イルミオコアのあまり知られていない機能：強化されたデータ収集

‍この継続的なシリーズでは、イルミオのセキュリティ専門家があまり知られていない（しかしそれほど強力ではない）機能を強調しています イルミオコア。

私たちは何十年もの間検出ツールを使用してきました。しかし、侵害やランサムウェア攻撃の数は増え続けています。

サイバー攻撃はかつてないほど変化し、急速に変化しています。すべての侵害を検知して防止することは不可能ですが、万が一、侵害の広がりを食い止めることはできます。

イルミオゼロトラストセグメンテーション（ZTS）は、重要な資産やデータに到達する前に、侵害やランサムウェア攻撃の拡散を阻止します。Illumio ZTS は、次の攻撃の防止や検知を試みるのではなく、ネットワークセグメントへの扉を閉ざします。

しかし、ビジネスを運営するために開いたままにしておく必要のある少数のポートについてはどうでしょうか。 イルミオの強化されたデータ収集機能 トラフィック量を監視して異常を見つけ、必要に応じて対策を講じるのに役立ちます。この機能の仕組みと組織にもたらす価値について詳しくは、読み進めてください。

脅威の検出だけでは侵害からの保護には不十分

攻撃者は、検出/対応ツールでは対応できないほど迅速にマルウェアやランサムウェアを展開しています。次のようなゼロデイ脅威 MoveIt 攻撃 Clopランサムウェアグループにより、検出ツールをすばやくすり抜けてネットワーク全体に拡散する可能性があります。

検出されない侵害の拡大を阻止する方法がなければ、攻撃者は最も重要なリソースに数分でアクセスできてしまいます。

最初のワークロードが侵害されると、攻撃者はすぐにオープンセッションを探し、隣接するワークロードに拡散できるようにします。ワークロード間で一般的に開かれ、リッスンしているポートには RDP、SSH、SMB などがあります。これらはいずれも、マルウェアが簡単に利用して、そのペイロードを近隣のワークロードに配信し、インフラストラクチャー全体に指数関数的な速さで拡散する可能性があります。

イルミオ ZTS 脅威ハンティングソリューションで検出されなかった場合でも、すべての侵害が規模を問わず広がるのを防ぎます。攻撃者がネットワークを侵害するために最も頻繁に使用するポートをブロックし、一元管理システムのごく一部へのアクセスを許可するだけで済みます。つまり、侵害が成功した場合は侵入口から隔離され、ネットワークの他の部分には侵入できなくなります。

Illumioは、最初に脅威を検出してからその意図を理解するためにリソースを費やす代わりに、脅威がセッションを使用するのを防ぎ、ワークロード間でポートを開いて拡散させるだけです。イルミオは、なぜ誰かがドアを壊そうとしているのかを理解しようとする前に、ドアに鍵をかけます。

これにより、検出されない小さなセキュリティ問題が、静かに壊滅的なインシデントに発展することがなくなります。

データ収集の強化:業務用に開放しておかなければならない港湾の保護

すべてのポートを 100% ブロックすれば、ネットワーク全体に広がるマルウェアから 100% 安全です。しかし、それではビジネスが 100% できなくなるということでもあります。たとえば、処理ワークロードは引き続きデータベースワークロードにアクセスする必要があります。

イルミオは、開けたままにしておかなければならない少数のポートをどうやって監視して、悪用されていないかを確認しているのでしょうか？

を使用する データ収集機能の強化、Illumio 仮想強制ノード（VEN）エージェントは、最新のオペレーティングシステムに組み込まれているファイアウォール機能を強化します。これらの VEN はワークロードに直接デプロイされるため、以下の情報も収集できます。

• すべての管理対象ホストで現在実行中のプロセス

• オープンポートで使用されるトラフィック量

次に、Illumio Policy Compute Engine（PCE）は、管理対象ワークロードの特定のオープンセッションで見られたバイト数を表示してログに記録します。

たとえば、DNSアクセスを有効にするためにワークロードでポート53を開いたままにしておくと、VENはそのポートで発生したトラフィック量のメトリックを収集できます。バイト数が予想どおりトラフィック量が少ない場合は、これが有効な DNS トラフィックであることを確認するのに役立ちます。ただし、同じポートを 10 ギガバイトのトラフィックが流れていることがカウントされた場合は、有効な DNS トラフィックではないことを示す赤信号です。DNS トンネリングの脅威がアクティブになっている可能性があります。

拡張データ収集機能によって検出されたトラフィック量を表示し、自動的にアクションを実行できます。次のようなセキュリティ情報およびイベント管理 (SIEM) ソリューション スプランク、イルミオから丸太を収穫できます。開いているポートで異常なトラフィック量が検出された場合は、セキュリティオーケストレーション、自動化、対応を利用できます。 (SOAR) プラットフォーム これらのポートをブロックするようにAPI主導の命令をIllumioに自動的に送信します。トラフィック異常への対応には、 自動応答 人間が決定を下す必要があるために生じるラグタイムを避けるためです。

拡張データ収集の仕組み

拡張データ収集は次の 2 つの方法で使用できます。

• ペアリングプロファイル: VENは、最初にペアリングされた時点でワークロードのセッションのバイト数をカウントし始めます。

• ワークロード: すでにデプロイされているワークロードのバイト数がカウントされ始めます。

‍

この機能は、強制セッションのすべてのトラフィックのトラフィック量を収集してログに記録します。その後、このデータは Illumio の PCE グラフィカルユーザーインターフェイス (GUI) のトラフィックオプションで確認できます。

拡張データ収集により、トラフィックを傍受することなく脅威の挙動を検出できます。Illumio は、管理対象ワークロードプロセスとそれらのワークロードの予想される動作を監視することで、管理プレーンからトラフィック量を完全に検出します。これにより、データプレーンにボトルネックが生じるリスクを回避できます。

Illumioで次の侵害やランサムウェア攻撃に備えましょう

脅威ハンティングソリューションは依然として重要な部分です ゼロトラストアーキテクチャ。しかし、ゼロトラストの基盤を構築するには、ゼロトラストセグメンテーションが不可欠です。

ゼロトラストはネットワークをより複雑にするべきではありません。単純化すべきです。Illumio ZTS は、複雑なセキュリティ課題に対するシンプルなソリューションを提供します。

拡張データ収集の使用方法の詳細については、 今すぐお問い合わせ 無料の相談とデモをご覧ください。