Fonctionnalités peu connues d'Illumio Core : intégrations des plateformes SOAR

Dans cette série, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités les moins connues (mais non moins puissantes) de Noyau Illumio.

Les violations et les attaques de rançongiciels évoluent rapidement, plus rapidement que ne peuvent réagir de nombreuses technologies de prévention et de détection traditionnelles.

Les malwares peuvent se propager en quelques secondes, bien plus vite que n'importe quel humain ne peut réagir. Il est courant dans le secteur de la cybersécurité que le maillon le plus faible de toute architecture de sécurité se situe entre le clavier et la chaise. La solution à la propagation automatique des malwares doit être une réponse de sécurité tout aussi automatisée.

Grâce à l'intégration d'Illumio Core à des plateformes SOAR tierces, vous pouvez être sûr que les malwares nouveaux et inconnus seront automatiquement isolés et contenus.

Pourquoi le confinement des brèches est important aujourd'hui

Tous les malwares ont un point commun : ils aiment se déplacer.

La première violation de charge de travail est rarement la cible visée. Il est utilisé comme un « pied dans la porte » de votre réseau pour recueillir des informations. Grâce à ces informations, le malware et son système de contrôle échangent du trafic de commande et de contrôle. En fin de compte, le système de contrôle indique au logiciel malveillant comment se propager sur le réseau.

La mauvaise nouvelle ? Tout cela se passe en quelques secondes.

Les violations et les attaques de rançongiciels sont inévitables, et vos outils de prévention et de détection traditionnels ne suffisent pas à stopper les attaques actuelles. Les entreprises de toutes tailles, de toutes régions et de tous secteurs doivent donner la priorité aux stratégies de confinement des failles en plus de leurs outils de prévention et de détection. Cela garantit que la prochaine faille ne se transforme pas en un événement catastrophique qui interrompt les opérations, expose des données sensibles et mine la confiance de vos clients, de vos parties prenantes et de vos employés.

La cybersécurité moderne se définit en passant de la prévention des violations à survie à une brèche. L'arrêt de la propagation des violations doit être une priorité aussi importante que la prévention d'une violation. ‍

Préparez-vous de manière proactive aux violations avec Illumio

Malheureusement, aucune solution de prévention des violations ne sera efficace à 100 % ; une violation se produira. Une fois cette faille inévitable survenue, Illumio l'empêche de se propager aux hôtes voisins en désactivant de manière proactive les ports ouverts sur tous les hôtes.

La plupart des hôtes et leurs charges de travail n'ont pas besoin d'établir de connexions entre eux. Au contraire, ils n'ont généralement besoin que de se connecter à un petit ensemble de ressources communes ou d'établir des connexions sortantes. Par exemple, il est rare que toutes les charges de travail déployées dans un centre de données ou un environnement cloud aient besoin de se connecter directement les unes aux autres.

Pour atténuer les risques que peut entraîner l'ouverture inutile de ports, Illumio peut appliquer les charges de travail de deux manières :

• Exécution sélective : Des ports spécifiques sont bloqués et tous les autres trafics sont bloqués permis.
• Mise en œuvre intégrale : Des ports spécifiques sont bloqués et tous les autres trafics sont bloqués nié.

L'application sélective peut être utilisée lorsque vous savez quel trafic vous ne souhaitez pas autoriser entre les charges de travail, tel que RDP et SSH. Cependant, les malwares évoluent constamment et trouvent de nouveaux ports à utiliser. Pour cette raison, il est préférable d'utiliser une application complète, car elle est beaucoup plus efficace pour bloquer la propagation des logiciels malveillants. En pleine application, Illumio désactivera tous les ports de toutes les charges de travail à n'importe quelle échelle, puis autorisera l'ouverture de ports par exception si nécessaire.

Le résultat ressemblera à l'exemple d'application complète ci-dessous. Dans l'image de gauche, les charges de travail ne peuvent pas communiquer (flèches rouges) car les ports ouverts par défaut ont été désactivés par Illumio. Sur l'image de droite, Illumio a activé les exceptions (flèches vertes) pour autoriser uniquement le trafic entre des groupes d'applications spécifiques sur des ports spécifiques :

En pleine application avec Illumio, les hôtes infectés n'autoriseront pas les malwares à se déplacer très loin, car seuls quelques ports sont ouverts, ce qui est vrai indépendamment de la nouveauté ou de la complexité du malware. Cela réduit considérablement le rayon d'action d'une attaque, transformant ce qui aurait pu être une faille catastrophique en un incident de sécurité mineur qui n'a pas d'impact sur les opérations ni ne nécessite des coûts de remédiation démesurés.

Automatisez les changements de politique grâce aux intégrations SOAR d'Illumio

S'il y a une chose qui est vraie en matière de cybersécurité, c'est que les choses changent constamment. Le paysage actuel des menaces et la complexité des réseaux actuels signifient que les mesures de sécurité ne peuvent pas rester statiques. Les organisations doivent disposer d'un moyen de mettre à jour les politiques d'application en temps réel.

Illumio permet de modifier ses politiques de sécurité de manière entièrement automatisée et en temps réel grâce à des intégrations avec les plateformes SOAR (Security Orchestration, Automation, and Response).

Il est important de noter que les plateformes SOAR sont différentes des plateformes SIEM (Security Information and Event Management). Illumio peut transférer les journaux vers une plateforme SIEM telle que Splunk pour analyser les événements enregistrés sur les charges de travail gérées par Illumio, à la recherche de signaux d'alarme. Mais s'il en trouve, le SIEM n'a aucun moyen de renvoyer des commandes à Illumio pour fermer les ports à risque. Cette fonctionnalité est activée via une plateforme SOAR.

Illumio s'intègre à trois systèmes SOAR tiers : Splunk SOAR, IBM QRadar SOARet Palo Alto Networks Cortex XSOAR. Les intégrations Illumio + SOAR permettent une défense en profondeur rapide en suivant les étapes suivantes :

• Les plateformes SOAR surveillent le paysage des menaces à la recherche de nouveaux malwares de type « zero day », jusqu'alors inconnus, qui utilisent des ports spécifiques pour se propager.
• Si la plateforme SOAR constate qu'un nouveau malware utilise un nouveau port pour se propager, elle enverra immédiatement et automatiquement des appels d'API au moteur PCE d'Illumio via un plugin sur la place de marché de chaque fournisseur. Cela indique à Illumio de fermer les ports de toutes les charges de travail gérées.
• Illumio fermera automatiquement les ports ciblés du malware Zero-Day. Cela permettra de protéger les charges de travail de manière proactive contre le malware, même s'il n'est pas encore arrivé. Ceci est activé immédiatement, sans aucune intervention humaine.

‍Segmentation Illumio Zero Trust : répondez plus rapidement aux cyberattaques

En plus de visibilité complète et microsegmentation granulaire, le Plateforme de segmentation Illumio Zero Trust (ZTS) fournit une réponse fiable, évolutive et entièrement automatisée aux menaces de cybersécurité en constante évolution.

Les malwares veulent se propager, et Illumio, en association avec les plateformes SOAR, peut fermer automatiquement les ports, empêchant ainsi la propagation des malwares grâce à un flux de travail entièrement automatisé. Alors que la prochaine faille ou attaque par rançongiciel est toujours imminente, Illumio aide votre organisation à s'assurer que les violations ne peuvent pas se propager au reste du réseau ou dégénérer en une crise ayant un impact sur l'entreprise.

Pour en savoir plus sur Illumio ZTS, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.