サイバー災害が未だに起きている理由とその解決方法
これまで、公共部門と民間部門の両方におけるサイバーセキュリティは、予防と検出という1つの一貫したテーマに従ってきました。
問題なの?予防と検出だけでは不十分です。侵害はいまだに発生しています。
何十年にもわたって攻撃者による直接的な攻撃の防止と検出を試みて失敗してきた今、封じ込めに焦点を移す時が来ました。アインシュタインが実際にそれを言ったかどうかにかかわらず、自明の理は依然として正確です。狂気の定義は、同じことを何度も繰り返し、異なる結果を期待することです。
従来のセキュリティ手法では、現代の攻撃者と戦うには不十分
ほとんどのセキュリティチームの取り組みは、脅威がデータセンターやクラウドに侵入するのを防ぐことに重点を置いてきました。
セキュリティツールの大半は、信頼できない外部と信頼できる内部の境界である南北境界線です。ここがまさにその場所です。 次世代ファイアウォール、アンチウイルススキャナー、プロキシ、その他のセキュリティツールが導入されています。これらのツールはすべての着信トラフィックを検査して、何も悪いトラフィックがすり抜けないようにします。
ただし、過去数年間に発生した重大なセキュリティ侵害はすべて、これらのツールの少なくとも1つが導入されており、そのほとんどがセキュリティ要件に準拠しています。しかし、攻撃者はネットワークへの侵入に成功しています。
そして、いったんネットワークの中に入ると、すべての敵には共通点が1つあります。それは、彼らは移動するのが好きだということです。彼らは東西に横方向に広がり、ホストからホストへと移動して、意図したデータ流出のターゲットを探します。
これらの侵害の多くは、ネットワークに侵入してからずっと後、場合によっては数か月後に発見されています。予防から検出へと移行したとしても、被害が発生するまで検出を回避するのが得意な現代の攻撃者には、今日のツールは対応できません。
いったん侵害されると、ほとんどのネットワークは東西への伝播の危険にさらされます
サイバーセキュリティに対する従来のアプローチでは、境界の外にあるものはすべて信頼できないものと定義され、境界内にあるものはすべて信頼できると定義されています。その結果、攻撃者がトラステッドコアの内部に侵入すると、攻撃者が横方向に広がるのを防ぐ手段がほとんどないことがよくあります。
ホストからホスト、アプリケーションからアプリケーションへ、ネットワークセグメント全体に分散していると、ほとんどのワークロードは動きの速い敵に屈することになります。また、ネットワークセグメントは、通常、ホスト間での拡散を防ぐのにあまり効果がありません。
ネットワークセグメントは、DDoS や ARP スプーフィングなどのネットワーク問題を防ぐように設計されています。VLAN、IP サブネット、ルーティングピアリングポイント、および SDN オーバーレイネットワークは、これらの問題を制御し、ネットワークのトラフィックエンジニアリングを可能にするために構築されています。しかし、これらのネットワークセグメントは通常、正規のトラフィックのように見えるポートを経由してホスト間を伝播するため、攻撃者はこれらのネットワークセグメントを簡単に通過できます。
ネットワークデバイスはパケットヘッダーを見て、これらのヘッダーに含まれるポートに基づいてトラフィックをブロックまたは許可します。しかし、攻撃者を発見するには、パケットのデータペイロードを深く調べる必要があります。そのためには、東西のすべてのトラフィックの経路にあるすべてのホスト間にファイアウォールを導入する必要があります。
これはすぐに高価になり、ネットワークのボトルネックとなる可能性があります。ネットワークの速度を落とさずに敵を発見するには、シグネチャ、「サンドボックス」、AI、機械学習、またはその他の複雑な方法に頼って、すべてのパケットを「クラックオープン」して検査する必要があります。
このアプローチを試しても、すぐに放棄されたり、削減されたりして、苦労して獲得した予算予算のROIは得られません。これでは、東西への伝播を防ぐ方法はほとんど残っておらず、ホストは広く開放されたままです。
