Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
11Dezember 2020
23 min. lesen

Wie Zero Trust es Unternehmen ermöglicht, jeden Schritt in der Cyber Kill Chain zu bewältigen

In diesem Blogbeitrag betrachten wir die Cyber Kill Chain, wie Sicherheitsmodelle, die lediglich von Vertrauen ausgehen, bei der Minderung der Schritte 1 bis 6 in der Kette helfen – also alles bis zum Zeitpunkt der ersten Kompromittierung – und wie ein Zero-Trust- Ansatz für die Sicherheit sowohl die bestehenden Kontrollen, die sich auf die Zeit vor der Kompromittierung konzentrieren, deutlich verbessert als auch wichtige Funktionen bereitstellt, die für die Erkennung und Reaktion nach einer Kompromittierung erforderlich sind. Organisationen, die Zero Trust einführen, sind daher voraussichtlich besser darauf vorbereitet, böswillige Eindringlinge zu erkennen und einzudämmen.

Wir alle verstehen den Wert einer mehrschichtigen Verteidigung, um Angriffe daran zu hindern, Fuß zu fassen. Aus diesem Grund haben wir unter anderem in Next-Generation-Firewalls (NGFWs) zum Schutz des Perimeters, in Endpoint-Sicherheit für Mitarbeitergeräte sowie in E-Mail- und Web-Sicherheitstools zum Schutz der Produktivität investiert.

Der Wert dieser präventiven Instrumente und der gestaffelten Verteidigung wird in der Cyber Kill Chain erfasst, die dazu dient, Cyberangriffe zu erkennen und zu verhindern. Die Cyber Kill Chain , die 2011 von Lockheed Martin formalisiert wurde, definiert seit einem Jahrzehnt, wie Unternehmen ihre Sicherheitskontrollen abbilden und damit direkt bestimmen, wie sie ihre Cyberresilienz messen. Hier sind die sieben Schritte:

  1. Aufklärung: Ein Angreifer sammelt vor dem Angriff Informationen über das Ziel.
  2. Bewaffnung: Der Cyberangreifer erstellt seinen Angriff, z. B. ein infiziertes Microsoft Office-Dokument und eine Phishing-E-Mail oder Malware.
  3. Zustellung: Übertragung des Angriffs, wie das Versenden einer tatsächlichen Phishing-E-Mail
  4. Exploitation: Die tatsächliche "Detonation" des Angriffs, z. B. ein Exploit, der auf einem System ausgeführt wird.
  5. Installation: Der Angreifer installiert Malware auf dem Opfer (nicht alle Angriffe erfordern Malware).
  6. Command and Control: Das nun kompromittierte System "ruft ein Command and Control (C&C)-System an, damit der Cyber-Angreifer die Kontrolle erlangen kann.
  7. Aktionen auf Ziele: Der Angreifer hat nun Zugriff und kann mit seinen Aktionen fortfahren, um seine Ziele zu erreichen.

Die Cyber Kill Chain greift auf die alten Sprichwörter "Eine Kette ist nur so stark wie ihr schwächstes Glied" und "Verteidigung ist die beste Form des Angriffs" zurück und legt den Schwerpunkt darauf, Angreifer zu vereiteln, die von links nach rechts oder anders ausgedrückt vordringen, bevor sie eine erste Infektion oder Zugang zu einer Umgebung erhalten. Die Erwartung, dass Sie einen Angriff erfolgreich vereitelt haben, wenn Sie einen böswilligen Akteur zu irgendeinem Zeitpunkt vor Schritt 7 (Aktionen auf Ziele) stoppen können.

Das Endergebnis war bis vor Kurzem eine starke (und vielleicht übertriebene) Betonung von präventiven Kontrollen – Firewalls, Antivirenprogramme, Web-Gateways –, die nicht von einem Sicherheitsverstoß ausgehen, sondern davon, dass alle Angriffe erkannt und blockiert werden können. Doch all diese Instrumente haben dieselbe Einschränkung: Im besten Fall verhindern sie nur das „bekannte Übel“. Sie basieren auf folgenden Annahmen:

  1. Das Gebäude, in dem mein Büro und meine Belegschaft untergebracht sind, ist vertrauenswürdig.
  2. Der Netzwerkperimeter ist hart und vertrauenswürdig.
  3. Das Netzwerk innerhalb dieses vertrauenswürdigen Perimeters ist vertrauenswürdig.
  4. Die Geräte, die mit diesem vertrauenswürdigen Netzwerk verbunden sind, sind vertrauenswürdig.
  5. Die Anwendungen, die auf diesen vertrauenswürdigen Geräten ausgeführt werden, sind vertrauenswürdig.
  6. Die Benutzer, die auf diese vertrauenswürdigen Anwendungen zugreifen, sind vertrauenswürdig.
  7. Angreifer sind berechenbar und wiederholen die gleichen Verhaltensweisen.

