Seguridad de red híbrida: Illumio frente a proveedores de CSPM y CWPP

Finalmente fue ascendido como CISO de su organización. ¡Felicidades! Todos esos años de certificaciones de construcción y trabajo en turnos de guardia valieron la pena.

Luego de seleccionar la oficina de la esquina que desea, la elección de la veta de la madera para su escritorio y entregar las llaves del estacionamiento ejecutivo (puedo soñar, ¿no?), llegó el gran día en el que presenta frente al equipo ejecutivo todos los grandes planes que tiene para reducir el riesgo de su compañía.

Tienes tus planes estratégicos, tácticos y operativos dando vueltas en tu cabeza, listos para responder a cualquier objeción que puedan presentarte. Y al final de tu presentación, ¡todos están de acuerdo en dejarte avanzar!

Y como parte de la lista de proyectos aprobados, dicen que solo puede elegir dos de las tres iniciativas:

1. Parchear todas las vulnerabilidades de software 
2. Detener el movimiento lateral dentro de la red 
3. Resolver alertas críticas desde SIEM 

¿Solo dos? ¡Pero pensaste que te darían una cotización y una plantilla ilimitados! ¿Y ahora qué? 

3 formas de proteger su red híbrida

En palabras de un famoso economista, "No hay soluciones, solo compensaciones". Y este es siempre el dilema: cómo hacer el mejor uso del tiempo y los recursos disponibles.

¿Cómo puede elegir entre 845 alertas sev-1 en su SIEM, 1,342 CVE "críticos" que necesitan parches o descubrir que toda su red está expuesta al ransomware? 

Por lo tanto, comienza el largo y arduo proceso de redactar planes de proyectos, enviar solicitudes de información y esperar poder contratar personal competente para ejecutarlo todo.

Muy pronto, los proveedores comienzan a llamar y ofrecer soluciones a todos sus problemas. Los contratistas le dicen que pueden hacerlo en la mitad del tiempo por dos tercios del costo. La gerencia quiere que se haga antes de la próxima moratoria de la red.  

First up: The cloud security posture management (CSPM) vendors you’ve used before. You bring in two or three of them, and they tell you all about their great features that will help you with things like compliance monitoring or asset inventory tools.

They tell you how your “AWS identity and access management (IAM) roles are the new network perimeter.” They inform you that your storage buckets are exposed to the Internet. They provide you with an exposure map that shows you how all your devices can talk to each other and over what ports.

You agree that these are all worthy and noble causes that need to be addressed.  

Next up: The cloud workload protection platforms (CWPP) vendors. These folks will tell you that you need to go deeper into the workloads themselves to make any real progress.

They can point out software vulnerabilities, malware, misplaced keys and other sensitive data in your cloud workloads. They introduce you to the world of artificial intelligence, machine analytics, and other behavioral analysis tools to “get into the mind of the criminal” who desperately wants to expose your intellectual property.

Again, these are all worthy goals, some of which you hadn’t thought of before. But you’re starting to pine for that pager-duty job you had back in 2004.  

Then, you decide to meet with this vendor you ran into at RSA Conference called Illumio. You couldn’t miss them after all, with their giant 20-foot, bright orange LED display. (All their employees had a solid tan by Friday from the luminescence).

Illumio suggests a different approach: Why don’t we start with something basic that can be implemented quickly and can avert 5 cyber disasters each year.   

That caught your attention. 

Su ingeniero de ventas dijo que se necesita un enfoque por capas para la seguridad y que debe considerar la segmentación de confianza cero como la base de la pirámide. Porque, al final del día, en algún lugar, de alguna manera uno de sus activos va a ser violado.

Lo importante es lo que sucede a continuación: que evite que se propague a cualquier otro lugar de su red.

Esto evita un evento catastrófico debido a que un sistema individual se ve comprometido. El ingeniero de ventas continuó describiendo que la mayoría de los ataques de ransomware emplean el protocolo de escritorio remoto (RDP) como su vector principal (que tiene abierto en todas partes).

Illumio proporciona segmentación de confianza cero tanto para sistemas locales basados en agentes como para aplicaciones en la nube.

• Illumio Core ofrece un enfoque simple basado en agentes que emplea etiquetas como mecanismo para identificar, organizar y aplicar políticas de seguridad en todo el entorno de su centro de datos.
• E Illumio CloudSecure complementa esto al expandir las herramientas de segmentación a sus entornos nativos de la nube para gestionar funciones informáticas sin servidor y otros servicios nativos de la nube.  

La opción Illumio: vea y proteja todos los entornos en uno

Después de que termine el desfile de proveedores y regrese a su reunión de personal, es hora de discutir qué opción es la mejor.

Habla con sus equipos de operaciones sobre cómo manejan las alertas críticas hoy y qué se necesitaría para "borrar la ventana de alerta" de las notificaciones de riesgo medio y alto.

"¡Eso es fácil!", dice uno de los trabajadores del turno de noche, "simplemente resalto todas las alertas y hago clic en eliminar. Hay demasiados de ellos a los que prestar atención, honestamente. Y si algo malo realmente sucede, recibiré una llamada telefónica". 

Esa no era exactamente la respuesta que querías escuchar, pero buena información, de todos modos.

A continuación, hable con su equipo de gestión de software. Describen cómo la lista de vulnerabilidades y exposiciones comunes (CVE) no es terriblemente útil porque no proporciona mucho contexto: "Muchos de ellos no se aplican a nosotros porque no están en sistemas expuestos a Internet. Estamos trabajando para parchear los demás, pero llevará algún tiempo probarlos todos antes de lanzarlos a producción". 

La opción Illumio está empezando a sonar mejor, ya que recuerda que el ingeniero de ventas mencionó algunas cosas sobre Illumio CloudSecure para aplicaciones nativas de la nube y sin agentes: 

• La mayoría de estos proveedores de CSPM/CWPP realmente no analizan los flujos de tráfico reales en su red. Illumio CloudSecure analiza los flujos de tráfico en tiempo real y los compara con sus reglas de seguridad nativas de la nube para brindar un análisis de qué tan sobreexpuestos están sus conjuntos de reglas.
  
  (Por ejemplo, no es necesario tener una regla de seguridad que permita que todo Internet, o incluso un bloque de direcciones /16, acceda a sus funciones Lambda si solo se comunica con un /24 interno).
  
  Si bien pueden decirle quién "puede" hablar, Illumio CloudSecure le muestra quién "habló" y con qué. Conocer el “puede” sólo es beneficioso si ya sabes qué se considera tráfico normal. Esto requiere flujos de tráfico reales.  
   
• En la demostración de Illumio CloudSecure, el ingeniero de ventas mostró las aplicaciones nativas de la nube en un mapa, desde la subscripción del equipo de desarrollo de Azure hasta las aplicaciones de pedidos de producción en AWS.
  
  Pero lo más interesante fueron los otros sistemas en AWS que no sabías que existían.
  
  (¿Quién sabía que el equipo de recursos humanos contrató a un pasante para crear una nueva aplicación de reportes de nómina? ¿Y POR QUÉ está enviando tráfico a mi sistema de pedidos de producción?)
  
  Te das cuenta de que no puedes cerciorarlo si no sabes que está ahí fuera.
   
• También se dio cuenta de que ninguno de los proveedores de CSPP o CWPP que trajo mencionó nada sobre su centro de datos local. Si bien la nube puede ser el nuevo juguete brillante, aún tiene sistemas críticos en el sitio que necesitan el mismo nivel de protección. 

Comience con Illumio, la compañía de segmentación de confianza cero

Su fecha límite se acerca rápidamente. Entonces, ¿qué decides hacer? El dilema de "Pick Two" te mantiene despierto por la noche. El tiempo corre.

Un bombillo parpadea sobre tu cabeza, ¡una solución! 

Regresas al equipo ejecutivo y anuncias: "Mira, no hay una solución perfecta aquí. Solo compensaciones. Pero esto es lo que propongo que podamos hacer antes del cierre de la web para que pueda informar un progreso significativo a la junta".

Explica su plan: comience con Illumio, la compañía de segmentación de confianza cero.

Illumio puede:

• Evite 5 desastres cibernéticos al año y ahorre $ 20.1 millones en tiempo de inactividad de aplicaciones.
• Ayude a los equipos de seguridad a identificar todas las aplicaciones no autorizadas en la nube para que puedan comenzar a reforzar las reglas de seguridad.
• Proporcione más tiempo para implementar una herramienta CNAPP que proporcione la "siguiente capa" de protección contra amenazas más sofisticadas. (Inteligentemente sonríe ante su leve mano allí, combinando los proyectos # 1 y # 3 bajo el último acrónimo de Gartner, CNAPP, que combina CSPP y CWPP en un solo paraguas).

Se logra la "elección dos", y pudo obtener los tres.

Para obtener más información sobre Illumio y la segmentación de Confianza cero:

• Vea cómo Illumio ayudó a un bufete de abogados global a detener la propagación del ransomware.
• Descubra por qué Illumio es líder en reportes de Forrester Wave sobre Zero Trust y microsegmentación.
• Lea esta guía sobre cómo Illumio hace que la segmentación de confianza cero sea rápida, simple y escalable.
• Contáctenos para averiguar cómo Illumio puede ayudar a fortalecer las defensas de su organización contra las amenazas de ciberseguridad.