Wenig bekannte Funktionen von Illumio Core: Vulnerability Maps

In dieser fortlaufenden Serie heben die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.

Die moderne Computerlandschaft ist ein sehr verlockendes Ziel für Cyberkriminelle, da sie das Potenzial für erhebliche Gewinne durch Ransomware, Finanzdiebstahl durch Sicherheitslücken, die Exfiltration geistigen Eigentums und Infrastrukturstörungen birgt.

Da traditionelle Sicherheitskontrollen in hybriden Multi-Cloud-Architekturen als Priorität oft weit hinterherhinken, nehmen die Möglichkeiten für Cyberkriminelle immer weiter zu. Viele Unternehmen verwenden Schwachstellenscanner, um in Echtzeit Updates zu anfälligen Ports zu erhalten. Diese Scanner bieten jedoch nur Einblicke — keine Lösungen.

In diesem Blogbeitrag erfahren Sie, wie Sie Ihre Schwachstellenscanner-Daten mit der Leistung von Illumio kombinieren können Karte der Sicherheitslücken um Sicherheitslücken sofort abzusichern und Ihr Risiko zu reduzieren.

Die Komplexität des Netzwerks macht den Schutz vor Zero-Day-Bedrohungen schwierig

Heute befinden sich Daten überall. Daten können sich dynamisch innerhalb und zwischen Clouds, zu und von verteilten Rechenzentren sowie zu und von Endpunkten bewegen, die von überall auf der Welt eine Verbindung zu Cloud-Diensten herstellen können. Dabei sind sie von Daten abhängig, die auf SaaS-Plattformen gehostet werden.

Diese moderne dynamische Architektur ist zwar praktisch, der Nachteil ist jedoch, dass es zu einer Explosion möglicher Eintrittspunkte in Ihre Umgebung kommt. All diese Clouds, Rechenzentren und Endgeräte sind auf eine dynamische Reihe von externen Abhängigkeiten angewiesen, von denen jede als potenzielle offene Tür dient, die durchbrochen werden kann.

‍
Der moderne Cyberkriminelle kann all diese Eintrittspunkte problemlos nach einer Gelegenheit durchsuchen. Obwohl sie sich auf Endpunktidentitätskontrollen, Cloud-Perimeter-Tools wie virtuelle Firewalls, SASE und ZTNA-Durchsetzungspunkte verlassen, sind die meisten Sicherheitslücken durch diese Tools auf menschliche Konfigurationsfehler oder Herstellerfehler zurückzuführen.

Viele der großen Sicherheitslücken der letzten Jahre waren auf das schwächste Glied in einer Sicherheitsarchitektur zurückzuführen: die Person zwischen Tastatur und Stuhl. Unternehmen müssen davon ausgehen, dass es irgendwann zu einer Sicherheitsverletzung kommen wird, und Unternehmen benötigen eine Möglichkeit, das Risiko, das Workloads angesichts des ständigen Ansturms von Zero-Day-Malware mit sich bringen, eindeutig zu quantifizieren.

‍Schwachstellenscanner allein reichen nicht aus, um vor neu entdeckten Bedrohungen zu schützen

Schwachstellen-Scanner informieren in Echtzeit über anfällige Ports, die von der neuesten Malware zur Verbreitung bösartiger Payloads verwendet werden. Gängige Beispiele für solche Scanner sind Qualys, Rapid 7, und Beständig. Die von diesen Scannern erhaltenen Sicherheitslücken können dabei helfen, Workloads in Ihrer Umgebung zu identifizieren, die möglicherweise diese gefährdeten Ports verwenden und gepatcht werden müssen, um sich vor gemeldeten Sicherheitslücken zu schützen.

Diese Scanner bieten ein Common Vulnerability Scoring System (CVSS), um Risiken zu quantifizieren, indem gefährdete Risikopositionen anhand einer numerischen Skala eingestuft werden. Die Sicherheitsbewertungen von Scannern sind eindimensional und werden auf einen Port oder eine Reihe von Anschlüssen angewendet, die von einem bestimmten Betriebssystem verwendet werden. Somit ist es Sache des Security Operations Center, zu bestimmen, welche Workloads und Abhängigkeiten gepatcht werden müssen und wie viele Ausfallzeiten kritische Workloads tolerieren können, um sie rechtzeitig zu aktualisieren.

Dies führt häufig zu Echtzeitinformationen über Expositionen — allerdings mit Verzögerungen bei deren Behebung. Warum? Da diese Scanner keinen Einblick in Ihre Umgebung haben, berücksichtigen sie nicht die Konnektivität eines Workloads oder die Abhängigkeiten zwischen anderen Workloads in Ihrer Umgebung und können keinen sofortigen Schutz vor neu erkannten Bedrohungen bieten.

‍Kombinieren Sie Schwachstellenscanner mit Illumio, um Sicherheitslücken schnell einzudämmen‍

Um Schwachstellen-Scanner effektiver zu machen, benötigen Sie eine Möglichkeit, die Sicherheit als Reaktion auf die Ergebnisse der Scanner zu automatisieren. An dieser Stelle kommen die Vulnerability Maps von Illumio ins Spiel. Kombinieren Sie die Daten Ihres Schwachstellen-Scanners mit der Echtzeitkarte von Illumio, um Folgendes zu messen Risikoexposition reduzieren.

Diese Funktion kombiniert die von diesen Scannern erhaltenen CVSS-Werte mit den Informationen, die Illumio Core kontinuierlich in Ihrer Umgebung ermittelt, um einen Vulnerability Exposure Score (VES) zu berechnen. Manchmal auch als V-E-Score bezeichnet, handelt es sich um eine Zahl auf einer Risikoskala: Höhere Werte bedeuten ein höheres Risiko, während niedrigere Werte ein niedrigeres Risiko bedeuten. Dieser V-E-Wert berechnet, wie viele Workloads in Ihrer Umgebung in der Lage sind, diese anfälligen Ports zwischen gehosteten Anwendungen zu verwenden, und empfiehlt dann eine geänderte Richtlinie, um zu verhindern, dass diese Ports zwischen Workloads verwendet werden.

‍Das heißt, wenn Sie derzeit nicht in der Lage sind, einen anfälligen Host zu patchen, patcht Illumio das Netzwerk im Wesentlichen für Sie. Da davon ausgegangen werden muss, dass ein ungepatchter Host in Ihrer Umgebung unweigerlich durch Malware gefährdet wird, die diesen anfälligen Port nutzt, verhindert Illumio, dass dieser ungepatchte Host Malware lateral auf andere Hosts verbreitet.

Illumio isoliert Angriffe und verhindert, dass sie sich in Ihrem Netzwerk ausbreiten, ohne dass Sie die Konfiguration oder Absichten des Angriffs verstehen müssen. Es ist zwar immer noch wichtig, anfällige Workloads zu patchen, aber Illumio ermöglicht sofortige Sicherheit, während Ihre Abhilfemaßnahmen möglicherweise einem langsameren Arbeitsablauf folgen.

‍Wie Vulnerability Maps Sicherheitsrisiken in 3 Schritten quantifizieren

Illumio Core ermöglicht es Sicherheitsteams, Risiken zu quantifizieren, Segmentierungsrichtlinien zu erstellen und die Richtlinie dann vor der Implementierung zu modellieren und zu testen. Durch die Möglichkeit, das erwartete Netzwerkverhalten nach der Implementierung der Richtlinie zu testen und zu überwachen, können Teams sicherstellen, dass neue Bereitstellungen die Anwendungsabläufe nicht beeinträchtigen.

Wenn Illumio Core feststellt, dass Datenverkehr versucht, eine Verbindung zu einem Port mit einer bekannten Sicherheitslücke herzustellen, sendet es eine Verkehrswarnung, die das SOC informiert, einschließlich der Sicherheitslücke und des Schweregrads, und blockiert sofort die Einrichtung dieses Datenverkehrs.

Dieser Prozess folgt diesen drei Schritten: ‍

1. Eine durchgängige Sichtbarkeit zeigt, wo Risiken bestehen

Die Vulnerability Map visualisiert alle Workloads und Netzwerkabläufe, die anfällig für Risiken sind, die von Scannern ausgehen, und berechnet einen V-E Score für jede App-Gruppe und alle in App-Gruppen enthaltenen Workloads anhand von Farben, die den Risikostufen bestimmter Ports zugeordnet sind.

2. Verschärfte politische Empfehlungen

Als Reaktion auf neue Bedrohungen empfiehlt Illumio Core dann eine geänderte Richtlinie, die das Workload-Risiko im Zusammenhang mit der gemeldeten Sicherheitslücke reduziert. Dazu gehören mehrere Stufen zunehmender Segmentierung, wodurch das Risiko von Workloads, die unterschiedlichen Labels zugeordnet sind, verringert wird, um potenzielle Sicherheitslücken zu verhindern und einzudämmen.

3. Stoppen Sie die Ausbreitung neuer Bedrohungen im Netzwerk

Auf der Karte werden dieselben Farben angezeigt, die zur Identifizierung von Expositionsrisiken verwendet wurden, und die Sicherheitsteams können wählen, ob sie die empfohlene Richtlinie ein- oder ausschließen möchten. Wenn die empfohlene Segmentierung Wenn die Richtlinie eingeführt wurde, werden auf der Karte niedrigere Expositionswerte angezeigt.

Die Fähigkeit, Risiken vor und nach der Implementierung einer geänderten Workload-Richtlinie eindeutig zu quantifizieren, ist ein wertvolles Instrument, um das Risiko und die Abhilfemaßnahmen gegenüber SOC-Mitarbeitern, Anwendungsbesitzern und Sicherheitsprüfern nachzuweisen. Anwendungseigentümer haben oft kein umfassendes Bild davon, wie sich ihre Anwendungen über alle Abhängigkeiten hinweg verhalten. Illumio stellt sicher, dass selbst unentdeckte Bedrohungen daran gehindert werden, sich auszubreiten, indem es ihnen die Möglichkeit verwehrt, offene Ports zu fälschen.

‍Der agentenlose Ansatz von Illumio Core zur Workload-Sicherheit

Netzwerksicherheitstools, die in der Cloud und am Rand des Rechenzentrums eingesetzt werden, werden niemals zu 100 Prozent wirksam sein. Aus diesem Grund ist es wichtig, dass Unternehmen eine Zero-Trust-Technologie zur Eindämmung von Sicherheitsverletzungen wie die Illumio Zero Trust Segmentation Platform implementieren.

Mit Illumio können Sie alle Sitzungen zwischen allen Workloads in jeder Größenordnung sichern. Illumio Vulnerability Maps erweitert die Schwachstellenwerte auf Ihre gesamte hybride Multi-Cloud-Infrastruktur, nicht nur auf einzelne Hosts, um zu verhindern, dass sich Malware über Ports von ungepatchten Workloads im Netzwerk verbreitet.

Um mehr über Illumio ZTS zu erfahren, kontaktiere uns noch heute für eine kostenlose Beratung und Demo.