Zuordnung von Illumio zu den Top 20 der GUS
In den letzten Wochen haben wir einen Anstieg der Anfragen von Unternehmen beobachtet, die wissen möchten, wie Illumio ihnen hilft, ihre Initiative Center for Internet Security (CIS) Security Controls umzusetzen. Die CIS Top 20 Controls Guidelines sind weithin akzeptiert und es gibt sie schon seit mehr als 10 Jahren, wobei die neuesten Version (7.1) veröffentlicht im April 2019, also waren wir von diesem Trend fasziniert. Wir haben mit diesen Unternehmen über ihre Beweggründe und ihr Interesse an Illumio gesprochen und viel gelernt.
Die meisten dieser Organisationen verwenden seit einiger Zeit die CIS-Richtlinien für bewährte Verfahren, aber der schnelle Übergang zu Betriebsmodellen für Telearbeit in Kombination mit Berichten Zunahme von Cyberangriffen zwingen sie, ihre Kontrollen und Instrumente neu zu bewerten. Und CSO-Umfrage vom April 2020 stellte fest, dass 26% der Befragten seit Mitte März einen Anstieg des Volumens, der Schwere und/oder des Umfangs von Cyberangriffen festgestellt haben. Einige dieser Unternehmen setzen ihren Übergang zu öffentlichen Clouds fort und erhöhen den Virtualisierungsbedarf in ihren Rechenzentren. Sie alle wollen die Lücken in ihren Sicherheitskontrollen und Basistechnologien besser verstehen.
Vor diesem Hintergrund finden Sie hier einen allgemeinen Überblick darüber, wie Illumio die CIS Top 20 Controls unterstützt.
Überblick über die 20 wichtigsten Sicherheitskontrollen der CIS
Beginnen wir mit einer kurzen Einführung in die Die 20 wichtigsten Sicherheitskontrollen der GUS. Die Kontrollen wurden ursprünglich von den roten und blauen Teams der NSA, den Atomlabors des US-Energieministeriums, Strafverfolgungsbehörden und einigen der landesweit führenden Forensik- und Vorfallschutzorganisationen entwickelt.
Die Steuerelemente leiten sich von den gängigsten ab Angriffsmuster in den wichtigsten Bedrohungsberichten hervorgehoben und in einer sehr breiten Gemeinschaft von Vertretern aus Regierung und Industrie überprüft. Sie spiegeln das kombinierte Wissen von Experten für Forensik und Reaktion auf Zwischenfälle aus Wirtschaft und Regierung wider.
Die Implementierung und Operationalisierung der 20 wichtigsten Sicherheitskontrollen der GUS ist kein einmaliges Unterfangen. Technologie, Bedrohungslandschaft und Angriffstechniken entwickeln sich ständig weiter. Die Kontrollen werden jedes Jahr aktualisiert, validiert und verfeinert. Sie sind nicht dazu gedacht, ein Compliance-Programm zu ersetzen, sondern entsprechen eigentlich Frameworks wie NIST CSF und Compliance-Standards wie PCI-DSS und HIPAA. Viele nutzen CIS-Kontrollen als Grundlage für bewährte Verfahren zur Informationssicherheit, die sie dann erweitern, um Eckfälle zu lösen und hochspezifische und präskriptive Anforderungen zu erfüllen.
Zuordnung von Illumio zu den 20 wichtigsten Steuerungen der GUS
So helfen Ihnen die Funktionen von Illumio dabei, eine CIS-Kontrolle direkt zu erfüllen oder zu unterstützen.
Grundlegende Steuerungen
1. Inventarisierung und Kontrolle von Hardwareanlagen. Illumio unterstützt diese Steuerung, indem es Ihnen ermöglicht, die Echtzeit zu verwenden Abbildung der Anwendungsabhängigkeiten zur Identifizierung und Validierung der Hardware-Serverkomponenten, die zu einer Anwendungsgruppe gehören, sowie der Server und Geräte, die autorisiert sind, eine Verbindung mit den Anwendungen herzustellen. Illumio unterstützt die API-basierte Integration mit Tools von Drittanbietern wie NAC, Inventarerkennung, ServiceNow CMDB und Service Mapping zur Überprüfung des Inventars. Der Illumio-Agent unterstützt Bare-Metal-, VM-, Public-Cloud-Instanzen und Container und sammelt Telemetrieinformationen (IP-Adressen, Ports, Prozesse, Protokolle), um die Karte der Anwendungsabhängigkeiten zu erstellen.