Ziel der präventiven Kontrollen ist es, die Übeltäter fernzuhalten und dadurch das implizite Vertrauensniveau aufrechtzuerhalten. Doch was passiert, wenn ein Angreifer sich von einem „bekannten Bösewicht“ zu einem „unbekannten Bösewicht“ wandelt – wie verhalten sich diese Verteidigungslinien dann im Vergleich? Moderne, ausgeklügelte Angriffe (vom Target-Einbruch bis hin zu Cloud Hopper und allem dazwischen und darüber hinaus) sind darauf ausgelegt, dieses falsche Vertrauen gezielt auszunutzen, um zu den Schritten 6 und 7 der Kill Chain vorzustoßen und dabei Kontrollmechanismen zu umgehen, die die Schritte 1 bis 5 verhindern sollen. Und diese Präventivmaßnahmen hinken ständig hinterher.

Bevor wir fortfahren, ist es wichtig zu betonen, dass Präventivmaßnahmen zwar ein wichtiger und wesentlicher Bestandteil der Cyberabwehr jeder Organisation sind, aber nicht mehr das alleinige Mittel darstellen. Tatsächlich sind sie erst der Anfang. Und zwar deshalb, weil die Annahmen, auf denen sie beruhten, nicht mehr zutreffen, insbesondere im Jahr 2020, als die globale Pandemie eine vollständige Revolution in der Arbeitsweise von Organisationen in allen Sektoren erzwungen und zu einer neuen Normalität geführt hat:

  1. Mein Unternehmen befindet sich nicht mehr an bestimmten Standorten.
  2. Es gibt einen Perimeter, aber er ist nicht allumfassend.
  3. Das Netzwerk ist oft nicht exklusiv für meine Organisation.
  4. In meinem Netzwerk sind Geräte vorhanden, die ich nicht kontrolliere.
  5. Oft werden die Anwendungen, die das Unternehmen verwendet, nicht von mir gehostet, besessen und verwaltet.
  6. Benutzer sind überall.
  7. Angreifer sind unberechenbar und immer auf der Suche nach neuen Angriffswegen.

Mit diesen neuen Annahmen, die zeigen, dass man sich auf wenig absolut verlassen kann, befinden wir uns in einer Situation, in der die Wahrscheinlichkeit, eine Sicherheitsverletzung zu verhindern, gering ist – und daher muss sich unser Fokus auf die Erkennung, Reaktion und Eindämmung verlagern. Und hier bringen wir Zero Trust ins Spiel.

Es ist wichtig, Zero Trust in 3 Schlüsselbereiche aufzuteilen:

  1. Steuerung
  2. Überwachung
  3. Automatisierung und Orchestrierung

Zero-Trust-Kontrollen

Zero-Trust-Kontrollen können nominell mit den präventiven Kontrollen übereinstimmen, die aus dem Perimetermodell von einst stammen, aber der Ausgangspunkt ist ein anderer:

  • Das Perimetermodell geht davon aus, dass alles im Inneren vertrauenswürdig ist, und legt daher eine übergewichtete Betonung auf die Stärke des Perimeters – es handelt sich um einen Einheitsansatz.
  • Mit Zero Trust gibt es diese Annahme des impliziten Vertrauens einfach nicht – also sind wir gezwungen, klüger zu sein:
  • Was braucht am meisten Schutz?
  • Wer muss darauf zugreifen?
  • Woher?
  • Wann?
  • Warum?
  • Welche Abhängigkeiten bestehen darin?

Dies sind die Datenpunkte, die wir verwenden, um eine Zero-Trust-Richtlinie zu erstellen.

