Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação
Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
11 de dezembro de 2020
23 minutos. ler

Como o Zero Trust permite que as organizações abordem cada etapa da cadeia de mortes cibernéticas

Neste artigo, analisamos a Cadeia de Eliminação Cibernética (Cyber Kill Chain), como os modelos de segurança que partem do pressuposto da confiança ajudam a mitigar apenas as etapas 1 a 6 da cadeia – ou seja, tudo até o ponto de comprometimento inicial – e como uma abordagem de Confiança Zero (Zero Trust) para segurança aprimora significativamente os controles existentes que se concentram na prevenção do comprometimento, ao mesmo tempo que fornece recursos essenciais para dar suporte à detecção e resposta pós-comprometimento. Como resultado, as organizações que adotam o modelo Zero Trust provavelmente estarão mais bem preparadas para detectar e conter invasores maliciosos.

Todos nós entendemos o valor da defesa em profundidade para impedir que os ataques se consolidem. Naturalmente, é por isso que investimos em firewalls de última geração (NGFWs) para proteger o perímetro, segurança de endpoints para dispositivos de funcionários e ferramentas de segurança de e-mail e web para proteger a produtividade, entre muitos outros investimentos em segurança que realizamos.

O valor dessas ferramentas preventivas e da defesa em profundidade está contemplado na Cyber Kill Chain, destinada a identificar e prevenir intrusões cibernéticas. Formalizada pela Lockheed Martin em 2011, a Cyber Kill Chain tem definido, na última década, como as organizações mapeiam seus controles de segurança e, como consequência direta, determinam como mensuram sua resiliência cibernética. Aqui estão os sete passos:

  1. Reconhecimento: Um atacante coleta informações sobre o alvo antes do ataque.
  2. Arma: o atacante cibernético cria seu ataque, como um documento infectado do Microsoft Office e um e-mail de phishing ou um malware.
  3. Entrega: transmissão do ataque, como o envio de um e-mail de phishing real
  4. Exploração: A “detonação” real do ataque, como uma exploração em execução em um sistema.
  5. Instalação: O atacante instala malware na vítima (nem todos os ataques exigem malware).
  6. Comando e Controle: O sistema agora comprometido “chama de lar” um sistema de Comando e Controle (C & C) para que o atacante cibernético obtenha o controle.
  7. Ações sobre objetivos: O atacante agora tem acesso e pode prosseguir com suas ações para atingir seus objetivos.

Recorrendo aos velhos ditados de “uma cadeia é tão forte quanto seu elo mais fraco” e “a defesa é a melhor forma de ataque”, a Cyber Kill Chain prioriza impedir que os atacantes progridam da esquerda para a direita, ou dito de outra forma, antes que eles obtenham uma infecção inicial ou acessem um ambiente. A expectativa de que, se você conseguir deter um agente mal-intencionado a qualquer momento antes da etapa 7 (Ações sobre objetivos), você tenha frustrado um ataque com sucesso.

O resultado disso tem sido uma forte (e talvez excessiva) ênfase em controles preventivos até recentemente – firewalls, antivírus, gateways da web – que não partem do pressuposto de que haverá violação de segurança; em vez disso, partem do pressuposto de que todos os ataques podem ser detectados e bloqueados. No entanto, todas essas ferramentas sofrem da mesma limitação: na melhor das hipóteses, elas previnem o "mal conhecido". Eles dependem das seguintes premissas:

  1. O prédio que abriga meu escritório e minha força de trabalho é confiável.
  2. O perímetro da rede é rígido e confiável.
  3. A rede dentro desse perímetro confiável é confiável.
  4. Os dispositivos conectados a essa rede confiável são confiáveis.
  5. Os aplicativos executados nesses dispositivos confiáveis são confiáveis.
  6. Os usuários que acessam esses aplicativos confiáveis são confiáveis.
  7. Os atacantes são previsíveis e repetem os mesmos comportamentos.

O objetivo dos controles preventivos é impedir a entrada de agentes mal-intencionados e, assim, manter o nível de confiança implícito. Mas o que acontece se um atacante passar de "mal conhecido" para "mal desconhecido" – como essas linhas de defesa se comportam nesse caso? Os ataques modernos e sofisticados (desde a violação da Target até o Cloud Hopper e tudo o que há entre eles e além) são projetados especificamente para explorar essa falsa sensação de confiança, avançando rapidamente para as etapas 6 e 7 da cadeia de ataque, contornando os controles que visam impedir as etapas de 1 a 5. E esses controles preventivos estão sempre correndo atrás do prejuízo.

Antes de prosseguirmos, é importante ressaltar que as medidas preventivas são uma parte importante e essencial das defesas cibernéticas de qualquer organização, mas já não são a única solução. Na verdade, são apenas o começo. Isso ocorre porque as premissas em que se baseavam já não se sustentam, especialmente em 2020, quando a pandemia global forçou uma revolução completa na forma como as organizações de todos os setores funcionam, resultando em um novo normal:

  1. Minha empresa não está mais localizada em locais específicos.
  2. Existe um perímetro, mas não é abrangente.
  3. A rede geralmente não é exclusiva da minha organização.
  4. Dispositivos que eu não controlo existem na minha rede.
  5. Muitas vezes, os aplicativos que a empresa está usando não são hospedados, não são de minha propriedade e não são gerenciados por mim.
  6. Os usuários estão em toda parte.
  7. Os atacantes são imprevisíveis e estão sempre procurando novas formas de ataque.

Com essas novas suposições mostrando que pouco é absolutamente confiável, existimos em uma situação em que a probabilidade de evitar uma violação é baixa e, portanto, nosso foco deve mudar para detecção, resposta e contenção. E é aqui que introduzimos o Zero Trust.

É importante dividir o Zero Trust em três áreas principais:

  1. Controles
  2. Monitoramento
  3. Automação e orquestração

Controles Zero Trust

Os controles Zero Trust podem se alinhar nominalmente aos controles preventivos originados do modelo perimetral de outrora, mas o ponto de partida é diferente:

  • O modelo perimetral pressupõe que tudo no interior é confiável e, portanto, coloca uma ênfase exagerada na força do perímetro — é uma abordagem única para todos.
  • Com o Zero Trust, essa suposição de confiança implícita simplesmente não existe — então somos forçados a ser mais inteligentes:
  • O que mais precisa de proteção?
  • Quem precisa acessá-lo?
  • De onde?
  • Quando?
  • Por quê?
  • Quais são as interdependências?

Esses são os pontos de dados que usamos para criar uma política de Zero Trust.

Se considerarmos isso da perspectiva de um atacante, podemos ver que o nível de exigência para uma invasão bem-sucedida está significativamente mais alto – eles não podem mais presumir que simplesmente obter acesso à rede seja suficiente, seja para realizar movimentação lateral, escalar privilégios ou entrar em contato com o servidor. Como vimos no relatório da Bishop Fox sobre a eficácia da microsegmentação, os controles de Zero Trust, como este, forçam os atacantes a mudar de comportamento e a usar outras técnicas, o que aumenta as chances de detecção por parte dos defensores. Uma abordagem de Confiança Zero para controles ajuda a reduzir a superfície de ataque disponível para exploração. O modelo de controle Zero Trust é uma atualização da defesa em profundidade, com camadas que protegem dados vitais, dificultando a movimentação livre de invasores, mesmo que consigam burlar as tecnologias preventivas.

MITRE ATT&CK Framework

Antes de falarmos sobre Monitoramento e Automação/Orquestração no contexto de Zero Trust, vamos abordar o framework MITRE ATT&CK. O ponto de partida da estrutura é a suposição de uma violação de segurança, com ênfase na compreensão de como um invasor se comportará entre o momento da invasão inicial e a conclusão bem-sucedida da missão.  Essa compreensão nos ajuda a definir capacidades de detecção que monitoram eventos específicos que, isoladamente ou quando correlacionados, nos fornecem um indicador de comportamento anormal que pode justificar uma investigação mais aprofundada.

Monitoramento Zero Trust

A estrutura MITRE ATT & CK valoriza a visibilidade — eventos de alta fidelidade do maior número possível de fontes de dados (rede, firewall, proxy, AV, EDR, IAM, OS, provedor de serviços em nuvem, aplicativo, banco de dados, IoT etc.) para permitir que equipes defensivas modelem uma variedade de comportamentos que associam a ataques conhecidos e continuem a desenvolvê-los à medida que mais conhecimentos sobre adversários e seus métodos são adquiridos. A abordagem Zero Trust valoriza a visibilidade que as abordagens anteriores não davam. Na verdade, um lema da Zero Trust poderia ser “você não pode proteger o que não pode ver”. Assim, começando com a melhoria da visibilidade como parte de um programa Zero Trust e combinado com o uso da estrutura MITRE ATT & CK para modelar o comportamento adverso ao qual a organização pode estar sujeita, é possível obter valor na defensiva da Cyber Kill Chain usando recursos que já existem.

