일루미오 코어의 잘 알려지지 않은 기능: 향상된 데이터 수집

‍In this ongoing series, Illumio security experts highlight the lesser known (but no less powerful) features of Illumio Core.

저희는 수십 년 동안 탐지 도구를 사용해 왔습니다. 그러나 침해 및 랜섬웨어 공격은 계속해서 증가하고 있습니다.

사이버 공격은 그 어느 때보다 빠르게 변화하고 있습니다. 모든 침해를 탐지하고 예방하는 것은 불가능하지만, 침해가 발생하면 확산을 막을 수는 있습니다.

Illumio 제로 트러스트 세분화(ZTS)는 침해 및 랜섬웨어 공격이 중요한 자산과 데이터에 도달하기 전에 확산을 차단합니다. 다음 공격을 방지하거나 탐지하는 대신 Illumio ZTS는 네트워크 세그먼트의 문을 잠급니다.

하지만 비즈니스를 운영하기 위해 계속 열려 있어야 하는 소수의 포트는 어떻게 해야 할까요? 일루미오의 향상된 데이터 수집 기능을 사용하면 트래픽 양을 모니터링하여 이상 징후를 발견하고 필요한 경우 조치를 취할 수 있습니다. 이 기능의 작동 방식과 이 기능이 조직에 가져올 수 있는 가치에 대해 자세히 알아보려면 계속 읽어보세요.

위협 탐지만으로는 침해에 대한 보안을 확보할 수 없습니다.

Attackers are deploying malware and ransomware faster than detect-and-response tools can keep up. Zero-day threats, such as the MOVEit attacks by the Clop ransomware group, can quickly slip past detection tools and immediately spread through your network.

탐지되지 않은 침해가 확산되는 것을 막을 방법이 없다면 공격자는 몇 분 만에 가장 중요한 리소스에 액세스할 수 있습니다.

첫 번째 워크로드가 손상되면 공격자는 즉시 열려 있는 세션을 찾아 인접한 워크로드로 확산시킬 수 있습니다. 워크로드 간에 일반적으로 열리고 수신 대기하는 포트에는 RDP, SSH 및 SMB가 있습니다. 멀웨어는 이 중 어느 것이든 쉽게 사용하여 주변 워크로드에 페이로드를 전달하고 인프라 전체에 기하급수적인 속도로 확산시킬 수 있습니다.

Illumio ZTS stops all breaches from spreading at any scale, even if they’ve gone undetected by threat-hunting solutions. You can block the ports attackers use most often to breach networks, only allowing access to a small set of centralized management systems. This means that any successful breach will be isolated to its entry point and unable to move through the rest of the network.

위협을 먼저 탐지하고 그 의도를 파악하는 데 리소스를 투입하는 대신, Illumio는 위협이 워크로드 간에 세션과 열린 포트를 사용하여 확산되는 것을 방지합니다. 일루미오는 누군가 문을 부수려고 하는 이유를 파악하기 전에 문을 잠급니다.

이를 통해 감지되지 않은 작은 보안 문제가 치명적인 사고로 확대되는 것을 방지할 수 있습니다.

향상된 데이터 수집: 비즈니스를 위해 개방 상태를 유지해야 하는 포트 보호

모든 포트 중 100개% 를 차단하면 네트워크를 통해 확산되는 멀웨어로부터 100% 안전합니다. 하지만 이는 또한 비즈니스를 할 수 없는 100% 상태라는 의미이기도 합니다. 예를 들어, 처리 워크로드는 여전히 데이터베이스 워크로드에 액세스해야 합니다.

How does Illumio monitor those small number of ports that have to stay open to make sure they’re not being misused?

Using the Enhanced Data Collection feature, Illumio virtual enforcement node (VEN) agents enforce the firewalling capabilities built into most modern operating systems. Because these VENs are deployed directly onto a workload, they’re also able to collect information about:

현재 모든 관리형 호스트에서 실행 중인 프로세스

개방형 포트에서 사용되는 트래픽 양

그런 다음 Illumio 정책 컴퓨팅 엔진(PCE)은 관리되는 워크로드의 특정 오픈 세션에서 보이는 바이트 수를 표시하고 기록합니다.

For example, if Port 53 is left open on a workload to enable DNS access, the VEN can collect metrics on the volume of traffic seen over that port. If the byte count shows small traffic volumes, as expected, this helps to ensure that this is valid DNS traffic. But if the count shows 10 gigabytes of traffic passing across that same port, this is a red flag that it's not valid DNS traffic. It could indicate that there’s an active DNS-tunneling threat.

You can view the traffic volumes found by the Enhanced Data Collection feature and take action automatically. A security information and event management (SIEM) solution, such as Splunk, can harvest logs from Illumio. If it sees anomalous traffic volumes across open ports, it can use its security orchestration, automation, and response (SOAR) platform to automatically send API-driven instructions to Illumio to block these ports. Responding to traffic anomalies requires an automated response to avoid the lag time caused by a human needing to make a decision.

향상된 데이터 수집의 작동 방식

향상된 데이터 수집 기능은 두 가지 방법으로 사용할 수 있습니다:

프로파일 페어링: VEN은 처음 페어링될 때 워크로드의 세션에 대한 바이트 수를 계산하기 시작합니다.

워크로드: 이미 배포된 워크로드에서 바이트가 카운트되기 시작합니다.

향상된 데이터 수집 기능 페어링 프로필 — 워크로드가 페어링될 때(위쪽) 또는 기존 워크로드에(아래쪽) 트래픽 볼륨을 기록할 수 있습니다.

‍

이 기능은 적용된 세션의 모든 트래픽에 대한 트래픽 양을 수집하고 기록합니다. 그런 다음 Illumio의 PCE 그래픽 사용자 인터페이스(GUI)의 트래픽 옵션에서 이 데이터를 볼 수 있습니다.

Illumio PCE GUI의 트래픽 옵션 — PCE GUI의 트래픽 옵션에서 트래픽 양을 확인합니다.

향상된 데이터 수집 기능은 트래픽을 가로채지 않고도 위협 행위를 탐지할 수 있습니다. Illumio는 관리되는 워크로드 프로세스 및 해당 워크로드의 예상 동작을 모니터링하여 관리 플레인에서 트래픽 양을 전적으로 감지합니다. 이렇게 하면 데이터 플레인에서 병목 현상이 발생할 위험을 방지할 수 있습니다.

Illumio로 다음 침해 또는 랜섬웨어 공격에 대비하세요.

Threat-hunting solutions are still an important part of a Zero Trust architecture. But to build your Zero Trust foundation, it’s crucial to have Zero Trust Segmentation.

제로 트러스트는 네트워크를 더 복잡하게 만드는 것이 아니라 단순화해야 합니다. Illumio ZTS는 복잡한 보안 문제에 대한 간단한 솔루션을 제공합니다.

To learn more about using Enhanced Data Collection, contact us today for a free consultation and demo.