Cómo la confianza cero permite a las organizaciones abordar cada paso de la cadena de muerte cibernética

En esta publicación de blog, analizamos la cadena de muerte cibernética, cómo los modelos de seguridad que asumen la confianza solo ayudan a mitigar los pasos 1 a 6 de la cadena, es decir, todo hasta el punto de compromiso inicial, y cómo un enfoque de seguridad confiable cero eleva significativamente los niveles de los controles existentes que se centran en el compromiso previo, al tiempo que proporciona capacidades clave que son necesarias para respaldar la detección y respuesta posterior al compromiso. Como resultado, es probable que las organizaciones que adoptan Zero Trust estén mejor preparadas para detectar y contener intrusos maliciosos.

Todos entendemos el valor de la defensa en profundidad para evitar que los ataques se arraiguen. Por supuesto, es por eso que invertimos en firewalls de próxima generación (NGFW) para proteger el perímetro, seguridad de punto final para los dispositivos de los empleados y herramientas de seguridad sitio web y de email para proteger la productividad, entre las muchas otras inversiones en seguridad que realizamos.

El valor de estas herramientas preventivas y de defensa en profundidad se captura en la Cyber Kill Chain, destinada a identificar y prevenir las intrusiones cibernéticas. Formalizada por Lockheed Martin en 2011, la Cyber Kill Chain definió, durante la última década, cómo las organizaciones trazan sus controles de seguridad y, como resultado directo, determinan cómo miden su resiliencia cibernética. Estos son los siete pasos:

1. Reconocimiento: Un atacante recopila información sobre el objetivo antes del ataque.
2. Armamentización: El atacante cibernético crea su ataque, como un documento infectado de Microsoft Office y un email de phishing o malware.
3. Entrega: Transmisión del ataque, como el envío de un email de phishing real
4. Explotación: La "detonación" real del ataque, como un exploit que se ejecuta en un sistema.
5. Instalación: el atacante instala malware en la víctima (no todos los ataques requieren malware).
6. Comando y control: El sistema ahora comprometido "llama a casa" a un sistema de comando y control (C&C) para que el atacante cibernético obtenga el control.
7. Acciones sobre objetivos: el atacante ahora tiene acceso y puede pasar a sus acciones para cumplir sus objetivos.

Recurriendo a los viejos adagios de "una cadena es tan fuerte como su eslabón más débil" y "la defensa es la mejor forma de ataque", la Cyber Kill Chain pone una prima en frustrar a los atacantes que progresan de izquierda a derecha, o dicho de otra manera, antes de que obtengan una infección inicial o acceso dentro de un entorno. La expectativa de que si puede detener a un actor malicioso en cualquier momento antes del paso 7 (Acciones sobre objetivos), frustró con éxito un ataque.

El resultado neto de esto fue un fuerte (y quizás demasiado) énfasis en los controles preventivos hasta hace poco (firewalls, antivirus, puertas de enlace sitio web) que no asumen una infracción; más bien asumen que todos los ataques pueden ser detectados y bloqueados. Sin embargo, todas estas herramientas sufren de la misma limitación: están, en el mejor de los casos, previniendo el "mal conocido". Dependen de los siguientes supuestos:

1. El edificio que alberga mi oficina y mi fuerza laboral es confiable.
2. El perímetro de la red es duro y confiable.
3. La red dentro de este perímetro de confianza es de confianza.
4. Los dispositivos conectados a esta red de confianza son de confianza.
5. Las aplicaciones que se ejecutan en estos dispositivos de confianza son de confianza.
6. Los usuarios que acceden a estas aplicaciones de confianza son de confianza.
7. Los atacantes son previsibles y repiten los mismos comportamientos.

El objetivo de los controles preventivos es mantener alejados a los malos actores y, por lo tanto, mantener el nivel de confianza implícito. Pero, ¿qué sucede si un atacante se transforma de "malo conocido" a "mal desconocido"? Los ataques modernos y sofisticados (desde la brecha de Target hasta Cloud Hopper y todo lo demás y más allá) están diseñados para explotar específicamente esta falsa sensación de confianza para avanzar rápidamente a los pasos 6 y 7 en la cadena de muerte, eludiendo los controles que buscan evitar los pasos 1 a 5. Y estos controles preventivos siempre están tratando de poner al día.