避けられない侵害が発生すると、人々は指を差すようになります。
ゼロトラストセグメンテーションを導入していない組織は、勝てない戦いを繰り広げています
すべての周囲は多孔質です。境界のセキュリティ境界が実効値の 99% であっても、最終的には破られることになります。あるいは、偶発的であれ意図的であれ、内部からセキュリティ侵害が侵入することもあります。
いまだに高価なセキュリティツールを境界に導入しようとしており、ホストがいかなる種類の脅威もネットワークの東西に伝播していないと確信している企業は、翌日、直接攻撃の最新の被害者としてニュースで取り上げられるでしょう。
東西地区全体にセキュリティを実装することを無視する人は誰でも、負け戦を繰り広げることになります。
マイクロセグメンテーションは主要な部分です ゼロトラストアーキテクチャ そこでは、すべてのリソースはネットワーク境界から切り離された信頼境界です。
Illumioは、データセンターとクラウド内の東西の脅威ベクトルを大規模に保護しています。
すべてのワークロードは、他のすべてのワークロードからマイクロセグメント化され、ネットワークアドレスではなくメタデータ駆動型モデルを使用してホストが識別され、それらの間の最小権限アクセスモデルが適用されます。つまり、ホストにデプロイされたワークロードは、場所ではなく機能によって識別されるため、ホスト間のネットワーク動作を明確に視覚化できます。
マイクロセグメンテーションの詳細はこちら ここに。
ネットワーク上でアプリケーションがどのように通信しているかを可視化できます
アプリケーション中心の観点から、アプリケーション間のネットワークトラフィックを可視化することは、データセンターの物理デバイスでもパブリッククラウドの仮想デバイスでも、ネットワークデバイスを使用することは困難です。
これは、スイッチ、ルーター、ファイアウォール、または監視ツールからのアプリケーションの動作と依存関係を視覚化するには、通常、ネットワークの動作をアプリケーションの動作に変換し、アプリケーションとホストの間の「誰が誰に何をしているのか」を発見する必要があるためです。多くの場合、これは明らかにするよりもすぐに混乱を招きます。
アプリケーションがネットワーク上でどのように通信するかを視覚化するには、それらのアプリケーションが存在するホストに直接デプロイされたソリューションが必要です。
イルミオは非常に明確で正確なものを可能にします ディペンデンシーマップ データセンターとクラウドのすべてのアプリケーション間。ホストは機能や所有権などのメタデータに基づいてグループ化され、ホスト間のトラフィックフローがすべて明確に表示されます。
これにより、ネットワークやクラウドに触れることなく、コンプライアンス違反やホスト同士の通信方法を非常に迅速に発見できます。
イルミオは、環境全体で誰が誰に何をしているのかを大規模に明らかにすることで、ホスト間のリスクを定量化し、どの危険なポートが潜在的な侵害にさらされているかを示すのに役立ちます。
イルミオゼロトラストセグメンテーションを実装して、敵の東西への移動を阻止しましょう
予防セキュリティモデルは時代遅れであり、検出セキュリティモデルはラテラルプロパゲーションを防ぐほど迅速ではありません。
現代のセキュリティモデルでは、侵害は発生するか、すでに発生していると想定する必要があります。この考え方は、侵害を受けたホストの健全性を維持することに重点を置くのではなく、攻撃者が誰であるかを正確に理解しなくても、攻撃者を迅速に隔離して拡散を防ぐことができます。
Illumioのアプリケーション中心のセキュリティソリューションを使用すると、アプリケーションの観点から東西の脅威ベクトルを適用および視覚化できます。
侵害が国家支援の敵対者によるものであれ、犯罪組織によるものであれ、その脅威は隔離され、拡散が防止されます。
狂気は止められるべきだし、止められるはずだ。
イルミオゼロトラストセグメンテーションについてもっと知りたいですか? お問い合わせ 今日。