Wenig bekannte Funktionen von Illumio Core: SOAR-Plattformintegrationen

In dieser Serie heben die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.

Sicherheitslücken und Ransomware-Angriffe entwickeln sich schnell — schneller, als viele herkömmliche Präventions- und Erkennungstechnologien reagieren können.

Malware kann sich innerhalb von Sekunden verbreiten, viel schneller, als ein Mensch reagieren kann. Es ist eine Binsenweisheit der Cybersicherheitsbranche, dass das schwächste Glied in jeder Sicherheitsarchitektur zwischen der Tastatur und dem Stuhl ist. Die Lösung gegen die automatische Ausbreitung von Schadsoftware muss eine ebenso automatisierte Sicherheitsreaktion sein.

Durch die Integration von Illumio Core mit SOAR-Plattformen von Drittanbietern können Sie sicher sein, dass neue und unbekannte Malware automatisch isoliert und eingedämmt wird.

Warum die Eindämmung von Sicherheitsverletzungen jetzt wichtig ist

Alle Schadprogramme haben eines gemeinsam: Sie bewegen sich gerne.

Der erste verletzte Workload ist selten das beabsichtigte Ziel. Es wird als „Fuß in der Tür“ Ihres Netzwerks verwendet, um Informationen zu sammeln. Aufgrund dieser Erkenntnisse tauschen die Malware und ihr Steuerungssystem Command-and-Control-Traffic aus. Letztlich weist das Steuerungssystem die Malware an, wie sie sich im Netzwerk ausbreiten soll.

Die schlechten Nachrichten? All das passiert in Sekundenschnelle.

Sicherheitslücken und Ransomware-Angriffe sind unvermeidlich, und Ihre herkömmlichen Präventions- und Erkennungstools reichen nicht aus, um die heutigen Angriffe abzuwehren. Unternehmen jeder Größe, Region und Branche müssen zusätzlich zu ihren Präventions- und Erkennungstools Strategien zur Eindämmung von Sicherheitsverletzungen priorisieren. So wird sichergestellt, dass die nächste Sicherheitsverletzung nicht zu einem katastrophalen Ereignis wird, das den Betrieb zum Erliegen bringt, sensible Daten preisgibt und das Vertrauen Ihrer Kunden, Stakeholder und Mitarbeiter schwächt.

Moderne Cybersicherheit wird definiert durch den Übergang von der Verhinderung von Sicherheitsverletzungen zu Überleben der Sicherheitslücke. Die Verhinderung der Ausbreitung von Sicherheitsverletzungen muss eine ebenso hohe Priorität haben wie die Verhinderung eines Verstoßes. ‍

Bereite dich mit Illumio proaktiv auf Sicherheitslücken vor

Leider wird keine Lösung zur Verhinderung von Sicherheitsverletzungen jemals zu 100 Prozent wirksam sein; ein Verstoß wird passieren. Sobald diese unvermeidliche Sicherheitsverletzung auftritt, verhindert Illumio, dass sie sich auf benachbarte Hosts ausbreitet, indem es proaktiv offene Ports auf allen Hosts deaktiviert.

Die meisten Hosts und ihre Workloads müssen keine Verbindungen untereinander herstellen. Vielmehr müssen sie in der Regel nur eine Verbindung zu einer kleinen Gruppe gemeinsamer Ressourcen herstellen oder ausgehende Verbindungen herstellen. Es kommt beispielsweise selten vor, dass alle in einem Rechenzentrum oder einer Cloud-Umgebung bereitgestellten Workloads direkt miteinander verbunden werden müssen.

Um das Risiko zu minimieren, das unnötig offene Ports mit sich bringen können, kann Illumio Workloads auf eine von zwei Arten durchsetzen:

• Selektive Durchsetzung: Bestimmte Ports sind blockiert und der gesamte andere Verkehr ist erlaubt.
• Vollständige Durchsetzung: Bestimmte Ports sind blockiert und der gesamte andere Verkehr ist verweigert.

Selektive Durchsetzung kann verwendet werden, wenn Sie wissen, welchen Datenverkehr Sie zwischen Workloads wie RDP und SSH nicht zulassen möchten. Malware entwickelt sich jedoch ständig weiter und findet neue Ports, die sie verwenden kann. Aus diesem Grund ist es am besten, die vollständige Durchsetzung zu nutzen, da sie die Ausbreitung von Malware viel effektiver blockieren kann. Bei vollständiger Durchsetzung deaktiviert Illumio alle Ports für alle Workloads in beliebiger Größenordnung und erlaubt dann bei Bedarf ausnahmsweise offene Ports.

Das Ergebnis wird wie das unten stehende Beispiel für eine vollständige Durchsetzung aussehen. In der Abbildung auf der linken Seite wird die Kommunikation zwischen Workloads verhindert (rote Pfeile), da die standardmäßig geöffneten Ports von Illumio deaktiviert wurden. Auf dem Bild auf der rechten Seite hat Illumio Ausnahmen (grüne Pfeile) aktiviert, um nur den Datenverkehr zwischen bestimmten Anwendungsgruppen über bestimmte Ports zuzulassen:

Bei voller Durchsetzung mit Illumio lassen infizierte Hosts nicht zu, dass sich Schadsoftware sehr weit ausbreitet, da nur eine Handvoll Ports geöffnet sind — etwas, das unabhängig davon gilt, wie neu oder komplex die Malware ist. Dadurch schrumpft der Explosionsradius eines Angriffs erheblich, sodass aus einer möglicherweise katastrophalen Sicherheitsverletzung ein kleiner Sicherheitsvorfall wird, der den Betrieb nicht beeinträchtigt oder überhöhte Kosten für die Behebung erfordert.

Automatisieren Sie Richtlinienänderungen mit den SOAR-Integrationen von Illumio

Wenn eine Sache in der Cybersicherheit zutrifft, dann ist es, dass sich die Dinge ändern — ständig. Die heutige Bedrohungslandschaft und die Komplexität der heutigen Netzwerke bedeuten, dass Sicherheitsmaßnahmen nicht statisch bleiben können. Unternehmen müssen die Möglichkeit haben, Durchsetzungsrichtlinien in Echtzeit zu aktualisieren.

Illumio ermöglicht vollautomatische Änderungen seiner Sicherheitsrichtlinien in Echtzeit durch Integrationen mit SOAR-Plattformen (Security Orchestration, Automation, and Response).

Es ist wichtig zu beachten, dass sich SOAR-Plattformen von SIEM-Plattformen (Security Information and Event Management) unterscheiden. Illumio kann Protokolle an eine SIEM-Plattform weiterleiten, z. B. Splunk um protokollierte Ereignisse auf Workloads zu analysieren, die von Illumio verwaltet werden, auf der Suche nach Warnsignalen. Aber wenn es welche findet, hat das SIEM keine Möglichkeit, Befehle an Illumio zurückzuschicken, um gefährdete Ports zu schließen. Diese Funktion wird über eine SOAR-Plattform aktiviert.

Illumio lässt sich in drei SOAR-Systeme von Drittanbietern integrieren: Splunk SOAR, IBM QRadar SOARund Palo Alto Networks Kortex XSOAR. Die Illumio + SOAR-Integrationen bieten schnellen und umfassenden Schutz durch die folgenden Schritte:

• Die SOAR-Plattformen überwachen die Bedrohungslandschaft und suchen nach neuer, bisher unbekannter Zero-Day-Malware, die sich über bestimmte Ports verbreitet.
• Wenn die SOAR-Plattform feststellt, dass neue Malware einen neuen Port zur Verbreitung verwendet, sendet sie sofort und automatisch API-Aufrufe über ein Plugin auf dem Marketplace jedes Anbieters an die PCE-Engine von Illumio. Dadurch wird Illumio angewiesen, die Ports für alle verwalteten Workloads zu schließen.
• Illumio schließt automatisch die Zielports der Zero-Day-Malware. Dadurch werden Workloads proaktiv vor der Malware geschützt, auch wenn sie noch nicht eingetroffen ist. Dies wird sofort aktiviert, ohne dass ein menschliches Eingreifen erforderlich ist.

‍Illumio Zero Trust Segmentierung: Reagieren Sie schneller auf Cyberangriffe

Zusätzlich zu vollständige Sichtbarkeit und granuläre Mikrosegmentierung, das Illumio Zero-Trust-Segmentierungsplattform (ZTS) bietet eine zuverlässige, skalierbare und vollautomatische Reaktion auf sich ständig weiterentwickelnde Cybersicherheitsbedrohungen.

Malware will sich ausbreiten — und Illumio kann in Verbindung mit SOAR-Plattformen Ports automatisch schließen und so verhindern, dass sich Malware über einen vollautomatischen Workflow verbreitet. Da die nächste Sicherheitsverletzung oder der nächste Ransomware-Angriff immer gleich um die Ecke ist, hilft Illumio Ihrem Unternehmen dabei sicherzustellen, dass sich Sicherheitslücken nicht im gesamten Netzwerk ausbreiten oder zu einer geschäftsschädigenden Krise eskalieren können.

Um mehr über Illumio ZTS zu erfahren, kontaktiere uns noch heute für eine kostenlose Beratung und Demo.