在网络安全,国家,网络犯罪分子,黑客队员和流氓员工是通常的嫌疑人。它们很好地融入了外部攻击者或内幕威胁等类别。
但我们的基本供应商,合作伙伴和服务提供商呢?
我们依靠它们,有时邀请他们帮助管理我们的网络和内部系统。很容易忽视它们作为Cyberattacks可能的途径。但是令人震惊的网络攻击在12月发现了明亮的灯光供应链脆弱性。
可以利用信任
作为网络安全和基础设施安全局(CISA)他们继续调查,他们报告了1月6日“此活动的初始访问向量之一是供应链妥协。”
简而言之,攻击者突破了一个受欢迎的网络产品,一个组织在全球范围内的信任管理和监控他们的基础设施。他们滥用其更新系统来伪装和提供恶意代码,影响成千上万的客户,包括美国政府机构在内的高价值。
不是新的,但很容易被忽视
梅斯特很清楚供应链风险,他们是不是一个人。
回到2018年,他们更新了企业att&ck矩阵和可信关系(T1199)和供应链妥协(T1195)提高对这些反对技术的认识。后者,供应链妥协(T1195),专注于客户在客户接收之前操纵产品。乐动 赞助西甲它还涵盖了软件开发环境和产品更新/分发机制。听起来有点像12月Cyberattack,没有?
后者,可信赖的关系(T1199)也与该攻击相关。吉尔定义它:“对手可能会违反或以其他方式利用可以获得预期受害者的组织。通过信任的第三方关系访问利用现有的连接,这些连接可能不会受到保护或接收的审查,而不是获得对网络访问的标准机制。“在网络防守者的盘子上,仔细审查产品更新系统并不可能是最重要的。
这种攻击仍有很多未知数,但安全课是清楚:必须建立在零信任的受信任关系。无论是我们自己的员工,供应商,合作伙伴或服务提供商......我们根本无法相信任何人。
分割是零信任魔法
在这个博客系列中,减轻魔力,我们强调了缓解作为针对攻击者行为的思考的建议。
对于受信任的关系(T1199)技术,Miter推荐网络分段(M1030)作为两个缓解之一。另一个是用户帐户控制(M1052),一个Windows配置步骤,有助于停止对升高的进程访问权限的对手。两者都肯定是魔法,但让我们专注于第一个。
网络分割是一个简单的概念网络仅在哪里才能授权流量。人员和设备只能到达他们需要它们时所需的系统,并且它们明确允许访问。
它的魔力是零信任,最重要的特权进入即可包含网络泄露,停止恶意软件和感染的传播。逻辑分割可以防止在没有依赖昂贵的网络管理系统和攻击者的命令和控制基础架构之间进行未经授权的通信 - 而不依赖于昂贵,遗留方法,如内部防火墙,VLAN,Air差距或专用管理网络。
除了减轻信任的关系利用之外,梅特表示分割捍卫所有这些对手技术:
- 帐户操纵(T1098)
- 创建帐户(T1136)
- 配置存储库的数据(T1602)
- 数据操作(T1565)
- 域信任恢复(T1482)
- 替代协议(T1048)的exfiltration
- 利用公开申请(T1190)
- 利用远程服务(T1210)
- 中间人(T1557)
- 网络服务扫描(T1046)
- 非应用层协议(T1095)
- 非标准端口(T1571)
- 远程服务会话劫持(T1563)
- 远程服务:远程桌面协议(T1021)
- 服务停止(T1489)
- 软件部署工具(T1072)
其他安全方法是否解决了这么多威胁向量?
魔术需要一点魔法
好的,网络分割需要先撒上小精灵灰尘。
它依赖于政策Tightrope:太松了,您的组织仍然存在风险。太紧了,你可能会打破一些东西和扰乱服务。为了关键基础设施部门,正常运行时间是工作之一,这是一个没有。
直到最近,很多工作都在寻找合适的平衡。首先,您必须在很长一段时间内监控网络活动,基线它确定了什么是正常的,什么不是,是什么授权和什么不是。然后您将定义分段策略,将它们转换为产品界面 - 并观察,以确保它正在执行您想要的。
之后,你还没有完成。您正在不断调整它们以支持新部署,系统退休和网络上的无数其他更改。它可以是监视器,管理,重新配置的永无止境的循环,重复。
Pixie尘埃和魔法
在思科,我们一直在做网络分割很长一段时间。不,我不是在谈论vlans。我在谈论我们的魔力现代,可扩展,可管理的细分。我们的Pixie灰尘是自动化的。
我们提供深刻的可视性,以查看和分类网络上的所有内容。我们分析网络活动以根据您的流量和设备建议分段策略。我们知道微细分和粒度控制应用程序和工作负载。我们制作策略实施简单且保持一致,以便您可以快速和信心行事。和最好的部分?我们的解决方案集成作为团队一起工作,使用威胁情报快速调整政策包含新的威胁。
