Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Segmentation
Illumio Editorial
Illumio Editorial
Août 6, 2020
23 min. lire

Cartographie d'Illumio dans le Top 20 du CIS

Over the last few weeks, we’ve observed an uptick in inquiries from companies who want to understand how Illumio helps them enable their Center for Internet Security (CIS) Security Controls initiative. CIS Top 20 Controls Guidelines are widely adopted and have been around for more than 10 years, with the latest version (7.1) released in April 2019, so we were intrigued by this trend. We spoke to these companies about their motivations and interest in Illumio and learned a great deal.

Most of these organizations have been using the CIS best practices guidelines for a while, but the rapid transition to remote work operating models combined with reported increases in cyberattacks are forcing them to re-evaluate their controls and tools. An April 2020 CSO survey found that 26% of respondents have seen an increase in the volume, severity, and/or scope of cyberattacks since mid-March. Some of these companies are continuing their transition to public clouds and increasing the virtualization footprint inside their data centers. They all want to do a better job of understanding gaps in their security controls and enabling technologies.

Dans cette optique, voici une vue d'ensemble de la manière dont Illumio prend en charge les 20 contrôles les plus importants de l'ECI.

Vue d'ensemble des 20 principaux contrôles de sécurité critiques du CIS

Let’s begin with a quick primer on the CIS Top 20 Critical Security Controls. The Controls were initially created by the NSA red and blue teams, the US Department of Energy nuclear energy labs, law enforcement organizations, and some of the nation's top forensics and incident response organizations.

The controls are derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. They reflect the combined knowledge of commercial and government forensic and incident response experts.

Implementing and operationalizing the CIS Top 20 Security Controls isn’t a “one-and-done” exercise. Technology, the threat landscape, and attack techniques are constantly evolving. The controls are updated, validated, and refined every year. They are not meant to replace a compliance program, and actually map to frameworks like NIST CSF and compliance standards like PCI-DSS and HIPAA. Many use CIS controls as the baseline for information security best practices, which they then augment to address corner cases and to meet highly specific and prescriptive requirements.

Mise en correspondance d'Illumio avec les 20 contrôles les plus importants de l'ECI

Voici comment les capacités d'Illumio vous aident directement à respecter ou à soutenir un contrôle CIS.

Contrôles de base

1. Inventory and Control of Hardware Assets. Illumio supports this control by enabling you to use the real-time application dependency map for identifying and validating the hardware server components that belong to an application group, and the servers and devices that are authorized to connect with the applications. Illumio supports API-based integration with 3rd party tools like NAC, asset discovery, ServiceNow CMDB and Service Mapping to validate inventory. The Illumio agent supports bare-metal, VM, public cloud instances, containers and collects telemetry information (IP addresses, ports, processes, protocols) to build the application dependency map. 

2. Inventory and Control of Software Assets. Illumio supports this control by enabling you to use the application dependency map for identifying the applications and workload components that belong to the application group and the other software stack components that are authorized to connect, including multi-cloud, container to server connections, and connections with public cloud instances. The information on connectivity and flows enriches software inventory information that are managed by asset management, CMDB, and SCM tools. Illumio’s default-deny model logically segregates high-risk applications that are required for business operations. Agentless visibility – for scenarios where agents are not supported like AWS RDS, Azure Managed SQL, GCP flows, and Storage filers – is enabled by using the Flowlink feature.

3. Continuous Vulnerability Management. Illumio supports this control by integrating with vulnerability scanners and ingesting vulnerability information. It uses this information to visually display malware’s potential lateral attack pathways. The Vulnerability Exposure Score offers a business-centric calculation of risk. You can use this information to enhance your ability to prioritize its patching strategy and apply process-level segmentation for instances where patching is not operationally feasible.

4. Controlled Use of Administrative Privileges. Illumio supports this control by integrating with leading MFA solutions. Illumio can monitor and enforce policies to ensure dedicated workstations are isolated and least privilege is applied. In VDI environments, connections to workload applications are controlled based on the user’s Microsoft Group membership.

5. Configuration sécurisée du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les stations de travail et les serveurs. Illumio soutient les outils SCM en offrant une visibilité sur l'ensemble du trafic et en identifiant rapidement les ports/protocoles utilisés par les charges de travail auxquelles les propriétaires d'applications ne s'attendent pas, afin qu'ils puissent rapidement remédier à la situation.

6. Maintenance, Monitoring, and Analysis of Audit Logs.If a customer is using Illumio to segment its internal data center and cloud, user-to-application, and endpoint peer-to-peer connections, Illumio maintains a log of all the connections and traffic flows, events (allowed, blocked, potentially blocked traffic), and the history of related policies, rules, and events. Authorized operators can search the Illumio historical traffic database for operations, incident response and investigations, reporting and audit. Illumio integrates with leading SIEM tools like Splunk, IBM QRadar, and ArcSight to archive, search, and correlate massive sets of log and event data for reporting, investigations, and incident response.

Contrôles fondamentaux

9. Limitation et contrôle des ports, protocoles et services du réseau. Illumio répond directement à ce contrôle. Illumio utilise l'information sur les connexions de l'application - l'historique détaillé des connexions et des flux de trafic, y compris les ports, les processus et les protocoles - pour recommander initialement les règles de pare-feu applicables. Illumio dispose d'un modèle de refus par défaut, de sorte que les connexions non conformes peuvent être bloquées ou potentiellement bloquées.

11. Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches. Illumio directly meets this control. Illumio maintains detailed historical and real-time information on the traffic and event logs to validate that network devices, specifically East-West firewalls, are doing what they should be and not allowing traffic that firewall policy should prohibit. Users can create an IP denylist to block communications with known malicious or unused Internet IP addresses. Users can program connections to limit workload to workload connections to specific ports, processes, and protocols. Illumio Core implements VEN tampering prevention. You can implement micro-segmentation with Illumio so that network admin machines can be isolated and have elevated access. You can implement finer-grained segmentation without re-architecting VLANs and subnets every time the business need changes.

12. Défense des frontières. Illumio répond directement à ce contrôle. Illumio applique une segmentation basée sur l'hôte pour surveiller et contrôler les connexions et les flux entre les applications et les appareils avec différents niveaux de confiance. Vous pouvez réaliser une segmentation fine sans réarchitecture coûteuse et risquée de son infrastructure de réseau.

13. Protection des données. Illumio soutient cette exigence en empêchant de manière proactive les charges de travail et les utilisateurs non autorisés de se connecter aux applications protégées via le modèle de refus par défaut et en identifiant et en bloquant les voies d'attaque latérales potentielles des acteurs malveillants. Illumio détecte et bloque les connexions non autorisées qui pourraient tenter de transférer des informations sensibles et envoie des alertes à la sécurité. Vous pouvez également utiliser Illumio pour programmer et appliquer des politiques qui contrôlent l'accès et les connexions aux fournisseurs de cloud et de messagerie.

14. Controlled Access Based on the Need to Know. Illumio directly meets this control. Illumio can be used to control authorized connections across workloads, applications, VDI users and devices. Illumio Core can assist with managing access to an environment by both managing network access to a system as well as potentially managing logical access. External IP addresses can be specifically added to rulesets and applied to groups based upon users’ need to access these systems (users can be machines or individual operators). These rules can be enabled/disabled at a policy level to immediately and efficiently disable certain access to systems. In VDI environments, Adaptive User Segmentation can be utilized to permit access to certain resources based on Active Directory group policy.

15. Contrôle d'accès sans fil. Illumio soutient ce contrôle en programmant et en appliquant la segmentation pour l'accès sans fil sur des appareils et des serveurs autorisés spécifiques et en restreignant l'accès à d'autres réseaux sans fil.

16. Surveillance et contrôle des comptes. Illumio prend en charge ce contrôle en s'intégrant à des outils tiers de SSO et de gouvernance d'accès. Vous pouvez également utiliser le chiffrement à la demande d'Illumio pour vous assurer que tous les noms d'utilisateur et les identifiants d'authentification sont transmis à travers les réseaux en utilisant des canaux chiffrés.

Contrôles organisationnels

18. Sécurité des logiciels d'application. Illumio prend en charge ce contrôle en appliquant des politiques de micro-segmentation pour séparer les systèmes de production des systèmes de non-production. Illumio programme également des règles de pare-feu basées sur l'hôte pour s'assurer que les développeurs n'ont pas un accès illimité et non surveillé aux systèmes de production.

19. Réponse et gestion des incidents. Illumio prend en charge ce contrôle. Les utilisateurs autorisés peuvent tirer des rapports de la base de données historique d'Illumio sur le trafic, les événements et les données de journal pour soutenir les enquêtes et les flux de travail de réponse aux incidents.

20. Tests de pénétration et exercices d'équipe rouge. Illumio prend en charge ce contrôle. Les organisations peuvent utiliser les informations contenues dans la carte des dépendances applicatives, les ensembles de règles et les groupes d'applications comme base de référence pour concevoir l'étendue de leurs tests d'intrusion.

En résumé

Les événements systémiques déclenchent généralement une évaluation des contrôles de sécurité existants. Illumio aide les entreprises à mettre en œuvre une approche pragmatique pour évaluer et permettre la mise en œuvre de leurs contrôles CIS Top 20. Les entreprises peuvent y parvenir en tirant parti des possibilités suivantes :

  1. La cartographie en temps réel des dépendances applicatives qui permet d'identifier les nouvelles connexions et les changements de connexions avec les systèmes de grande valeur qui découlent des changements dans le modèle d'exploitation.
  2. Des cartes de vulnérabilité qui calculent et illustrent visuellement l'exploitabilité d'une vulnérabilité. Cela permet de prioriser les contrôles et les efforts de segmentation autour des actifs et des connexions les plus risqués.
  3. Segmentation via un modèle de refus par défaut qui ne repose pas sur une réorganisation de l'architecture de réseau.
  4. Intégration basée sur l'API avec des outils tiers d'exploitation informatique, de sécurité et d'analyse qui vous aident à surveiller en permanence les tendances qui introduisent de nouveaux risques pour votre entreprise. Ces intégrations vous aident également à élaborer et à mettre en œuvre des plans visant à améliorer l'efficacité des contrôles existants.

Les 20 principaux contrôles du CIS offrent une hygiène de base en matière de sécurité, mais ils fournissent également un cadre permettant de hiérarchiser les lacunes et les contrôles de sécurité qui auront l'impact le plus important sur votre organisation.

If you’d like to learn more about Illumio’s capabilities, check out Illumio Core.

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

Les gens ne peuvent pas être patchés : Pourquoi l'erreur humaine est un risque énorme pour la sécurité de l'informatique en nuage
Segmentation

Les gens ne peuvent pas être patchés : Pourquoi l'erreur humaine est un risque énorme pour la sécurité de l'informatique en nuage

Découvrez comment les erreurs humaines dans le cloud peuvent ouvrir la porte à des brèches et comment y remédier avec une stratégie de confiance zéro fondée sur la microsegmentation.

En savoir plus
Attention à l'écart : pourquoi l'EDR a besoin d'une segmentation de confiance nulle
Segmentation

Attention à l'écart : pourquoi l'EDR a besoin d'une segmentation de confiance nulle

Découvrez comment la combinaison du ZTS et de l'EDR sur chaque point de terminaison permet de réduire le temps d'attente tout en augmentant de manière significative les capacités de réponse.

En savoir plus
Assurer la réussite des projets de microsegmentation : Pourquoi vous avez besoin d'une nouvelle approche
Segmentation

Assurer la réussite des projets de microsegmentation : Pourquoi vous avez besoin d'une nouvelle approche

Si vous mettez en œuvre avec succès un projet de microsegmentation, vous réduirez votre surface d'attaque, contiendrez les brèches, limiterez les dommages causés par les attaques, respecterez la réglementation et préparerez le terrain pour des stratégies de sécurité plus approfondies telles que la confiance zéro.

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus