Estimated reading time: 4 minutes
Attackers are Prolific and Sophisticated
25% των νέων κυβερνοεπιθέσεων ανακαλύπτονται μετά από μια ransomware επίθεση. Λόγω του ότι οι ransomware επιθέσεις έχουν μικρότερο χρόνο δράσης από τους υπόλοιπους τύπους κυβερνοεπιθέσεων η αύξηση τους είναι κάτι που έχει μειώσει και το γενικότερο χρόνο αναγνώρισης μιας επίθεσης στις 24 ημέρες.
Το 70% των επιθέσεων περιλαμβάνει τη τακτική του lateral movement
East-West Is The New Battleground
Το East West Traffic δηλαδή η κίνηση μεταξύ συστημάτων του ίδιο οργανισμού είτε προέρχονται από συστήματα σε κάποιο Public Cloud είτε από κάποιο On premises Datacenter αποτελούν κατά μέσο όρο το 90% του συνολικού traffic μιας επιχείρησης.
Μέχρι στιγμής οι επενδύσεις που γίνονται σε συστήματα ασφάλειας αφορούσαν κατά βάση το North Southtraffic Δηλαδή την κίνηση από και προς το Internet.
Οι περισσότερες τρανταχτές σύγχρονες κυβερνοεπιθέσεις παγκόσμια αλλά και στην Ελλάδα έχουν γίνει μέσω της τεχνικής Lateral Movement. Ο επιτιθέμενος έχοντας καταφέρει να πάρει πρόσβαση σε ένα από τα endpoints είτε τους servers επεκτείνετε με σκοπό να πάρει έλεγχο σε μεγαλύτερο κομμάτι η ακόμα και σε ολόκληρη την υποδομή.
Zero Trust Network
Το Zero Trust Network Segmentation είναι ένας τρόπος να προστασίας από κάτι τέτοιο. Όπως έχει επισημανθεί από το NIST για να σχεδιαστεί ένα επιτυχημένο Zero Trust μοντέλο ασφάλειας θα
Πρέπει να υποθέτει κατά το σχεδιασμό του πως ένας εισβολέας είναι παρών αυτή τη στιγμή που μιλάμε στο περιβάλλον μας.
Ποια είναι συνοπτικά η διαδικασία για να το καταφέρουμε αυτό;
Αρχικά θα πρέπει να υπάρχει Visibility.
Το visibility σημαίνει πως θα πρέπει να γνωρίζουμε ακριβώς ποιες επικοινωνίες είναι Trusted ώστε μια εφαρμογή να είναι λειτουργική.
Το επόμενο επίπεδο είναι το Segmentation.
Και τέλος το πώς μπορούμε να αυτοματοποιήσουμε αυτή τη διαδικασία. Είναι γνωστό πως η πολυπλοκότητα είναι ο μεγαλύτερος εχθρός της Ασφάλειας.
Visibility
Για να είμαστε βέβαιοι πως έχουμε visibility στην υποδομή θα πρέπει να γνωρίζουμε τις απαραίτητες επικοινωνίες που είναι αναγκαίες σε κάθε εφαρμογή για να λειτουργήσει.
Φυσικά αυτό δεν είναι δυνατό κάνοντας ερωτήσεις στους application owners για το ποιες επικοινωνίες είναι trusted. Για αυτή την δύσκολη διαδικασία υπάρχουν εξειδικευμένα εργαλεία.
Macro Segmentation
Η παραπάνω διαδικασία μας οδηγεί στο Segmentation. Το segmentation χωρίζεται σε δύο σημεία. Το MacroSegmentation όπου σε περίπτωση επίθεσης σε ένα σύστημα της υποδομής , ο επιτιθέμενος δε θα μπορεί να επηρεάσει μέσω της τακτικής του Lateral Movement συστήματα που ανήκουν σε άλλες εφαρμογές.
Micro Segmentation
Το Zero Trust Segmentation απαιτεί όμως τις ελάχιστες δυνατές προσβάσεις. Οπότε θα πρέπει να περιοριστούν ακόμη και οι προσβάσεις που αφορούν συστήματα που συμπληρώνουν το ίδιο application. Μόνο όταν περιορίσουμε και αυτές τις προσβάσεις θα μπορέσουμε να πιάσουμε το στόχο του Micro Segmentation που απαιτεί το Zero Trust model και θα προστατέψει έναν οργανισμό από τις Lateral Movement επιθέσεις.
The Tool
Πως μπορούν να γίνουν όλα αυτά;
Πάντως όχι με διαφορετικά vlans και ένα παραδοσιακό firewall με χιλιάδες πολιτικές ενδιάμεσα. Αυτό μας ωθεί στο να λειτουργήσουμε στη λογική του Software Defined Networking σε ένα datacenter. Πλέον πολλοί οργανισμοί είναι αυτοί που έχουν προχωρήσει σε αντίστοιχες micro segmentation λύσεις.
To Software Define Networking και μια λύση όπως το Vmware NSX δίνει αυτό που χρειαζόμαστε για την εφαρμογή του zero trust segmentation καθώς είναι εφικτό το φιλτράρισμα της επικοινωνίας ακόμα και σε συστήματα τα οποία ανήκουν στην ίδια ζώνη και το ίδιο δίκτυο.
Η προσέγγιση δεν είναι με πολιτικές ασφαλείας που περιλαμβάνουν δίκτυα και IPs καθώς έχουμε τη δυνατότητα για πολιτικές ασφαλείας οι οποίες αφορούν ακόμη και το λειτουργικό του κάθε συστήματος.
Πλέον υπάρχει η δυνατότητα να εφαρμόσουμε σε οποιαδήποτε επικοινωνία, advanced πολιτικές ασφαλείας, που μπορούν να περιλαμβάνουν εκτός από απλούς firewalling κανόνες νέες πολιτικές πιο εξειδικευμένες που θα κάνουν τη χρήση ακόμη και του embedded IPS και IDS μηχανισμού.
Automation
Ο απώτερος στόχος είναι όλο αυτό να μη δυσκολέψει την καθημερινότητα των administrators αλλά στην ουσία να αυτοματοποιήσει πολλά tasks. Η δυνατότητα εφαρμογής δυναμικών συνθηκών για την ένταξη των συστημάτων σε security groups προσφέρει την ευχέρεια για μηδέν ενασχόληση από το Network Security teamστην ανάπτυξη μιας εφαρμογής που ξεκινάει με 2 η 3 συστήματα και καταλήγει να έχει 20 η 30.
Visibility Across Clouds
Προστατέψαμε το datacenter αλλά τι έχουμε κάνει με τα workloads του Cloud;
Η καλυτερη λύση είναι να κάνουμε extend αυτή τη zero trust πολιτική από τα on premises και στο Cloud.
Summarized View Across Clouds
Σε αυτό βοηθάει η λύση VMware NSX Cloud που ο ουσιαστικός στόχος της είναι να παρέχει τις ίδιες υπηρεσίες ασφάλειας και δικτύωσης είτε η εφαρμογή φιλοξενείτε σε κάποια on premise υποδομή είτε σε κάποιο από τα public clouds. Έχοντας αυτές τις δυνατότητες οπουδήποτε στεγάζεται μια εφαρμογή μπορεί πολύ εύκολα να εφαρμοστεί κοινή πολιτική ασφάλειας παντού.
Detailed View of Public Cloud Workloads
Πλέον υπάρχει η δυνατότητα σε ένα Dashboard που παραδοσιακά εμφανίζονταν πληροφορίες για την OnPremise υποδομή του οργανισμού, να υπάρχει visibility και στην υποδομή του ίδιου οργανισμού στο Azure και στο AWS.
Security Micro-Segmentation Across Clouds
Έχοντας το Visibility είναι εφικτό να εφαρμοστεί το micro-segmentation που αναλύθηκε προηγούμενος και στα workloads του cloud. Δεν αλλάζει τίποτα σε αυτά που αναφέρθηκαν καθώς η ίδια πολιτική θα εφαρμοστεί είτε το application βρίσκεται σε κάποιο Private Cloud (On-Prem Datacenter) είτε σε κάποιο από αυτά του AWS και του Amazon.
L7 Security
Η λύση δε προσφέρει απλό layer 4 firewalling αλλά και Layer 7 με αρκετές δυνατότητες αυτή τη στιγμή για APP ID inspection και Url Based filtering οι οποίες μάλιστα θα ενισχυθούν με νέα security features στο άμεσο μέλλον.
