Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
IL L U M IO P R O D U K T E
Christer Swartz
Marketingdirektor für Lösungen
Illumio Editorial
5August 2024
23 min. lesen

Wenig bekannte Funktionen von illumio core: Erweiterte Datenerfassung

In dieser fortlaufenden Serie beleuchten die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.  

Wir verwenden Erkennungstools seit Jahrzehnten. Doch die Zahl der Sicherheitsverletzungen und Ransomware-Angriffe nimmt weiter zu.  

Cyberangriffe verändern sich und bewegen sich schneller als je zuvor. Es ist unmöglich, alle Sicherheitsverletzungen zu erkennen und zu verhindern, aber wir können ihre Ausbreitung stoppen, wenn sie passieren.

Illumio Zero Trust Segmentation (ZTS) stoppt die Ausbreitung von Sicherheitsverletzungen und Ransomware-Angriffen, bevor sie an Ihre kritischen Assets und Daten gelangen können. Anstatt zu versuchen, den nächsten Angriff zu verhindern oder zu erkennen, verriegelt Illumio ZTS die Tür zu Ihren Netzwerksegmenten.

Aber was ist mit der kleinen Anzahl von Ports, die offen bleiben müssen, damit Sie Ihr Geschäft führen können? Die erweiterte Datenerfassungsfunktion von Illumio hilft Ihnen, Ihr Verkehrsaufkommen zu überwachen, um Anomalien zu finden und bei Bedarf Maßnahmen zu ergreifen. Lesen Sie weiter, um mehr darüber zu erfahren, wie diese Funktion funktioniert und welchen Wert sie für Ihr Unternehmen bringen kann.

Die Erkennung von Bedrohungen reicht nicht aus, um sich vor Sicherheitsverletzungen zu schützen

Angreifer setzen Malware und Ransomware schneller ein, als Erkennungs- und Reaktionstools Schritt halten können. Zero-Day-Bedrohungen, wie z. B. die MOVEit-Angriffe der Clop-Ransomware-Gruppe, können schnell an den Erkennungstools vorbeigehen und sich sofort in Ihrem Netzwerk ausbreiten.  

Wenn Sie keine Möglichkeit haben, die Ausbreitung unentdeckter Sicherheitsverletzungen zu verhindern, können Angreifer innerhalb von Minuten auf Ihre wichtigsten Ressourcen zugreifen.

Nachdem die erste Workload kompromittiert wurde, suchen Angreifer sofort nach offenen Sitzungen, damit sie sich auf benachbarte Workloads ausbreiten können. Zu den Ports, die häufig geöffnet sind und zwischen Workloads lauschen, gehören RDP, SSH und SMB. Jede dieser Funktionen kann leicht von Malware verwendet werden, um ihre Nutzlast an benachbarte Workloads zu übermitteln und sich mit exponentieller Geschwindigkeit über die Infrastruktur auszubreiten.  

Illumio ZTS verhindert die Ausbreitung von Sicherheitslücken jeglicher Größenordnung, selbst wenn diese von Bedrohungserkennungslösungen unentdeckt geblieben sind. Sie können die Ports blockieren, die Angreifer am häufigsten zum Eindringen in Netzwerke nutzen, und so nur einer kleinen Anzahl zentralisierter Managementsysteme Zugriff gewähren. Dies bedeutet, dass jeder erfolgreiche Angriff auf seinen Eintrittspunkt beschränkt bleibt und sich nicht im restlichen Netzwerk ausbreiten kann.  

Anstatt Ressourcen darauf zu verwenden, eine Bedrohung zuerst zu erkennen und dann ihre Absicht zu verstehen, verhindert Illumio einfach, dass Bedrohungen Sitzungen verwenden und Ports zwischen Workloads öffnen, um sich auszubreiten. Illumio verriegelt die Türen, bevor er versucht zu verstehen, warum jemand versucht, sie aufzubrechen.  