Antes de continuar, es importante enfatizar que las medidas preventivas son una parte importante y esencial de las defensas cibernéticas de cualquier organización, pero ya no son el principio y el fin de todo. De hecho, son solo el comienzo. Y eso se debe a que los supuestos sobre los que se construyeron ya no se sostienen, especialmente en 2020, cuando la pandemia mundial forzó una revolución completa en la forma en que trabajan las organizaciones de todos los sectores, lo que dio lugar a una nueva normalidad:

1. Mi compañía ya no se encuentra en ubicaciones específicas.
2. Existe un perímetro, pero no lo abarca todo.
3. La red a menudo no es exclusiva de mi organización.
4. Los dispositivos que no controlo existen en mi red.
5. A menudo, las aplicaciones que emplea la compañía no están alojadas, son de mi propiedad ni están gestionadas por mí.
6. Los usuarios están en todas partes.
7. Los atacantes son impredecibles y siempre buscan nuevas vías de ataque.

Con estas nuevas suposiciones que muestran que se puede confiar absolutamente en poco, existimos en una situación en la que la probabilidad de prevenir una violación es baja, por lo que nuestro enfoque debe cambiar a la detección, respuesta y contención. Y aquí es donde traemos Zero Trust.

Es importante dividir Zero Trust en 3 áreas clave:

1. Mandos
2. Monitorización
3. Automatización y orquestación

Controles de Confianza cero

Los controles de Confianza cero pueden alinear nominalmente con los controles preventivos que se originaron en el modelo perimetral de antaño, pero el punto de partida es diferente:

• El modelo perimetral asume que se puede confiar en todo lo que hay en el interior y, por lo tanto, pone un énfasis sobreponderado en la resistencia del perímetro: es un enfoque único para todos.
• Con Zero Trust, esta suposición de confianza implícita simplemente no existe, por lo que nos vemos obligados a ser más inteligentes:
• ¿Qué es lo que más necesita protección?
• ¿Quién necesita acceder a él?
• ¿De dónde?
• ¿Cuando?
• ¿Por qué?
• ¿Cuáles son las interdependencias?

Estos son los puntos de datos que empleamos para crear una política de Confianza cero.

Si consideramos esto desde la perspectiva de un atacante, podemos ver que se está poniendo un listón significativamente más alto en su capacidad para violar con éxito: ya no pueden asumir que simplemente obtener acceso a la red es suficiente, ya sea para realizar movimientos laterales, escalar privilegios o llamar a casa. Como vimos en el reporte de Bishop Fox sobre la eficacia de la microsegmentación, los controles de Zero Trust como este obligan a los atacantes a cambiar el comportamiento y aprovechar otras técnicas, todo lo cual mejora las posibilidades de detección de los defensores. Un enfoque de confianza cero para los controles ayuda a reducir la superficie de ataque disponible para la explotación. El modelo de control Zero Trust es una actualización de la defensa en profundidad, con capas que protegen datos vitales, lo que dificulta que los atacantes, incluso si evaden las tecnologías preventivas, se muevan libremente.

MITRE ATT&CK Framework

Antes de hablar sobre el monitoreo y la automatización/orquestación en el contexto de Zero Trust, pasemos al marco MITRE ATT&CK. El punto de partida del marco es una suposición de infracción, y un énfasis en la comprensión de cómo se comportará un atacante entre ese momento de compromiso inicial y la conclusión exitosa de la misión.  Esta comprensión nos ayuda a definir capacidades de detección que monitorean eventos específicos que, ya sea de forma aislada o correlacionada, nos proporcionan un indicador de comportamiento anormal que puede justificar una mayor investigación.

Monitoreo de Zero Trust

El marco MITRE ATT&CK otorga una gran importancia a la visibilidad: eventos de alta fidelidad de tantas fuentes de datos como sea posible (red, firewall, proxy, AV, EDR, IAM, OS, proveedor de servicios en la nube, aplicación, base de datos, IoT, etc.) para permitir que los equipos defensivos modelen una variedad de comportamientos que asocian con ataques conocidos y continúen evolucionando a medida que se adquiere más conocimiento sobre los adversarios y sus métodos. El enfoque de Zero Trust otorga una prima a la visibilidad que los enfoques anteriores no tenían, de hecho, un lema de Zero Trust podría ser "no se puede proteger lo que no se puede ver". Por lo tanto, al comenzar con la mejora de la visibilidad como parte de un programa Zero Trust y combinado con el uso del marco MITRE ATT&CK para modelar el comportamiento adverso al que la organización puede estar sometida, se puede obtener valor en el extremo defensivo de la cadena de muerte cibernética empleando capacidades que ya existen.

El excelente podcast de la BBC "13 minutos a la luna" cubre la infame expedición del Apolo 13 en su segundo serial y el diseño de la nave espacial Apolo y todo el equipo operativo que lo apoya sirve como una buena analogía para resaltar la importancia de la detección y la respuesta, a pesar de los mejores intentos de prevención. La nave espacial diseñada para la misión Apolo tenía cantidades asombrosas de resistencia y seguridad integradas en cada componente, con numerosos escenarios de falla probados para garantizar que se pudiera recuperar cualquier resultado posible y esperado. Con el Apolo 13, la pérdida de un solo motor de refuerzo fue compensada por el encendido de los otros 4, sin embargo, no había nada en el diseño que pudiera evitar el desgaste del aislamiento del cableado, lo que desencadenó la explosión que puso en peligro la misión: una vez que esto ocurrió (similar a una brecha), la tripulación y el control de la misión dependían completamente de la telemetría de la nave espacial. observaciones de los astronautas y los expertos en tierra para detectar el problema, aislarlo y recuperar de él. Este es un gran ejemplo de cómo, con datos de la fidelidad correcta disponibles desde las fuentes de datos relevantes junto con la capacidad de analizar estos datos de manera eficiente, los equipos de operaciones de seguridad están mucho mejor preparados para clasificar incidentes con mayor precisión, lo que les permite tomar decisiones mejores (y más rápidas) sobre qué evento (o combinación de eventos) debe investigar más a fondo. y que se puede ignorar con seguridad.

Automatización de Zero Trust

El auge de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) se centra en tomar toda la fase posterior a la detección de un ataque y proporcionar el conjunto de tecnología para pasar de manera eficiente de la detección a la respuesta. Para patrones de comportamiento malicioso comunes, toda esta secuencia podría incluso automatizar para liberar tiempo de los analistas para la investigación de ataques más sofisticados. Las plataformas SOAR, para ofrecer estas eficiencias, dependen de su capacidad para integrar con soluciones tecnológicas que proporcionen los datos relevantes o tomen las medidas de respuesta necesarias. Es por eso que la orquestación y la automatización son un pilar esencial (pero a menudo pasado por alto) en Zero Trust. Si bien poder orquestar, a través de la automatización, una nueva configuración o modificar una configuración existente como parte de un cambio planeado proporciona importantes beneficios operativos, el beneficio real de seguridad se obtiene cuando las mismas plataformas se pueden orquestar de manera rápida y consistente para reaccionar a un incidente de seguridad.

Entonces, volviendo a donde comenzamos:

• El enfoque perimetral tradicional de la seguridad solo aborda una parte de la cadena de muerte cibernética y nos deja en gran medida ciegos a las etapas posteriores al compromiso.
• Zero Trust mejora significativamente la prevención al comenzar con una auditoría de lo que se está protegiendo (p. ej. datos críticos o una aplicación clave) y garantizar que los controles en torno a esto se construyan con un enfoque de privilegios mínimos.
• Zero Trust comienza con una posición de "asumir infracción" y otorga una gran importancia a las soluciones que proporcionan registros de alta calidad para respaldar la detección posterior al compromiso.
• Además, la defensa de que las tecnologías destinadas a ayudar a los clientes a lograr Zero Trust deben tener una buena orquestación y automatización significa que pueden admitir plataformas SOAR en la respuesta automatizada a incidentes.

Por lo tanto, la adopción de un enfoque de confianza cero mejora el enfoque perimetral tradicional que se centró en frustrar las primeras 6 etapas de la cadena de muerte cibernética, y también arma a las organizaciones con la capacidad de centrar en detectar y frustrar a los atacantes en caso de que alcancen la etapa 7 e intenten tomar las acciones previstas.

Para obtener más información sobre el enfoque de Illumio hacia Zero Trust, visite: https:\/\/www.illumio.com\/solutions\/zero-trust