.png)
Fonctionnalités peu connues d'Illumio Core : collecte de données améliorée
Dans cette série en cours, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités les moins connues (mais non moins puissantes) de Noyau Illumio.
Nous utilisons des outils de détection depuis des décennies. Mais le nombre de violations et d'attaques de rançongiciels ne cesse d'augmenter.
Les cyberattaques évoluent et évoluent plus rapidement que jamais. Il est impossible de détecter et de prévenir toutes les violations, mais nous pouvons arrêter leur propagation lorsqu'elles se produisent.
Illumio Zero Trust Segmentation (ZTS) arrête la propagation des violations et des attaques de rançongiciels avant qu'elles n'atteignent vos actifs et données critiques. Au lieu d'essayer de prévenir ou de détecter la prochaine attaque, Illumio ZTS verrouille la porte sur les segments de votre réseau.
Mais qu'en est-il du petit nombre de ports qui doivent rester ouverts pour que vous puissiez gérer votre entreprise ? Fonction de collecte de données améliorée d'Illumio vous aide à surveiller vos volumes de trafic pour détecter les anomalies et prendre les mesures nécessaires. Poursuivez votre lecture pour en savoir plus sur le fonctionnement de cette fonctionnalité et sur la valeur qu'elle peut apporter à votre organisation.
La détection des menaces n'est pas suffisante pour se protéger contre les violations
Les attaquants déploient des malwares et des rançongiciels plus rapidement que les outils de détection et de réponse ne peuvent suivre. Les menaces « jour zéro », telles que Attaques MOVEit du groupe de rançongiciels Clop, peut rapidement échapper aux outils de détection et se propager immédiatement sur votre réseau.
Si vous n'avez aucun moyen d'empêcher la propagation de violations non détectées, les attaquants peuvent accéder à vos ressources les plus critiques en quelques minutes.
Une fois la première charge de travail compromise, les attaquants recherchent immédiatement les sessions ouvertes afin de pouvoir les étendre aux charges de travail voisines. Les ports généralement ouverts et écoutant entre les charges de travail incluent RDP, SSH et SMB. Chacun d'entre eux peut facilement être utilisé par un logiciel malveillant pour transmettre sa charge utile aux charges de travail voisines, en se répandant sur l'infrastructure à une vitesse exponentielle.
Illumio ZTS empêche toutes les violations de se propager à n'importe quelle échelle, même si elles n'ont pas été détectées par les solutions de traque des menaces. Vous pouvez bloquer les ports que les attaquants utilisent le plus souvent pour pénétrer les réseaux, en n'autorisant l'accès qu'à un petit ensemble de systèmes de gestion centralisés. Cela signifie que toute violation réussie sera isolée jusqu'à son point d'entrée et ne pourra pas se déplacer dans le reste du réseau.
Au lieu de consacrer des ressources à détecter d'abord une menace, puis à comprendre son intention, Illumio empêche simplement les menaces d'utiliser des sessions et d'ouvrir des ports entre les charges de travail pour se propager. Illumio verrouille les portes avant d'essayer de comprendre pourquoi quelqu'un essaie de les défoncer.
Cela garantit qu'un petit problème de sécurité non détecté ne peut pas dégénérer silencieusement en un incident catastrophique.
Collecte de données améliorée : sécurisation des ports qui doivent rester ouverts aux entreprises
Si vous bloquez 100 % de tous les ports, vous êtes à 100 % à l'abri des malwares qui se propagent sur votre réseau. Mais cela signifie également que vous êtes incapable de faire des affaires à 100 %. Par exemple, les charges de travail de traitement devront toujours accéder aux charges de travail de base de données.
Comment Illumio surveille-t-il ce petit nombre de ports qui doivent rester ouverts pour s'assurer qu'ils ne sont pas utilisés à mauvais escient ?
À l'aide du Fonction de collecte de données améliorée, les agents du nœud d'application virtuel (VEN) Illumio renforcent les fonctionnalités de pare-feu intégrées à la plupart des systèmes d'exploitation modernes. Comme ces VENs sont déployés directement sur une charge de travail, ils sont également en mesure de collecter des informations sur :
- Processus en cours d'exécution sur tous les hôtes gérés
- Le volume de trafic utilisé dans les ports ouverts
Le moteur de calcul des politiques (PCE) Illumio affiche et enregistre ensuite le nombre d'octets détectés lors de sessions ouvertes spécifiques de charges de travail gérées.
Par exemple, si le port 53 est laissé ouvert sur une charge de travail pour activer l'accès DNS, le VEN peut collecter des mesures sur le volume de trafic observé sur ce port. Si le nombre d'octets indique de faibles volumes de trafic, comme prévu, cela permet de s'assurer qu'il s'agit d'un trafic DNS valide. Mais si le décompte indique 10 gigaoctets de trafic transitant par ce même port, c'est un signal d'alarme indiquant qu'il ne s'agit pas d'un trafic DNS valide. Cela pourrait indiquer qu'il existe une menace active de tunneling DNS.
Vous pouvez consulter les volumes de trafic détectés par la fonction de collecte de données améliorée et agir automatiquement. Une solution de gestion des informations et des événements de sécurité (SIEM), telle que Splunk, peut récolter les grumes d'Illumio. S'il constate des volumes de trafic anormaux sur les ports ouverts, il peut utiliser son orchestration, son automatisation et sa réponse en matière de sécurité plateforme (SOAR) pour envoyer automatiquement des instructions pilotées par API à Illumio afin de bloquer ces ports. La réponse aux anomalies de trafic nécessite une réponse automatique pour éviter le temps de latence causé par la nécessité pour un humain de prendre une décision.
Comment fonctionne la collecte améliorée de données
Vous pouvez utiliser la collecte de données améliorée de deux manières :
- Profils de jumelage : Les VENs commenceront à compter les octets pour les sessions sur les charges de travail au fur et à mesure de leur couplage initial.
- Charges de travail : Les octets commenceront à être comptés sur les charges de travail déjà déployées.
La fonctionnalité collecte et enregistre les volumes de trafic pour l'ensemble du trafic au cours d'une session forcée. Vous pouvez ensuite afficher ces données dans l'option Trafic de l'interface utilisateur graphique (GUI) PCE d'Illumio.
La collecte de données améliorée permet de détecter les comportements liés aux menaces sans qu'il soit nécessaire d'intercepter le moindre trafic. Illumio détecte les volumes de trafic entièrement depuis le plan de gestion en surveillant les processus de charge de travail gérés et le comportement attendu de ces charges de travail. Cela évite le risque de créer un goulot d'étranglement dans le plan de données.
Préparez-vous à la prochaine faille ou attaque de rançongiciel avec Illumio
Les solutions de chasse aux menaces constituent toujours un élément important d'un Architecture Zero Trust. Mais pour établir votre base Zero Trust, il est essentiel de disposer d'une segmentation Zero Trust.
Zero Trust ne doit pas complexifier votre réseau, il doit le simplifier. Illumio ZTS fournit une solution simple à un défi de sécurité complexe.
Pour en savoir plus sur l'utilisation de la collecte de données améliorée, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.