So wird sichergestellt, dass ein kleines, unentdecktes Sicherheitsproblem nicht stillschweigend zu einem katastrophalen Vorfall eskalieren kann.

Erweiterte Datenerfassung: Sicherung von Ports, die für den Geschäftsbetrieb geöffnet bleiben müssen

Wenn Sie 100 % aller Ports überall blockieren, sind Sie zu 100 % sicher vor Malware, die sich über Ihr Netzwerk ausbreitet. Aber es bedeutet auch, dass Sie zu 100 % nicht in der Lage sind, Geschäfte zu machen. Beispielsweise benötigen Verarbeitungsworkloads weiterhin Zugriff auf Datenbankworkloads.  

Wie überwacht Illumio die kleine Anzahl von Ports, die offen bleiben müssen, um sicherzustellen, dass sie nicht missbraucht werden?

Mit der Funktion "Enhanced Data Collection" setzen die Illumio Virtual Enforcement Node (VEN)-Agenten die Firewall-Funktionen durch, die in den meisten modernen Betriebssystemen integriert sind. Da diese VENs direkt auf einer Workload bereitgestellt werden, können sie auch Informationen zu Folgendem sammeln:

  • Prozesse, die derzeit auf allen verwalteten Hosts ausgeführt werden
  • Das Volumen des Datenverkehrs, das auf offenen Ports verwendet wird  

Die Illumio Policy Compute Engine (PCE) zeigt dann die Anzahl der Bytes an und protokolliert sie, die in bestimmten offenen Sitzungen verwalteter Workloads angezeigt wurden.  

Wenn beispielsweise Port 53 bei einer Arbeitslast offen gelassen wird, um den DNS-Zugriff zu ermöglichen, kann der VEN Metriken über das über diesen Port verzeichnete Datenverkehrsvolumen erfassen. Wenn die Byteanzahl wie erwartet ein geringes Verkehrsaufkommen anzeigt, trägt dies dazu bei, sicherzustellen, dass es sich um gültigen DNS-Verkehr handelt. Wenn die Zählung jedoch 10 Gigabyte an Datenverkehr anzeigt, der über denselben Port läuft, ist dies ein Warnsignal dafür, dass es sich nicht um gültigen DNS-Datenverkehr handelt. Es könnte auf eine aktive DNS-Tunneling-Bedrohung hindeuten.  

Sie können die von der Funktion „Erweiterte Datenerfassung“ ermittelten Datenverkehrsmengen anzeigen und automatisch Maßnahmen ergreifen. Eine SIEM-Lösung (Security Information and Event Management), wie beispielsweise Splunk, kann Protokolle von Illumio erfassen. Wenn es ungewöhnlich hohe Datenverkehrsmengen über offene Ports feststellt, kann es seine SOAR-Plattform (Security Orchestration, Automation, and Response) nutzen, um automatisch API-gesteuerte Anweisungen an Illumio zu senden, diese Ports zu blockieren. Die Reaktion auf Verkehrsanomalien erfordert eine automatisierte Antwort , um die Verzögerung zu vermeiden, die durch die Notwendigkeit einer menschlichen Entscheidung entsteht.  

Funktionsweise der erweiterten Datenerfassung

Sie können die erweiterte Datenerfassung auf zwei Arten verwenden:  

  • Pairing-Profile: Die VENs beginnen mit dem Zählen von Bytes für Sitzungen auf Workloads, sobald sie anfänglich gekoppelt werden.  
  • Arbeitsauslastungen: Bytes werden für Workloads gezählt, die bereits bereitgestellt wurden.
Erweiterte Datenerfassungsfunktion für vorhandene Workloads
Erweiterte Datenerfassungsfunktion Kopplung von Profilen
Sie können das Verkehrsaufkommen aufzeichnen, wenn Arbeitslasten gekoppelt (oben) oder mit vorhandenen Arbeitslasten (unten) verwendet werden

Die Funktion sammelt und protokolliert das Datenverkehrsvolumen für den gesamten Datenverkehr über eine erzwungene Sitzung. Sie können diese Daten dann in der Option Traffic der grafischen PCE-Benutzeroberfläche (GUI) von Illumio anzeigen.

Die Traffic-Option der Illumio PCE-GUI
Zeigen Sie das Verkehrsaufkommen in der Option Verkehr der PCE-GUI an.

Mit der erweiterten Datenerfassung kann Bedrohungsverhalten erkannt werden, ohne dass Datenverkehr abgefangen werden muss. Illumio erkennt das Verkehrsaufkommen vollständig von der Managementebene aus, indem es die verwalteten Workload-Prozesse und das erwartete Verhalten dieser Workloads überwacht. Dadurch wird das Risiko vermieden, dass ein Engpass in der Datenebene entsteht.  

Bereiten Sie sich mit Illumio auf die nächste Sicherheitsverletzung oder den nächsten Ransomware-Angriff vor

Lösungen zur Bedrohungssuche sind nach wie vor ein wichtiger Bestandteil einer Zero-Trust-Architektur. Aber um Ihre Zero-Trust-Grundlage aufzubauen, ist eine Zero-Trust-Segmentierung von entscheidender Bedeutung.

Zero Trust sollte Ihr Netzwerk nicht komplexer machen. Es sollte es vereinfachen. Illumio ZTS bietet eine einfache Lösung für eine komplexe Sicherheitsherausforderung.  

Wenn Sie mehr über die Verwendung der erweiterten Datenerfassung erfahren möchten, kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Erkennen und Eindämmen von Lateral Movement in der Cloud mit Illumio Insights
IL L U M IO P R O D U K T E

Erkennen und Eindämmen von Lateral Movement in der Cloud mit Illumio Insights

Erfahren Sie, wie Illumio Insights laterale Bewegungen in der Cloud erkennt und eindämmt, Angreifer in Echtzeit stoppt und Ihre Sicherheitslage stärkt.

Mehr lesen
3 Wege, wie Illumio + Microsoft Azure Firewall Ihre Cloud-Sicherheitsstrategie stärken
IL L U M IO P R O D U K T E

3 Wege, wie Illumio + Microsoft Azure Firewall Ihre Cloud-Sicherheitsstrategie stärken

Erfahren Sie, wie Sie durch die gemeinsame Integration von Illumio und Microsoft Azure Cloud-Umgebungen schnell und sicher skalieren können.

Mehr lesen
Integration von Transparenz und Regelerstellung für effiziente Workload-Sicherheit
IL L U M IO P R O D U K T E

Integration von Transparenz und Regelerstellung für effiziente Workload-Sicherheit

Für die Workloadsicherheit gelten zwei allgemeine Anforderungen: Transparenz und Durchsetzung.

Mehr lesen
Wenig bekannte Funktionen von Illumio Core: SOAR-Plattform-Integrationen
IL L U M IO P R O D U K T E

Wenig bekannte Funktionen von Illumio Core: SOAR-Plattform-Integrationen

Erfahren Sie, wie die Integrationen von Illumio Core mit SOAR-Plattformen von Drittanbietern sicherstellen, dass sich neue und unbekannte Malware nicht in Ihrem Netzwerk verbreiten kann.

Mehr lesen
Wenig bekannte Funktionen von Illumio Core: Verkehr und Karte
IL L U M IO P R O D U K T E

Wenig bekannte Funktionen von Illumio Core: Verkehr und Karte

Erfahren Sie, wie die Traffic- und Map-Tools von Illumio Ihnen helfen, schnell und einfach zu verstehen, was in Ihrem Netzwerk passiert.

Mehr lesen
Wenig bekannte Funktionen von illumio core: Virtuelle Dienste
IL L U M IO P R O D U K T E

Wenig bekannte Funktionen von illumio core: Virtuelle Dienste

Erfahren Sie, wie Sie die virtuellen Services von Illumio Core nutzen können, um Ihre Hosts und deren Anwendungen und Prozesse mit und ohne Agenten zu sichern.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren