiança zero Em nossa estrutura, vemos muito amor dado a cinco dos principais pilares: dispositivos, dados, cargas de trabalho, rede e pessoas — todos “ativos” muito tangíveis que precisam ser protegidos e para os quais existe uma grande variedade de recursos para ajudar a alcançar essa proteção.
O 'cinto e suspensórios' da Zero Trust
Uma estratégia holística de Zero Trust deve considerar e fornecer cobertura para cada um desses cinco pilares. Mas sua estratégia não está completa e pode nem mesmo decolar, se você não tiver uma história sobre automação e orquestração e visibilidade e análise — elas são figurativas (e literalmente, se você observar o diagrama acima!) o “cinto e braçadeiras” que unem os 5 pilares do Zero Trust. Infelizmente, eles geralmente tendem a ser os mais negligenciados nas viagens do Zero Trust no mundo real.
Por quê? A automação e a visibilidade podem ser as áreas mais caras e complexas para os fornecedores fornecerem suas ofertas de segurança, e os clientes geralmente não têm a experiência necessária para automatizar ou analisar adequadamente.
Você não pode segmentar o que não pode ver
Na Illumio, pensamos nessas duas áreas (automação e visibilidade) como pilares centrais por si só, em vez de uma reflexão tardia. A jornada que temos o privilégio de ajudar nossos clientes ao se prepararem para alcançar seus resultados de microssegmentação começa com “Visibilidade e análise”. Nós construímos um detalhado mapa de dependência de aplicativos, aproveitando a telemetria de cargas de trabalho e metadados de um CMDB para fornecer relatórios de tráfego acionáveis a partir dos quais os clientes podem começar a criar suas políticas de segmentação para estabelecer microperímetros em torno de seus aplicativos. Nesse caso, a visibilidade não é a cereja do bolo. É o bolo.
Nenhum fornecedor pode “Zero Trust-ify” em você
Ao apreciar o fato de que todas as empresas, mesmo as aparentemente mais simples, são organismos complexos com uma pilha de tecnologia igualmente complexa e diversificada, “Automação e orquestração” têm sido uma parte essencial de nosso produto desde o início. Nosso produto foi projetado para ser integrado em outros sistemas e acessados programaticamente por meio de nossas APIs abertas e documentadas. Na verdade, a interface do usuário do produto é uma capa sobre nossas APIs REST. Chegaríamos ao ponto de argumentar que não há confiança zero sem automação e orquestração.
Como posso saber se essas coisas funcionam?
Nossa jornada típica do cliente segue estas etapas:
- Obtenha telemetria e metadados para criar um mapa
- Use o mapa para criar uma política de microssegmentação
- Teste a política antes de aplicar
- Imponha a política
E com o monitoramento em vigor por toda parte, sabemos quando há uma violação de uma política definida e os usuários podem tomar as medidas corretivas necessárias.
Então, qual é o objetivo de tudo isso? Ser capaz de entender como um controle específico de Zero Trust funciona é extremamente valioso (por exemplo, correspondências/violações de políticas de microssegmentação), mas e quanto à eficácia do controle no contexto mais amplo da estratégia geral de Zero Trust de uma organização?
Nesta era de”presumir violação”, caso ocorra um incidente de segurança, com que rapidez sua organização pode responder à perguntaO que, quando, quem, como e wpor que perguntas? E o mais importante: quais sistemas em seu arsenal atual podem funcionar em uníssono para ajudá-lo a obter as respostas a essas perguntas de forma automática e precisa?
MITRE Eu paro um momento para divagar?
Vamos dar uma olhada rápida e falar sobre o Estrutura MITRE ATT&CK por um segundo.
A estrutura MITRE ATT&CK mapeia táticas, técnicas e procedimentos adversários (TTPs) que os malfeitores usam para montar um ataque - por exemplo, um ataque baseado em ameaça persistente avançada (APT) a um alvo. Usando essas informações e o conhecimento comum compartilhado sobre o comportamento de um invasor ao aproveitar esses TTPs, uma organização pode desenvolver estratégias defensivas para limitar (e, idealmente, evitar) o impacto negativo dessas atividades maliciosas. Além disso, a estrutura começa com uma posição de Assume Breach e, portanto, gira inteiramente em torno da defesa pós-compromisso — “suponha que você será violado, então concentre-se em dificultar a aquisição”. Do ponto de vista da Blue Team, a estrutura da ATT&CK, com ênfase em ter acesso ao máximo possível de dados de eventos de fontes relevantes, informa o processo pelo qual esses dados podem ser agregados e correlacionados para identificar adequadamente comportamentos maliciosos e, por sua vez, gerar as respostas necessárias. Próprio da MITRE Postagem do blog ATT&CK 101 é um excelente ponto de partida para todas as coisas da ATT&CK.
Medindo a eficácia da microssegmentação
Durante o recente trabalho em Testando a eficácia da microssegmentação, especialistas da equipe vermelha Bispo Fox começou mapeando as partes relevantes da estrutura MITRE ATT&CK de acordo com as técnicas que eles procurariam usar em sua tentativa de “capturar as bandeiras”.
Essa identificação de técnicas adversárias permitiu então determinar a eficácia do Illumio. Plataforma de segurança adaptável estava ajudando a detectar e derrotar esses ataques. MITRE tem um ótimo escrever sobre como a estrutura ATT&CK pode ser usada para encontrar ameaças cibernéticas de forma eficaz.
Portanto, com um conjunto de ferramentas de segurança que fornece visibilidade de alta fidelidade, acesso total por meio de sua API e oferece uma estrutura de modelagem como o MITRE ATT&CK, as organizações podem criar ferramentas que podem monitorar os controles Zero Trust, analisar a telemetria e responder automaticamente para tomar as medidas apropriadas. Mas como você monitora a eficácia dessas ferramentas?
Tornando os testes contínuos parte do seu DNA Zero Trust
Uma opção é, obviamente, contratar um especialista independente da equipe vermelha para desempenhar o papel de um atacante, enquanto a equipe azul da organização aproveita seus controles analíticos e de segurança cuidadosamente construídos para monitorar e responder. Isso é extremamente valioso e recomendado periodicamente. E se houvesse uma maneira de automatizar tanto a atividade da equipe vermelha quanto a resposta da equipe azul? As organizações poderiam testar continuamente a eficácia de seus modelos e controles e adotar uma abordagem de melhoria constante. E é exatamente disso que os fornecedores gostam QI de ataque agora estão tornando possível. Por meio de sua tecnologia, os clientes podem validar a eficácia de um controle de segurança específico e, talvez o mais interessante, determinar como suas defesas se alinham contra adversários sofisticados.
Na Illumio, estamos entusiasmados com a parceria com a AttackIQ no lançamento de sua Troca de segurança preativa programa porque entendemos que os clientes precisam ser capazes de medir e ver valor em seus investimentos em Zero Trust. A plataforma de testes altamente configurável, automatizada e repetível que o AttackIQ fornece torna a medição da eficácia dos controles Zero Trust uma meta alcançável para as organizações. E, como sabemos, uma vez que você possa medir algo, você pode começar a melhorá-lo.
Confira nosso Segurança Zero Trust página para saber mais sobre como a Illumio pode ajudá-lo em sua jornada com o Zero Trust.
