イルミオコアのあまり知られていない機能:強化されたデータ収集

この継続中のシリーズでは、Illumio のセキュリティ専門家が、あまり知られていない (しかし、それほど強力ではない) Illumio Coreの機能を紹介します。  

私たちは何十年にもわたって検出ツールを使用してきました。しかし、侵害やランサムウェア攻撃の数は増加し続けています。  

サイバー攻撃はかつてないほど急速に変化し、変化しています。すべての侵害を検出して防止することは不可能ですが、侵害が発生したときにその拡散を阻止することはできます。

イルミオゼロトラストセグメンテーション(ZTS)は、侵害やランサムウェア攻撃が重要な資産やデータに侵入する前に、その拡散を阻止します。Illumio ZTSは、次の攻撃を防止または検出しようとする代わりに、ネットワークセグメントのドアをロックします。

しかし、ビジネスを運営するために開いたままにしておく必要がある少数の港についてはどうでしょうか?イルミオの拡張データ収集機能は 、トラフィック量を監視して異常を見つけ、必要に応じて措置を講じるのに役立ちます。この機能がどのように機能し、組織にもたらす価値について詳しく知りたい場合は、読み続けてください。

脅威の検出だけでは侵害を防ぐのに十分ではありません

攻撃者は、検出と対応ツールが追いつくよりも速くマルウェアやランサムウェアを展開しています。Clop ランサムウェアグループによる MOVEit 攻撃 などのゼロデイ脅威は、検出ツールをすぐにすり抜け、すぐにネットワーク全体に拡散する可能性があります。  

検出されない侵害の拡大を阻止する方法がない場合、攻撃者は数分で最も重要なリソースにアクセスできます。

最初のワークロードが侵害されると、攻撃者はすぐに開いているセッションを探して、隣接するワークロードに拡散できるようにします。ワークロード間で一般的に開いてリッスンするポートには、RDP、SSH、SMB などがあります。これらはいずれも、マルウェアがペイロードを隣接するワークロードに配信し、指数関数的な速度でインフラストラクチャ全体に拡散するために簡単に使用できます。  

Illumio ZTS は、脅威ハンティング ソリューションによって検出されなかった場合でも、あらゆる規模の侵害の拡大を阻止します。攻撃者がネットワーク侵入に最も頻繁に使用するポートをブロックし、少数の集中管理システムへのアクセスのみを許可することができます。つまり、侵入に成功した場合、侵入ポイントから隔離され、ネットワークの残りの部分には侵入できなくなります。  

イルミオは、最初に脅威を検出してからその意図を理解するためにリソースを費やすのではなく、脅威がワークロード間のセッションとオープンポートを使用して拡散するのを防ぐだけです。イルミオは、なぜ誰かがドアを壊そうとしているのかを理解しようとする前に、ドアに鍵をかけます。  

これにより、検出されない小さなセキュリティ問題が、静かに壊滅的なインシデントにエスカレートすることがなくなります。

データ収集の強化: ビジネスのために開いたままにしておく必要がある港の保護

あらゆる場所ですべてのポートを 100% ブロックすると、ネットワークを介して拡散するマルウェアから 100% 安全になります。しかし、それはあなたが100%ビジネスをすることができないことも意味します。たとえば、処理ワークロードには、データベース ワークロードへのアクセスが必要です。  

イルミオは、悪用されていないことを確認するために開いたままにしておく必要がある少数のポートをどのように監視していますか?

Illumio仮想エンフォースメントノード(VEN)エージェントは、 拡張データ収集機能を使用して、最新のオペレーティングシステムのほとんどに組み込まれているファイアウォール機能を適用します。これらの VEN はワークロードに直接デプロイされるため、以下に関する情報も収集できます。

• すべての管理対象ホストで現在実行されているプロセス

• オープン ポートで使用されるトラフィックの量  

次に、イルミオのポリシーコンピューティングエンジン(PCE)は、管理対象ワークロードの特定のオープンセッションで確認されたバイト数を表示してログに記録します。  

たとえば、DNS アクセスを有効にするためにワークロードでポート 53 を開いたままにしておくと、VEN はそのポート経由で検出されたトラフィック量に関するメトリックを収集できます。予想どおり、バイト数がトラフィック量が少ないことを示している場合、これが有効な DNS トラフィックであることを確認できます。しかし、カウントに同じポートを通過するトラフィックの量が 10 ギガバイトと表示された場合は、有効な DNS トラフィックではないことを示す危険信号です。これは、アクティブな DNS トンネリングの脅威があることを示している可能性があります。

拡張データ収集機能によって検出されたトラフィック量を表示し、自動的にアクションを実行できます。Splunkなどのセキュリティ情報およびイベント管理 (SIEM) ソリューションは、Illumio からログを収集できます。開いているポート間で異常なトラフィック量が検出された場合は、セキュリティ オーケストレーション、自動化、および対応(SOAR) プラットフォームを使用して、API 駆動型の指示を Illumio に自動的に送信し、これらのポートをブロックできます。交通異常に対応するには、人間が判断を下す必要があるために生じる遅延時間を回避するために、 自動応答が必要です。

拡張データ収集の仕組み

拡張データ収集は、次の 2 つの方法で使用できます。  

• ペアリングプロファイル: VEN は、最初にペアになっているときに、ワークロード上のセッションのバイト数のカウントを開始します。  

• ワークロード： バイトは、すでにデプロイされているワークロードでカウントされ始めます。

‍

この機能は、強制セッション上のすべてのトラフィックのトラフィック量を収集してログに記録します。その後、このデータは、イルミオのPCEグラフィカルユーザーインターフェイス(GUI)のトラフィックオプションで表示できます。

拡張データ収集は、トラフィックを傍受することなく脅威の動作を検出できます。Illumioは、管理されたワークロードプロセスとそれらのワークロードの予想される動作を監視することにより、管理プレーンからトラフィック量を完全に検出します。これにより、データプレーンにボトルネックが発生するリスクが回避されます。  

イルミオで次の侵害やランサムウェア攻撃に備える

脅威ハンティングソリューションは、依然として ゼロトラストアーキテクチャの重要な部分です。しかし、ゼロトラスト基盤を構築するには、ゼロトラストセグメンテーションを持つことが重要です。

ゼロトラストはネットワークをより複雑にすべきではありません。それはそれを単純化するはずです。イルミオZTSは、複雑なセキュリティ課題に対するシンプルなソリューションを提供します。  

拡張データ収集の使用の詳細については、 今すぐ無料 相談とデモをご利用ください。