2. Inventarisierung und Kontrolle von Softwareressourcen. Illumio unterstützt diese Steuerung, indem es Ihnen ermöglicht, Abbildung der Anwendungsabhängigkeiten zur Identifizierung der Anwendungen und Workload-Komponenten, die zur Anwendungsgruppe gehören, und der anderen Software-Stack-Komponenten, die für eine Verbindung autorisiert sind, einschließlich Multi-Cloud-, Container-zu-Server-Verbindungen und Verbindungen mit öffentlichen Cloud-Instanzen. Die Informationen über Konnektivität und Datenflüsse bereichern die Softwareinventarinformationen, die von Asset Management-, CMDB- und SCM-Tools verwaltet werden. Das Default-Deny-Modell von Illumio trennt Anwendungen mit hohem Risiko, die für den Geschäftsbetrieb erforderlich sind, logisch voneinander. Die Sichtbarkeit ohne Agenten — für Szenarien, in denen Agenten nicht unterstützt werden, wie AWS RDS, Azure Managed SQL, GCP-Flows und Speicherfilter — wird mithilfe der Flowlink-Funktion ermöglicht.
3. Kontinuierliches Schwachstellenmanagement. Illumio unterstützt diese Kontrolle durch die Integration mit Schwachstellenscannern und die Erfassung von Schwachstelleninformationen. Es verwendet diese Informationen zur visuellen Anzeige Malwaremögliche laterale Angriffswege. Die Bewertung der Gefährdungsexposition bietet eine geschäftsorientierte Risikoberechnung. Sie können diese Informationen verwenden, um Ihre Fähigkeit zu verbessern, Prioritäten für die Patch-Strategie zu setzen und eine Segmentierung auf Prozessebene in Fällen anzuwenden, in denen das Patchen betrieblich nicht durchführbar ist.
4. Kontrollierte Verwendung von Administratorrechten. Illumio unterstützt diese Steuerung durch die Integration in führende MFA-Lösungen. Illumio kann Richtlinien überwachen und durchsetzen, um sicherzustellen, dass dedizierte Workstations isoliert sind und die geringsten Privilegien angewendet werden. In VDI-Umgebungen, Verbindungen zu Workload-Anwendungen werden auf der Grundlage der Microsoft-Gruppenmitgliedschaft des Benutzers gesteuert.
5. Sichere Konfiguration für Hardware und Software auf Mobilgeräten, Laptops, Workstations und Servern. Illumio unterstützt SCM-Tools, indem es Einblick in den gesamten Datenverkehr bietet und schnell die Ports/Protokolle identifiziert, die von Workloads verwendet werden und welche Anwendungsbesitzer es sind nicht erwarten, damit sie schnell Abhilfe schaffen können.
6. Wartung, Überwachung und Analyse von Auditprotokollen.Wenn ein Kunde Illumio verwendet, um sein internes Rechenzentrum und seine Cloud, Peer-to-Peer-Verbindungen zwischen Benutzern und Endpunkten zu segmentieren, führt Illumio ein Protokoll aller Verbindungen und Datenverkehrsflüsse, Ereignisse (zulässiger, blockierter, potenziell blockierter Verkehr) und des Verlaufs der zugehörigen Richtlinien, Regeln und Ereignisse. Autorisierte Betreiber können in der Illumio Datenbank für historische Verkehrsdaten nach Betriebsabläufen, Reaktionen auf Zwischenfälle und Untersuchungen, Berichten und Audits suchen. Illumio lässt sich in führende SIEM-Tools integrieren wie Splunk, IBM QRadarund ArcSight zur Archivierung, Suche und Korrelation riesiger Mengen von Protokoll- und Ereignisdaten für Berichte, Untersuchungen und die Reaktion auf Vorfälle.
Grundlegende Kontrollen
9. Beschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten. Illumio erfüllt diese Steuerung direkt. Illumio verwendet Informationen über die Verbindungen der Anwendung — detaillierte historische Verbindungen zu Verbindungen und Verkehrsströmen, einschließlich Port, Prozessen und Protokollen —, um zunächst die geltenden Firewall-Regeln zu empfehlen. Illumio verwendet ein Default-Deny-Modell, sodass Verbindungen, die nicht den Richtlinien entsprechen, blockiert oder potenziell blockiert werden können.
11. Sichere Konfiguration für Netzwerkgeräte wie Firewalls, Router und Switches. Illumio erfüllt diese Steuerung direkt. Illumio verwaltet detaillierte historische und Echtzeitinformationen zu den Datenverkehrs- und Ereignisprotokollen, um zu überprüfen, ob Netzwerkgeräte, insbesondere Ost-West-Firewalls, das tun, was sie tun sollten, und keinen Datenverkehr zulassen, den die Firewall-Richtlinien verbieten sollten. Benutzer können eine IP erstellen Ablehnungsliste um die Kommunikation mit bekannten bösartigen oder ungenutzten Internet-IP-Adressen zu blockieren. Benutzer können Verbindungen so programmieren, dass die Verbindungen von Arbeitslast zu Arbeitslast auf bestimmte Ports, Prozesse und Protokolle beschränkt werden. Illumio Core implementiert VEN-Manipulationsprävention. Sie können mit Illumio eine Mikrosegmentierung implementieren, sodass Netzwerkadministratoren isoliert werden können und erweiterte Zugriffsrechte haben. Sie können eine detailliertere Segmentierung implementieren, ohne die Architektur von VLANs und Subnetzen jedes Mal neu erstellen zu müssen, wenn sich die Geschäftsanforderungen ändern.
12. Grenzverteidigung. Illumio erfüllt diese Steuerung direkt. Illumio wendet hostbasierte Segmentierung an, um Verbindungen und Datenflüsse zwischen Anwendungen und Geräten mit unterschiedlichen Vertrauensstufen zu überwachen und zu steuern. Sie können eine feinkörnige Segmentierung ohne kostspielige und riskante Neuarchitektur der Netzwerkinfrastruktur erreichen.
13. Datenschutz. Illumio unterstützt diese Anforderung, indem es proaktiv verhindert, dass unbefugte Workloads und Benutzer über das Default-Deny-Modell eine Verbindung zu geschützten Anwendungen herstellen, und indem potenzielle laterale Angriffspfade böswilliger Akteure identifiziert und blockiert werden. Illumio erkennt und blockiert unautorisierte Verbindungen, die versuchen könnten, vertrauliche Informationen zu übertragen, und sendet Warnmeldungen an den Sicherheitsdienst. Sie können Illumio auch verwenden, um Richtlinien zu programmieren und durchzusetzen, die den Zugriff und die Verbindungen zu Cloud- und E-Mail-Anbietern kontrollieren.
14. Kontrollierter Zugriff auf der Grundlage von Need to Know. Illumio erfüllt diese Steuerung direkt. Illumio kann verwendet werden, um autorisierte Verbindungen zwischen Workloads, Anwendungen, VDI Benutzer und Geräte. Illumio Core kann bei der Verwaltung des Zugriffs auf eine Umgebung helfen, indem es sowohl den Netzwerkzugriff auf ein System als auch potenziell den logischen Zugriff verwaltet. Externe IP-Adressen können speziell zu Regelsätzen hinzugefügt und Gruppen zugewiesen werden, je nachdem, welche Benutzer auf diese Systeme zugreifen müssen (Benutzer können Maschinen oder einzelne Bediener sein). Diese Regeln können auf Richtlinienebene aktiviert/deaktiviert werden, um bestimmte Zugriffe auf Systeme sofort und effizient zu deaktivieren. In VDI-Umgebungen Adaptive Benutzersegmentierung kann verwendet werden, um den Zugriff auf bestimmte Ressourcen auf der Grundlage der Active Directory-Gruppenrichtlinie zu ermöglichen.
15. Drahtlose Zugangskontrolle. Illumio unterstützt diese Steuerung, indem es die Segmentierung für den drahtlosen Zugriff auf bestimmte autorisierte Geräte und Server programmiert und durchsetzt und den Zugriff auf andere drahtlose Netzwerke einschränkt.
16. Kontoüberwachung und -kontrolle. Illumio unterstützt diese Kontrolle durch die Integration mit SSO- und Access Governance-Tools von Drittanbietern. Sie können auch die On-Demand-Verschlüsselung von Illumio verwenden, um sicherzustellen, dass alle Kontonutzernamen und Authentifizierungsdaten über verschlüsselte Kanäle über Netzwerke übertragen werden.
Organisatorische Kontrollen
18. Sicherheit der Anwendungssoftware. Illumio unterstützt diese Kontrolle, indem es Richtlinien zur Mikrosegmentierung anwendet, um die Produktion von den Systemen zu trennen, die nichts mit der Produktion zu tun haben. Illumio programmiert auch hostbasierte Firewall-Regeln, um sicherzustellen, dass Entwickler keinen unkontrollierten und ungehinderten Zugriff auf Produktionssysteme haben.
19. Reaktion und Management von Vorfällen. Illumio unterstützt diese Steuerung. Autorisierte Benutzer können Berichte über historische Verkehrsdaten, Ereignisse und Protokolldaten von Illumio abrufen, um Untersuchungen und Arbeitsabläufe bei der Reaktion auf Zwischenfälle zu unterstützen.
20. Penetrationstests und Red Team-Übungen. Illumio unterstützt diese Steuerung. Unternehmen können die Informationen aus der Übersicht der Anwendungsabhängigkeiten, den Regelsätzen und den Anwendungsgruppierungen als Grundlage für die Festlegung des Umfangs ihrer Pen-Tests verwenden.
Um es zusammenzufassen
Systemische Ereignisse lösen in der Regel eine Bewertung der bestehenden Sicherheitskontrollen aus. Illumio unterstützt Unternehmen bei der Implementierung eines pragmatischen Ansatzes zur Bewertung und Umsetzung ihrer wichtigsten 20 CIS-Kontrollen. Unternehmen können dies tun, indem sie die folgenden Funktionen nutzen:
- Abbildung von Anwendungsabhängigkeiten in Echtzeit das hilft dabei, neue Verbindungen und Änderungen der Verbindungen zu hochwertigen Systemen zu identifizieren, die auf Änderungen des Betriebsmodells zurückzuführen sind.
- Karten der Sicherheitslücken die die Ausnutzbarkeit einer Sicherheitslücke berechnen und visuell veranschaulichen. Dies hilft bei der Priorisierung von Kontrollen und Segmentierungsmaßnahmen rund um die riskantesten Ressourcen und Verbindungen.
- Segmentierung über ein Default-Deny-Modell, das nicht auf einer Neuarchitektur der Netzwerkarchitektur beruht.
- API-basierte Integration mit IT-Ops von Drittanbietern, Sicherheits- und Analysetools, mit denen Sie kontinuierlich Trends überwachen können, die Ihrem Unternehmen neue Risiken bescheren. Diese Integrationen helfen Ihnen auch bei der Entwicklung und Umsetzung von Plänen zur Verbesserung der Wirksamkeit vorhandener Kontrollen.
Die CIS Top 20 Controls bieten grundlegende Sicherheitshygiene, bieten aber auch den Rahmen für die Priorisierung der Sicherheitslücken und Sicherheitskontrollen, die die größten Auswirkungen auf Ihr Unternehmen haben werden.
Wenn Sie mehr über die Funktionen von Illumio erfahren möchten, schauen Sie sich an Illumio Core.