O excelente podcast da BBC "13 Minutes to the Moon " aborda a infame expedição Apollo 13 em sua segunda temporada, e o projeto da espaçonave Apollo e toda a equipe operacional de apoio servem como uma boa analogia para destacar a importância da detecção e resposta, apesar das melhores tentativas de prevenção. A espaçonave projetada para a missão Apollo possuía níveis incríveis de resiliência e mecanismos de segurança integrados em cada componente, com inúmeros cenários de falha testados para garantir que qualquer resultado possível e esperado pudesse ser recuperado. Com a Apollo 13, a perda de um único motor auxiliar foi compensada pela ignição dos outros quatro. No entanto, nada no projeto poderia ter impedido o desgaste do isolamento da fiação, que desencadeou a explosão que colocou a missão em risco. Uma vez ocorrida a falha (semelhante a uma ruptura), a tripulação e o controle da missão ficaram inteiramente dependentes da telemetria da espaçonave, das observações dos astronautas e dos especialistas em solo para detectar o problema, isolá-lo e realizar a recuperação. Este é um ótimo exemplo de como, com dados de fidelidade adequada disponibilizados pelas fontes relevantes, juntamente com a capacidade de analisar esses dados de forma eficiente, as equipes de operações de segurança estão muito mais bem preparadas para priorizar incidentes com maior precisão, permitindo-lhes tomar decisões melhores (e mais rápidas) sobre qual evento (ou combinação de eventos) precisa ser investigado mais a fundo e qual pode ser ignorado com segurança.

Automação Zero Trust

A ascensão das plataformas de Orquestração, Automação e Resposta de Segurança (SOAR) se concentra em aproveitar toda a fase pós-detecção de um ataque e fornecer a tecnologia pronta para passar eficientemente da detecção à resposta. Para padrões comuns de comportamento malicioso, toda essa sequência pode até ser automatizada para liberar tempo do analista para a investigação de ataques mais sofisticados. As plataformas SOAR, para oferecer essas eficiências, dependem de sua capacidade de se integrar a soluções de tecnologia que fornecem os dados relevantes ou tomam as ações responsivas necessárias. É por isso que a orquestração e a automação são um pilar essencial (mas muitas vezes esquecido) do Zero Trust. Embora a capacidade de orquestrar, por meio da automação, uma nova configuração ou modificar uma configuração existente como parte de uma mudança planejada ofereça benefícios operacionais significativos, o benefício real de segurança é obtido quando as mesmas plataformas podem ser orquestradas de forma rápida e consistente para reagir a um incidente de segurança.

Então, voltando ao ponto de partida:

  • A abordagem tradicional de segurança perimetral aborda apenas parte da Cyber Kill Chain e nos deixa praticamente cegos quanto aos estágios pós-comprometimento.
  • O Zero Trust melhora significativamente a prevenção ao começar com uma auditoria do que está sendo protegido (por exemplo. dados críticos (ou um aplicativo importante) e garantindo que os controles em torno disso sejam criados com uma abordagem adequadamente menos privilegiada.
  • O Zero Trust começa com a posição de “supor uma violação” e valoriza as soluções que fornecem registros de alta qualidade para apoiar a detecção após o comprometimento.
  • Além disso, a defesa de que as tecnologias destinadas a ajudar os clientes a alcançar o Zero Trust devem ter uma boa orquestração e automação significa que elas podem oferecer suporte às plataformas SOAR na resposta automatizada a incidentes.

Assim, a adoção de uma abordagem Zero Trust aprimora a abordagem tradicional de perímetro, que se concentrava em frustrar os primeiros 6 estágios da Cyber Kill Chain, e também capacita as organizações a se concentrarem em detectar e frustrar os atacantes caso eles atinjam o Estágio 7 e tentem realizar as ações pretendidas.

Para obter mais informações sobre a abordagem da Illumio para Zero Trust, visite: https://www.illumio.com/solutions/zero-trust

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética
segmentação

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética

Aprenda com a especialista em segurança cibernética sem fins lucrativos, Dra. Kelley Misata, sobre como organizações orientadas por missões estão abordando a segurança com empatia, propósito e uma mentalidade de ouvir em primeiro lugar.

Leia mais
Segurança de rede não é segurança de carga de trabalho
segmentação

Segurança de rede não é segurança de carga de trabalho

Há diferenças distintas entre segurança de rede e soluções baseadas em rede e segurança de carga de trabalho e soluções como microssegmentação.

Leia mais
Segurança de contêineres: um guia essencial para proteger o Kubernetes
segmentação

Segurança de contêineres: um guia essencial para proteger o Kubernetes

Descubra por que a segurança de contêineres é crucial em um mundo onde as violações são inevitáveis e saiba como a Illumio pode proteger seus ambientes Kubernetes contra ameaças modernas.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais