Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Wie Zero Trust es Unternehmen ermöglicht, jeden Schritt in der Cyber Kill Chain zu bewältigen

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
11Dezember 2020
23 min. lesen

In diesem Blogbeitrag befassen wir uns mit der Cyber Kill Chain, wie Sicherheitsmodelle, die Vertrauen voraussetzen, nur dazu beitragen, die Schritte 1 bis 6 in der Kette abzuschwächen – d. h. alles bis zur ersten Kompromittierung – und wie ein Zero-Trust-Sicherheitsansatz sowohl bestehende Kontrollen, die sich auf die Zeit vor der Kompromittierung konzentrieren, erheblich verbessert als auch wichtige Funktionen bereitstellt, die zur Unterstützung der Erkennung und Reaktion nach der Kompromittierung erforderlich sind. Infolgedessen sind Unternehmen, die Zero Trust einführen, wahrscheinlich besser darauf vorbereitet, böswillige Eindringlinge zu erkennen und einzudämmen.

Wir alle wissen, wie wichtig eine tiefgreifende Verteidigung ist, um zu verhindern, dass sich Angriffe durchsetzen. Aus diesem Grund haben wir neben vielen anderen Sicherheitsinvestitionen in Firewalls der nächsten Generation (NGFWs) zum Schutz des Perimeters, Endpunktsicherheit für Mitarbeitergeräte sowie E-Mail- und Web-Sicherheitstools zum Schutz der Produktivität investiert.

Der Wert dieser präventiven Tools und der tiefgreifenden Verteidigung wird in der Cyber Kill Chain erfasst, die darauf abzielt, Cyberangriffe zu identifizieren und zu verhindern. Die Cyber Kill Chain wurde 2011 von Lockheed Martin formalisiert und hat in den letzten zehn Jahren definiert, wie Unternehmen ihre Sicherheitskontrollen festlegen und damit direkt bestimmen, wie sie ihre Cyber-Resilienz messen. Hier sind die sieben Schritte:

  1. Aufklärung: Ein Angreifer sammelt vor dem Angriff Informationen über das Ziel.
  2. Bewaffnung: Der Cyberangreifer erstellt seinen Angriff, z. B. ein infiziertes Microsoft Office-Dokument und eine Phishing-E-Mail oder Malware.
  3. Zustellung: Übertragung des Angriffs, wie das Versenden einer tatsächlichen Phishing-E-Mail
  4. Exploitation: Die tatsächliche "Detonation" des Angriffs, z. B. ein Exploit, der auf einem System ausgeführt wird.
  5. Installation: Der Angreifer installiert Malware auf dem Opfer (nicht alle Angriffe erfordern Malware).
  6. Command and Control: Das nun kompromittierte System "ruft ein Command and Control (C&C)-System an, damit der Cyber-Angreifer die Kontrolle erlangen kann.
  7. Aktionen auf Ziele: Der Angreifer hat nun Zugriff und kann mit seinen Aktionen fortfahren, um seine Ziele zu erreichen.

Die Cyber Kill Chain greift auf die alten Sprichwörter "Eine Kette ist nur so stark wie ihr schwächstes Glied" und "Verteidigung ist die beste Form des Angriffs" zurück und legt den Schwerpunkt darauf, Angreifer zu vereiteln, die von links nach rechts oder anders ausgedrückt vordringen, bevor sie eine erste Infektion oder Zugang zu einer Umgebung erhalten. Die Erwartung, dass Sie einen Angriff erfolgreich vereitelt haben, wenn Sie einen böswilligen Akteur zu irgendeinem Zeitpunkt vor Schritt 7 (Aktionen auf Ziele) stoppen können.

Das Endergebnis davon war bis vor kurzem eine starke (und vielleicht übermäßige) Betonung auf präventive Kontrollen – Firewalls, Antivirenprogramme, Web-Gateways –, die nicht von Sicherheitsverletzungen ausgehen; Vielmehr gehen sie davon aus, dass alle Angriffe erkannt und blockiert werden können. Doch alle diese Tools leiden unter der gleichen Einschränkung: Sie verhindern im besten Fall das "bekannte Böse". Sie beruhen auf folgenden Annahmen:

  1. Das Gebäude, in dem mein Büro und meine Belegschaft untergebracht sind, ist vertrauenswürdig.
  2. Der Netzwerkperimeter ist hart und vertrauenswürdig.
  3. Das Netzwerk innerhalb dieses vertrauenswürdigen Perimeters ist vertrauenswürdig.
  4. Die Geräte, die mit diesem vertrauenswürdigen Netzwerk verbunden sind, sind vertrauenswürdig.
  5. Die Anwendungen, die auf diesen vertrauenswürdigen Geräten ausgeführt werden, sind vertrauenswürdig.
  6. Die Benutzer, die auf diese vertrauenswürdigen Anwendungen zugreifen, sind vertrauenswürdig.
  7. Angreifer sind berechenbar und wiederholen die gleichen Verhaltensweisen.

Das Ziel präventiver Kontrollen ist es, die böswilligen Akteure fernzuhalten und dadurch das implizite Vertrauensniveau aufrechtzuerhalten. Aber was passiert, wenn sich ein Angreifer von "known bad" zu "unknown bad" wandelt – wie sehen diese Verteidigungslinien dann aus? Moderne, ausgeklügelte Angriffe (von der Target-Verletzung bis hin zu Cloud Hopper und allem, was dazwischen und darüber hinaus liegt) sind darauf ausgelegt, dieses falsche Gefühl des Vertrauens gezielt auszunutzen, um zu den Schritten 6 und 7 der Kill Chain vorzuspulen und Kontrollen zu umgehen, die die Schritte 1 bis 5 verhindern sollen. Und diese präventiven Kontrollen holen immer hinterher.

Bevor wir fortfahren, ist es wichtig zu betonen, dass Präventionsmaßnahmen ein wichtiger und wesentlicher Bestandteil der Cyberabwehr eines jeden Unternehmens sind, aber nicht mehr das A und O. Tatsächlich sind sie nur der Anfang. Und das liegt daran, dass die Annahmen, auf denen sie aufgebaut wurden, nicht mehr gelten, insbesondere im Jahr 2020, als die globale Pandemie die Arbeitsweise von Unternehmen in allen Sektoren völlig revolutioniert und zu einer neuen Normalität geführt hat:

  1. Mein Unternehmen befindet sich nicht mehr an bestimmten Standorten.
  2. Es gibt einen Perimeter, aber er ist nicht allumfassend.
  3. Das Netzwerk ist oft nicht exklusiv für meine Organisation.
  4. In meinem Netzwerk sind Geräte vorhanden, die ich nicht kontrolliere.
  5. Oft werden die Anwendungen, die das Unternehmen verwendet, nicht von mir gehostet, besessen und verwaltet.
  6. Benutzer sind überall.
  7. Angreifer sind unberechenbar und immer auf der Suche nach neuen Angriffswegen.

Mit diesen neuen Annahmen, die zeigen, dass man sich auf wenig absolut verlassen kann, befinden wir uns in einer Situation, in der die Wahrscheinlichkeit, eine Sicherheitsverletzung zu verhindern, gering ist – und daher muss sich unser Fokus auf die Erkennung, Reaktion und Eindämmung verlagern. Und hier bringen wir Zero Trust ins Spiel.

Es ist wichtig, Zero Trust in 3 Schlüsselbereiche aufzuteilen:

  1. Steuerung
  2. Überwachung
  3. Automatisierung und Orchestrierung

Zero-Trust-Kontrollen

Zero-Trust-Kontrollen können nominell mit den präventiven Kontrollen übereinstimmen, die aus dem Perimetermodell von einst stammen, aber der Ausgangspunkt ist ein anderer:

  • Das Perimetermodell geht davon aus, dass alles im Inneren vertrauenswürdig ist, und legt daher eine übergewichtete Betonung auf die Stärke des Perimeters – es handelt sich um einen Einheitsansatz.
  • Mit Zero Trust gibt es diese Annahme des impliziten Vertrauens einfach nicht – also sind wir gezwungen, klüger zu sein:
  • Was braucht am meisten Schutz?
  • Wer muss darauf zugreifen?
  • Woher?
  • Wann?
  • Warum?
  • Welche Abhängigkeiten bestehen darin?

Dies sind die Datenpunkte, die wir verwenden, um eine Zero-Trust-Richtlinie zu erstellen.

Wenn wir dies aus der Perspektive eines Angreifers betrachten, können wir sehen, dass die Messlatte für seine Fähigkeit, erfolgreich einzudringen, deutlich höher gelegt wird – er kann nicht mehr davon ausgehen, dass es ausreicht, sich einfach Zugang zum Netzwerk zu verschaffen, sei es, um laterale Bewegungen durchzuführen, Privilegien zu eskalieren oder nach Hause zu telefonieren. Wie wir aus dem Bericht von Bishop Fox über die Wirksamkeit der Mikrosegmentierung gesehen haben, zwingen Zero-Trust-Kontrollen wie diese Angreifer dazu, ihr Verhalten zu ändern und andere Techniken zu nutzen, die alle die Chance der Verteidiger erhöhen, entdeckt zu werden. Ein Zero-Trust-Ansatz für Kontrollen trägt dazu bei, die für Exploits verfügbare Angriffsfläche zu reduzieren. Das Zero-Trust-Kontrollmodell ist eine Aktualisierung der Tiefenverteidigung – mit Schichten, die wichtige Daten schützen und es Angreifern erschweren, sich frei zu bewegen, selbst wenn sie sich präventiven Technologien entziehen.

MITRE ATT&CK Framework

Bevor wir über Monitoring und Automatisierung/Orchestrierung im Kontext von Zero Trust sprechen, gehen wir zum MITRE ATT&CK-Framework über. Der Ausgangspunkt des Frameworks ist die Annahme einer Sicherheitsverletzung und der Schwerpunkt auf dem Verständnis, wie sich ein Angreifer zwischen dem Zeitpunkt der ersten Kompromittierung und dem erfolgreichen Abschluss der Mission verhalten wird.  Dieses Verständnis hilft uns, Erkennungsfähigkeiten zu definieren, die auf bestimmte Ereignisse überwachen, die uns entweder isoliert oder korreliert einen Indikator für abnormales Verhalten liefern, das eine weitere Untersuchung rechtfertigen könnte.

Zero-Trust-Überwachung

Das MITRE ATT&CK-Framework legt großen Wert auf Transparenz – High-Fidelity-Ereignisse aus so vielen Datenquellen wie möglich (Netzwerk, Firewall, Proxy, AV, EDR, IAM, OS, Cloud Service Provider, Application, DB, IoT usw.), um es Verteidigungsteams zu ermöglichen, eine Reihe von Verhaltensweisen zu modellieren, die sie mit bekannten Angriffen in Verbindung bringen, und diese weiterzuentwickeln, wenn weitere Erkenntnisse über Angreifer und ihre Methoden gewonnen werden. Der Zero-Trust-Ansatz legt einen Schwerpunkt auf Transparenz, den frühere Ansätze nicht hatten, tatsächlich könnte ein Motto von Zero Trust lauten: "Sie können nicht schützen, was Sie nicht sehen können." Wenn man also mit der Verbesserung der Transparenz im Rahmen eines Zero-Trust-Programms beginnt und mit der Verwendung des MITRE ATT&CK-Frameworks kombiniert, um gegnerisches Verhalten zu modellieren, dem das Unternehmen ausgesetzt sein kann, kann am defensiven Ende der Cyber Kill Chain ein Mehrwert erzielt werden, indem bereits vorhandene Fähigkeiten genutzt werden.

Der ausgezeichnete BBC-Podcast "13 Minutes to the Moon" berichtet in seiner zweiten Staffel über die berüchtigte Apollo-13-Expedition, und das Design des Apollo-Raumschiffs und der Unterstützung des gesamten Einsatzteams dient als gute Analogie, um die Bedeutung von Erkennung und Reaktion trotz der besten Präventionsversuche hervorzuheben. Das für die Apollo-Mission konzipierte Raumschiff verfügte über ein unglaubliches Maß an Ausfallsicherheit und Ausfallsicherheit, die in jede Komponente eingebaut waren, wobei zahlreiche Fehlerszenarien getestet wurden, um sicherzustellen, dass jedes mögliche, erwartete Ergebnis wiederhergestellt werden konnte. Bei Apollo 13 wurde der Verlust eines einzelnen Booster-Triebwerks durch die Zündung der anderen 4 Triebwerke kompensiert, aber es gab nichts in der Konstruktion, was den Verschleiß der Kabelisolierung hätte verhindern können, der die Explosion auslöste, die die Mission gefährdete – sobald dies geschah (ähnlich einem Bruch), waren die Besatzung und die Missionskontrolle vollständig auf die Telemetrie des Raumschiffs angewiesen. Beobachtungen der Astronauten und der Experten am Boden, um das Problem zu erkennen, es zu isolieren und sich davon zu erholen. Dies ist ein großartiges Beispiel dafür, wie Sicherheitsteams mit der korrekten Genauigkeit, die aus den relevanten Datenquellen zur Verfügung gestellt werden, in Verbindung mit der Möglichkeit, diese Daten effizient zu analysieren, viel besser darauf vorbereitet sind, Vorfälle genauer zu selektieren, was es ihnen ermöglicht, bessere (und schnellere) Entscheidungen darüber zu treffen, welches Ereignis (oder welche Kombination von Ereignissen) weiter untersucht werden muss. und die getrost ignoriert werden können.

Zero-Trust-Automatisierung

Der Aufstieg von SOAR-Plattformen (Security Orchestration, Automation and Response) konzentriert sich darauf, die gesamte Phase nach der Erkennung eines Angriffs zu übernehmen und die Technologie bereitzustellen, die einen effizienten Übergang von der Erkennung zur Reaktion ermöglicht. Bei gängigen bösartigen Verhaltensmustern könnte diese gesamte Sequenz sogar automatisiert werden, um den Analysten Zeit für die Untersuchung ausgefeilterer Angriffe zu gewinnen. Um diese Effizienz zu erzielen, hängen die SOAR-Plattformen von ihrer Fähigkeit ab, sich in Technologielösungen zu integrieren, die die relevanten Daten bereitstellen oder die erforderlichen reaktionsschnellen Maßnahmen ergreifen. Aus diesem Grund sind Orchestrierung und Automatisierung eine wesentliche (aber oft übersehene) Säule von Zero Trust. Während die Möglichkeit, durch Automatisierung ein neues Setup zu orchestrieren oder ein vorhandenes Setup im Rahmen einer geplanten Änderung zu ändern, erhebliche betriebliche Vorteile bietet, wird der eigentliche Sicherheitsvorteil realisiert, wenn dieselben Plattformen schnell und konsistent orchestriert werden können, um auf einen Sicherheitsvorfall zu reagieren.

Also zurück zum Ausgangspunkt:

  • Der traditionelle Perimeter-Sicherheitsansatz befasst sich nur mit einem Teil der Cyber Kill Chain und lässt uns weitgehend blind für die Phasen nach der Kompromittierung.
  • Zero Trust verbessert die Prävention erheblich, indem es mit einer Prüfung dessen beginnt, was geschützt wird (z. kritische Daten oder eine Schlüsselanwendung) und sicherzustellen, dass die Kontrollen diesbezüglich mit einem angemessen am wenigsten privilegierten Ansatz erstellt werden.
  • Zero Trust beginnt mit einer Position der "Annahme einer Sicherheitsverletzung" und legt Wert auf Lösungen, die qualitativ hochwertige Protokolle bereitstellen, um die Erkennung nach einer Kompromittierung zu unterstützen.
  • Darüber hinaus bedeutet die Befürwortung, dass Technologien, die Kunden bei der Erreichung von Zero Trust unterstützen sollen, über eine gute Orchestrierung und Automatisierung verfügen müssen, dass sie SOAR-Plattformen bei der automatisierten Reaktion auf Vorfälle unterstützen können.

Die Einführung eines Zero-Trust-Ansatzes verbessert also sowohl den traditionellen Perimeter-Ansatz, der sich auf die Vereitelung der ersten 6 Stufen der Cyber Kill Chain konzentrierte, als auch Unternehmen in die Lage, sich auf die Erkennung und Vereitelung von Angreifern zu konzentrieren, sollten sie Stufe 7 erreichen und versuchen, die beabsichtigten Maßnahmen zu ergreifen.

Weitere Informationen zum Zero Trust-Ansatz von Illumio finden Sie unter: https://www.illumio.com/solutions/zero-trust

Verwandte Themen

No items found.

Verwandte Artikel

Rückblick auf die diesjährige Forrester-Welle für Zero Trust
Zero-Trust-Segmentierung

Rückblick auf die diesjährige Forrester-Welle für Zero Trust

Der Zero Trust Wave-Bericht von Forrester Research - Erfahren Sie, wie Illumio in diesem Jahr das beste Produktangebot zusammengestellt hat.

Read more
Was Sie benötigen, um eine Zero-Trust-Segmentierungsrichtlinie zu erstellen
Zero-Trust-Segmentierung

Was Sie benötigen, um eine Zero-Trust-Segmentierungsrichtlinie zu erstellen

Jede gute Mikrosegmentierungslösung lässt sich nahtlos von der Erkennung bis zur Erstellung überführen und unterstützt alle Workflows, die für die effiziente Erstellung einer fein abgestimmten Segmentierungsrichtlinie erforderlich sind.

Read more
Containers Anatomy 101: Was ist ein Cluster?
Zero-Trust-Segmentierung

Containers Anatomy 101: Was ist ein Cluster?

Aus der Netzwerkperspektive erstellen sowohl Kubernetes als auch OpenShift logische, relevante Konstrukte in einem hierarchischen Ansatz. Hier sind Definitionen, die Sie kennen müssen.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more