Sécurité des réseaux hybrides : Illumio vs. les fournisseurs de CSPM et CWPP

Vous avez enfin été promu RSSI de votre organisation. Félicitations ! Toutes ces années passées à obtenir des certifications et à travailler dans des équipes de garde ont porté leurs fruits.

Après avoir choisi le bureau d'angle qui vous convient, le grain de bois de votre bureau et les clés du parking de la direction (on peut rêver, n'est-ce pas ?), le grand jour est venu où vous présentez à l'équipe de direction tous les grands projets que vous avez pour réduire les risques de votre entreprise.

Vous avez vos plans stratégiques, tactiques et opérationnels en tête, prêts à répondre à toutes les objections qu'ils pourraient vous opposer. Et à la fin de votre présentation, ils sont tous d'accord pour vous laisser aller de l'avant !

Et dans la liste des projets approuvés, il est dit que vous ne pouvez choisir que deux des trois initiatives :

1. Corrigez toutes les vulnérabilités des logiciels 
2. Arrêter les mouvements latéraux à l'intérieur du réseau 
3. Résoudre les alertes critiques provenant de SIEM 

Seulement deux ? Mais vous pensiez disposer d'un budget et d'un effectif illimités ! Et maintenant ? 

3 façons de sécuriser votre réseau hybride

Pour reprendre les mots d'un célèbre économiste, "Il n'y a pas de solutions, seulement des compromis." Et c'est toujours le dilemme : comment utiliser au mieux le temps et les ressources disponibles.

Comment choisir entre 845 alertes sev-1 dans votre SIEM, 1 342 CVE "critiques" qui doivent être corrigés, ou découvrir que l'ensemble de votre réseau est exposé à un ransomware ? 

Vous entamez donc le long et difficile processus de rédaction de plans de projet, d'envoi de demandes d'informations et d'espoir d'engager du personnel compétent pour gérer le tout.

Très vite, des vendeurs commencent à vous appeler et à vous proposer des solutions à tous vos problèmes. Les entrepreneurs vous disent qu'ils peuvent le faire en deux fois moins de temps et pour deux fois moins cher. La direction veut que cela soit fait avant le prochain moratoire sur les réseaux.  

First up: The cloud security posture management (CSPM) vendors you’ve used before. You bring in two or three of them, and they tell you all about their great features that will help you with things like compliance monitoring or asset inventory tools.

They tell you how your “AWS identity and access management (IAM) roles are the new network perimeter.” They inform you that your storage buckets are exposed to the Internet. They provide you with an exposure map that shows you how all your devices can talk to each other and over what ports.

You agree that these are all worthy and noble causes that need to be addressed.  

Next up: The cloud workload protection platforms (CWPP) vendors. These folks will tell you that you need to go deeper into the workloads themselves to make any real progress.

They can point out software vulnerabilities, malware, misplaced keys and other sensitive data in your cloud workloads. They introduce you to the world of artificial intelligence, machine analytics, and other behavioral analysis tools to “get into the mind of the criminal” who desperately wants to expose your intellectual property.

Again, these are all worthy goals, some of which you hadn’t thought of before. But you’re starting to pine for that pager-duty job you had back in 2004.  

Then, you decide to meet with this vendor you ran into at RSA Conference called Illumio. You couldn’t miss them after all, with their giant 20-foot, bright orange LED display. (All their employees had a solid tan by Friday from the luminescence).

Illumio suggests a different approach: Why don’t we start with something basic that can be implemented quickly and can avert 5 cyber disasters each year.   

That caught your attention. 

Leur ingénieur commercial a déclaré qu'une approche par couches est nécessaire pour la sécurité, et que vous devriez considérer la segmentation zéro confiance comme la base de la pyramide. Car, en fin de compte, quelque part, d'une manière ou d'une autre, l'un de vos actifs sera violé.

Ce qui est important, c'est ce qui se passe ensuite : vous empêchez qu'il se propage ailleurs dans votre réseau.

Cela permet d'éviter un événement catastrophique dû à la compromission d'un système individuel. L'ingénieur commercial a poursuivi en expliquant que la majorité des attaques de ransomware utilisent le protocole de bureau à distance (RDP) comme vecteur principal (que vous avez ouvert partout).

Illumio offre une segmentation sans confiance pour les systèmes sur place, basés sur des agents, et les applications en nuage.

• Illumio Core offre une approche simple basée sur les agents qui utilise les étiquettes comme mécanisme pour identifier, organiser et appliquer la politique de sécurité dans l'environnement de votre centre de données.
• Et Illumio CloudSecure complète cela en étendant les outils de segmentation à vos environnements natifs du cloud pour gérer les fonctions de calcul sans serveur et d'autres services natifs du cloud.  

L'option Illumio : Voir et sécuriser tous les environnements en une seule fois

Une fois le défilé des fournisseurs terminé et la réunion du personnel terminée, il est temps de discuter de la meilleure option.

Vous discutez avec vos équipes d'exploitation de la manière dont elles traitent les alertes critiques aujourd'hui et de ce qu'il faudrait faire pour "supprimer la fenêtre d'alerte" des notifications à risque moyen et élevé.

C'est facile", dit l'un des travailleurs de l'équipe de nuit, "je surligne toutes les alertes et je clique sur "supprimer". Ils sont trop nombreux pour qu'on y prête attention, honnêtement. Et si quelque chose de grave se produit, je recevrai un coup de fil". 

Ce n'est pas exactement la réponse que vous vouliez entendre, mais c'est une bonne information.

Vous vous adressez ensuite à votre équipe de gestion des logiciels. Ils expliquent que la liste des vulnérabilités et expositions communes (CVE) n'est pas très utile parce qu'elle ne fournit pas beaucoup de contexte : "Beaucoup d'entre elles ne s'appliquent pas à nous parce qu'elles ne concernent pas des systèmes exposés à l'internet. Nous sommes en train de travailler sur les autres correctifs, mais il faudra un certain temps pour les tester tous avant de les mettre en production". 

L'option Illumio commence à vous sembler plus intéressante, car vous vous souvenez que l'ingénieur commercial vous a parlé d'Illumio CloudSecure pour les applications natives dans le nuage et sans agent: 

• La plupart de ces fournisseurs de CSPM/CWPP n'examinent pas vraiment les flux de trafic réels dans votre réseau. Illumio CloudSecure examine les flux de trafic en temps réel et les compare à vos règles de sécurité natives du nuage pour fournir une analyse de la surexposition de vos ensembles de règles.
  
  (Par exemple, il n'est pas nécessaire d'avoir une règle de sécurité permettant à l'ensemble d'Internet, ou même à un bloc d'adresses /16, d'accéder à vos fonctions Lambda si elles ne communiquent jamais qu'avec un /24 interne).
  
  Alors qu'ils peuvent vous dire qui "peut" parler, Illumio CloudSecure vous montre qui "a" parlé et à qui. Connaître le "peut" n'est utile que si vous savez déjà ce qui est considéré comme un trafic normal. Cela nécessite des flux de trafic réels.  
   
• Dans la démonstration d'Illumio CloudSecure, l'ingénieur commercial a montré vos applications cloud-natives sur une carte, de votre abonnement à l'équipe de développement Azure à vos applications de commande de production dans AWS.
  
  Mais ce qui était le plus intéressant, c'était les autres systèmes d'AWS dont vous ne soupçonniez pas l'existence.
  
  (Qui aurait pu savoir que l'équipe RH avait engagé un stagiaire pour créer une nouvelle application de rapport sur les salaires ? Et POURQUOI envoie-t-il du trafic vers mon système de commande de production ?)
  
  Vous vous rendez compte que vous ne pouvez pas vous en prémunir si vous ne savez pas qu'il existe.
   
• Vous vous êtes également rendu compte qu'aucun des fournisseurs CSPP ou CWPP que vous avez contactés n' a parlé de votre centre de données sur site. Même si l'informatique dématérialisée est le nouveau jouet à la mode, vous avez toujours des systèmes critiques sur site qui nécessitent le même niveau de protection. 

Commencez avec Illumio, la société de segmentation sans confiance

Votre délai approche à grands pas. Que décidez-vous de faire ? Le dilemme "Pick Two" vous empêche de dormir. Le temps presse.

Une ampoule clignote au-dessus de votre tête, une solution ! 

Vous revenez vers l'équipe de direction et annoncez : "Écoutez, il n'y a pas de solution parfaite. Seulement des compromis. Mais voici ce que je propose de faire avant la fermeture du site web, afin que vous puissiez faire état de progrès significatifs au conseil d'administration."

Vous expliquez votre plan : Commencez par Illumio, la société de segmentation sans confiance.

Illumio peut le faire :

• Évitez 5 cyber-catastrophes par an et économisez 20,1 millions de dollars en temps d'arrêt des applications.
• Aidez les équipes de sécurité à identifier toutes les applications malveillantes dans le nuage afin qu'elles puissent commencer à renforcer les règles de sécurité.
• Donner plus de temps pour mettre en œuvre un outil CNAPP qui fournit la "couche suivante" de protection contre les menaces plus sophistiquées. (Vous souriez astucieusement de votre légèreté en combinant les projets 1 et 3 sous le dernier acronyme de Gartner, CNAPP, qui combine CSPP et CWPP en un seul parapluie).

Le "Pick two" est atteint - et vous avez réussi à obtenir les trois.

Pour en savoir plus sur Illumio et la segmentation zéro confiance :

• Découvrez comment Illumio a aidé un cabinet d'avocats international à stopper la propagation d'un ransomware.
• Découvrez pourquoi Illumio est un leader dans les rapports Forrester Wave sur la confiance zéro et la microsegmentation.
• Lisez ce guide sur la façon dont Illumio rend la segmentation sans confiance rapide, simple et évolutive.
• Contactez-nous pour découvrir comment Illumio peut vous aider à renforcer les défenses de votre organisation contre les menaces de cybersécurité.