Betrachtet man dies aus der Perspektive eines Angreifers, so zeigt sich, dass die Anforderungen an seine Fähigkeit, erfolgreich in das Netzwerk einzudringen, deutlich höher sind – er kann nicht mehr davon ausgehen, dass es ausreicht, einfach nur Zugang zum Netzwerk zu erhalten, sei es für eine laterale Bewegung, eine Eskalation der Berechtigungen oder eine Verbindung zum Server. Wie wir aus dem Bericht von Bishop Fox über die Wirksamkeit der Mikrosegmentierung erfahren haben, zwingen Zero-Trust-Kontrollen wie diese Angreifer dazu, ihr Verhalten zu ändern und andere Techniken einzusetzen, was allesamt die Entdeckungswahrscheinlichkeit der Verteidiger erhöht. Ein Zero-Trust-Ansatz bei Kontrollmechanismen trägt dazu bei, die Angriffsfläche zu verringern. Das Zero-Trust-Kontrollmodell ist eine Weiterentwicklung des Defense-in-Depth-Konzepts – mit Schichten, die wichtige Daten schützen und es Angreifern erschweren, sich frei zu bewegen, selbst wenn sie präventive Technologien umgehen.

MITRE ATT&CK Framework

Bevor wir über Monitoring und Automatisierung/Orchestrierung im Kontext von Zero Trust sprechen, wollen wir zum MITRE ATT&CK-Framework überleiten. Ausgangspunkt des Rahmens ist die Annahme eines Sicherheitsverstoßes und der Schwerpunkt darauf, zu verstehen, wie sich ein Angreifer zwischen dem Zeitpunkt der ersten Kompromittierung und dem erfolgreichen Abschluss der Mission verhalten wird.  Dieses Verständnis hilft uns, Detektionsfähigkeiten zu definieren, die auf spezifische Ereignisse achten, welche uns entweder isoliert oder in Korrelation einen Hinweis auf ein abnormales Verhalten liefern, das weitere Untersuchungen erforderlich machen kann.

Zero-Trust-Überwachung

Das MITRE ATT&CK-Framework legt großen Wert auf Transparenz – High-Fidelity-Ereignisse aus so vielen Datenquellen wie möglich (Netzwerk, Firewall, Proxy, AV, EDR, IAM, OS, Cloud Service Provider, Application, DB, IoT usw.), um es Verteidigungsteams zu ermöglichen, eine Reihe von Verhaltensweisen zu modellieren, die sie mit bekannten Angriffen in Verbindung bringen, und diese weiterzuentwickeln, wenn weitere Erkenntnisse über Angreifer und ihre Methoden gewonnen werden. Der Zero-Trust-Ansatz legt einen Schwerpunkt auf Transparenz, den frühere Ansätze nicht hatten, tatsächlich könnte ein Motto von Zero Trust lauten: "Sie können nicht schützen, was Sie nicht sehen können." Wenn man also mit der Verbesserung der Transparenz im Rahmen eines Zero-Trust-Programms beginnt und mit der Verwendung des MITRE ATT&CK-Frameworks kombiniert, um gegnerisches Verhalten zu modellieren, dem das Unternehmen ausgesetzt sein kann, kann am defensiven Ende der Cyber Kill Chain ein Mehrwert erzielt werden, indem bereits vorhandene Fähigkeiten genutzt werden.

Der hervorragende BBC-Podcast „ 13 Minutes to the Moon“ behandelt in seiner zweiten Staffel die berüchtigte Apollo-13-Expedition. Die Konstruktion des Apollo-Raumschiffs und des gesamten operativen Teams dient als gute Analogie, um die Bedeutung von Erkennung und Reaktion trotz aller Präventionsbemühungen hervorzuheben. Das für die Apollo-Mission entwickelte Raumschiff verfügte über eine unglaubliche Widerstandsfähigkeit und in jede Komponente waren Sicherheitsvorkehrungen eingebaut. Zahlreiche Ausfallszenarien wurden getestet, um sicherzustellen, dass sich jedes mögliche, zu erwartende Ergebnis beheben ließ. Bei Apollo 13 wurde der Ausfall eines einzelnen Booster-Triebwerks durch die Zündung der anderen vier Triebwerke kompensiert. Allerdings gab es in der Konstruktion nichts, was den Verschleiß der Kabelisolierung hätte verhindern können, der die Explosion auslöste, welche die Mission gefährdete. Sobald dies geschah (ähnlich einem Leck), waren die Besatzung und die Missionskontrolle vollständig auf die Telemetriedaten des Raumschiffs, die Beobachtungen der Astronauten und die Experten am Boden angewiesen, um das Problem zu erkennen, es zu isolieren und die Mission zu beenden. Dies ist ein hervorragendes Beispiel dafür, wie Sicherheitsoperationsteams durch die Bereitstellung von Daten in der richtigen Genauigkeit aus den relevanten Datenquellen in Verbindung mit der Fähigkeit, diese Daten effizient zu analysieren, wesentlich besser darauf vorbereitet sind, Vorfälle genauer zu priorisieren, sodass sie bessere (und schnellere) Entscheidungen darüber treffen können, welches Ereignis (oder welche Kombination von Ereignissen) weiter untersucht werden muss und welches getrost ignoriert werden kann.

Zero-Trust-Automatisierung

Der Aufstieg von SOAR-Plattformen (Security Orchestration, Automation and Response) konzentriert sich darauf, die gesamte Phase nach der Erkennung eines Angriffs zu übernehmen und die Technologie bereitzustellen, die einen effizienten Übergang von der Erkennung zur Reaktion ermöglicht. Bei gängigen bösartigen Verhaltensmustern könnte diese gesamte Sequenz sogar automatisiert werden, um den Analysten Zeit für die Untersuchung ausgefeilterer Angriffe zu gewinnen. Um diese Effizienz zu erzielen, hängen die SOAR-Plattformen von ihrer Fähigkeit ab, sich in Technologielösungen zu integrieren, die die relevanten Daten bereitstellen oder die erforderlichen reaktionsschnellen Maßnahmen ergreifen. Aus diesem Grund sind Orchestrierung und Automatisierung eine wesentliche (aber oft übersehene) Säule von Zero Trust. Während die Möglichkeit, durch Automatisierung ein neues Setup zu orchestrieren oder ein vorhandenes Setup im Rahmen einer geplanten Änderung zu ändern, erhebliche betriebliche Vorteile bietet, wird der eigentliche Sicherheitsvorteil realisiert, wenn dieselben Plattformen schnell und konsistent orchestriert werden können, um auf einen Sicherheitsvorfall zu reagieren.

Also zurück zum Ausgangspunkt:

  • Der traditionelle Perimeter-Sicherheitsansatz befasst sich nur mit einem Teil der Cyber Kill Chain und lässt uns weitgehend blind für die Phasen nach der Kompromittierung.
  • Zero Trust verbessert die Prävention erheblich, indem es mit einer Prüfung dessen beginnt, was geschützt wird (z. kritische Daten oder eine Schlüsselanwendung) und sicherzustellen, dass die Kontrollen diesbezüglich mit einem angemessen am wenigsten privilegierten Ansatz erstellt werden.
  • Zero Trust beginnt mit einer Position der "Annahme einer Sicherheitsverletzung" und legt Wert auf Lösungen, die qualitativ hochwertige Protokolle bereitstellen, um die Erkennung nach einer Kompromittierung zu unterstützen.
  • Darüber hinaus bedeutet die Befürwortung, dass Technologien, die Kunden bei der Erreichung von Zero Trust unterstützen sollen, über eine gute Orchestrierung und Automatisierung verfügen müssen, dass sie SOAR-Plattformen bei der automatisierten Reaktion auf Vorfälle unterstützen können.

Die Einführung eines Zero-Trust-Ansatzes verbessert also sowohl den traditionellen Perimeter-Ansatz, der sich auf die Vereitelung der ersten 6 Stufen der Cyber Kill Chain konzentrierte, als auch Unternehmen in die Lage, sich auf die Erkennung und Vereitelung von Angreifern zu konzentrieren, sollten sie Stufe 7 erreichen und versuchen, die beabsichtigten Maßnahmen zu ergreifen.

Weitere Informationen zum Zero-Trust-Ansatz von Illumio finden Sie unter: https://www.illumio.com/solutions/zero-trust

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

3 Erkenntnisse aus dem neuen Informationsblatt zur Cybersicherheit der NSA
Segmentierung

3 Erkenntnisse aus dem neuen Informationsblatt zur Cybersicherheit der NSA

Verschaffen Sie sich einen Überblick darüber, wie die NSA die Zero-Trust-Segmentierung als wesentliche Komponente von Zero Trust anerkannt hat.

Mehr lesen
Warum die Bedrohungserkennung eine Zero-Trust-Segmentierung erfordert
Segmentierung

Warum die Bedrohungserkennung eine Zero-Trust-Segmentierung erfordert

Warum MSSPs neben der Technologie zur Bedrohungserkennung auch Zero-Trust-Segmentierung als Service anbieten sollten.

Mehr lesen
Top-Nachrichten zur Cybersicherheit im Mai 2024
Segmentierung

Top-Nachrichten zur Cybersicherheit im Mai 2024

Informieren Sie sich über einige der wichtigsten Cybersicherheitsgeschichten des Monats Mai, darunter die Lösung des Ransomware-Risikos, den Aufbau von Zero Trust mit Illumio ZTS + Netskope ZTNA und die Entlarvung von Zero-Trust-Mythen.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren