イルミオコアのあまり知られていない機能:SOAR プラットフォーム統合

、

ソリューションマーケティングディレクター

February 5, 2024

23 最小読取り

このシリーズでは、イルミオのセキュリティ専門家が、あまり知られていない（しかしそれほど強力ではない）機能を強調しています イルミオコア。

侵害やランサムウェア攻撃は急速に進化しており、従来の多くの予防および検出技術では対応できないほど急速に進化しています。

マルウェアは数秒で拡散し、人間が対応できるよりもはるかに速くなります。どのセキュリティアーキテクチャにおいても、最も弱いのはキーボードと椅子の間にあるというのは、サイバーセキュリティ業界の常識です。マルウェアの伝播を自動化するには、セキュリティ対応も同様に自動化する必要があります。

Illumio CoreはサードパーティのSOARプラットフォームと統合されているため、新しい未知のマルウェアが自動的に隔離され、封じ込められることを確信できます。

なぜ今侵害の封じ込めが重要なのか

すべてのマルウェアには共通点が1つあります。それは、移動を好むということです。

最初に侵害されたワークロードが意図されたターゲットになることはほとんどありません。ネットワークの「足掛け」として情報収集に使用されます。このインサイトをもとに、マルウェアとその制御システムは指揮統制トラフィックを交換します。最終的に、制御システムはマルウェアにネットワークを介してどのように伝播するかを指示します。

悪いニュースは？これらはすべてほんの数秒で起こります。

侵害やランサムウェア攻撃は避けられず、従来の防止および検出ツールだけでは今日の攻撃を阻止するには不十分です。あらゆる規模、地域、業界の組織が、防御ツールや検知ツールに加えて、侵害の封じ込め戦略を優先する必要があります。これにより、次の侵害が、業務の停止、機密データの流出、顧客、利害関係者、従業員の信頼の低下を招くような壊滅的な事態にならないようにできます。

現代のサイバーセキュリティは、侵害防止から侵害防止への移行によって定義されますブリーチサバイバル。侵害の伝播を阻止することは、侵害の発生を防ぐことと同じくらい優先されなければなりません。‍

Illumioで積極的にセキュリティ侵害に備えましょう

残念ながら、100% 効果的な侵害防止ソリューションは存在しません。侵害は必ず発生します。避けられない侵害が発生すると、イルミオはすべてのホストで開いているポートを積極的に無効にすることで、近隣のホストへの侵入を阻止します。

ほとんどのホストとそのワークロードは、相互に接続を確立する必要はありません。むしろ、通常は少数の共通リソースに接続するか、アウトバウンド接続を確立するだけで済みます。たとえば、データセンターやクラウド環境にデプロイされたすべてのワークロードが相互に直接接続する必要があることはほとんどありません。

不必要にポートを開くことによるリスクを軽減するために、Illumio では次の 2 つの方法のいずれかでワークロードを強制できます。

選択的執行: 特定のポートがブロックされ、他のすべてのトラフィックがブロックされる 許可された。
全面執行: 特定のポートがブロックされ、他のすべてのトラフィックがブロックされる 拒否されました。

選択的強制は、RDP や SSH など、ワークロード間で許可したくないトラフィックがわかっている場合に使用できます。しかし、マルウェアは絶えず進化し、使用する新しいポートを見つけています。このため、マルウェアの拡散を阻止する上ではるかに効果的であるため、全面的に適用するのがベストです。Illumio は、全面的な適用により、規模を問わずすべてのワークロードのすべてのポートを無効化し、必要に応じて例外的にポートを開くことを許可します。

結果は以下の完全施行の例のようになります。左側の図では、Illumio によってデフォルトオープンポートが無効になっているため、ワークロードの通信が妨げられています (赤い矢印)。右側の図では、Illumio が例外 (緑の矢印) を有効にして、特定のポートを経由する特定のアプリケーショングループ間のトラフィックのみを許可しています。

Illumio preemptively closes all open ports, then enables required exceptions.

Illumioによる全面的な対策として、開いているポートはほんの一握りなので、感染したホストがマルウェアをそれほど遠くまで移動させることはできません。これは、マルウェアがどれほど新しく、複雑であるかに関係なく当てはまります。これにより、攻撃の爆発範囲が大幅に縮小し、壊滅的な侵害だったはずが、運用に影響を及ぼさず、多額の修復費用を必要としない小規模なセキュリティインシデントに変わってしまいます。

イルミオのSOAR統合によるポリシー変更の自動化

サイバーセキュリティに当てはまることが1つあるとすれば、物事は絶えず変化しているということです。今日の脅威の状況と今日のネットワークの複雑さから、セキュリティ対策は常に変化し続けることはできません。組織には、執行ポリシーをリアルタイムで更新する方法が必要です。

Illumioは、SOAR（セキュリティオーケストレーション、オートメーション、レスポンス）プラットフォームとの統合により、セキュリティポリシーの完全自動化されたリアルタイムの変更を可能にします。

SOARプラットフォームはSIEM（セキュリティ情報およびイベント管理）プラットフォームとは異なることに注意することが重要です。Illumio は次のような SIEM プラットフォームにログを転送できます。スプランクイルミオが管理するワークロードでログに記録されたイベントを分析し、危険信号を探します。しかし、もし見つかったとしても、SIEMはリスクのある港を閉鎖するよう命令をイルミオに送り返す方法がありません。この機能は SOAR プラットフォームを介して有効になります。

Illumioは3つのサードパーティ製SOARシステムと統合されています。スプランク・ソアー、 IBM QRadar SOAR、およびパロアルトネットワークスコーテックスソアー。Illumio と SOAR の統合により、以下のステップにより迅速な多層防御が可能になります。

SOARプラットフォームは脅威の状況を監視し、特定のポートを利用して拡散する、これまで知られていなかった新しいゼロデイマルウェアを探します。
SOARプラットフォームは、新しいマルウェアが新しいポートを使用して拡散していることを検出すると、各ベンダーのマーケットプレイスにあるプラグインを介してIllumioのPCEエンジンにAPI呼び出しを即座に自動的に送信します。これにより、Illumio はすべての管理対象ワークロードのポートを閉じるよう指示されます。
Illumioはゼロデイマルウェアの標的ポートを自動的に閉じます。これにより、マルウェアがまだ到着していなくても、ワークロードをマルウェアからプロアクティブに保護できます。これは人間の介入を必要とせずに、すぐに有効になります。

Through its integration with leading SOAR platforms, Illumio can proactively secure vulnerable ports targeted by zero-day malware with an automated workflow. — 主要なSOARプラットフォームとの統合により、Illumioは自動化されたワークフローでゼロデイマルウェアの標的となる脆弱なポートを積極的に保護できます。

‍Illumio ゼロトラストセグメンテーション:サイバー攻撃への迅速な対応

に加えて完全な可視性そしてきめ細かなマイクロセグメンテーション、イルミオゼロトラストセグメンテーション (ZTS) プラットフォーム進化し続けるサイバーセキュリティの脅威に対して、信頼性が高く、スケーラブルで、完全に自動化された対応を提供します。

マルウェアは拡散を望んでおり、IllumioはSOARプラットフォームと連携して自動的にポートを閉じ、完全に自動化されたワークフローを通じてマルウェアが拡散するのを防ぐことができます。Illumioは、次の侵害やランサムウェア攻撃が間近に迫っている状況で、侵害がネットワーク全体に広がったり、ビジネスに影響を及ぼす危機に発展したりすることを防ぐお手伝いをします。

イルミオ ZTS の詳細については、今すぐお問い合わせ無料の相談とデモをご覧ください。