Seguridad de red híbrida: Illumio frente a proveedores de CSPM y CWPP

Finalmente te han promovido como el CISO de tu organización. ¡Felicidades! Todos esos años de certificaciones de construcción y trabajar turnos de guardia han dado sus frutos.

Después de haber seleccionado qué oficina de esquina desea, la elección de grano de madera para su escritorio, y dado las llaves del garaje de estacionamiento ejecutivo (puedo soñar, ¿no?) , ha llegado el gran día donde te presentas frente al equipo ejecutivo en todos los grandes planes que tienes para reducir el riesgo de tu empresa.

Tienes tus planes estratégicos, tácticos y operativos en tu cabeza, listos para responder a cualquier objeción que puedan lanzar frente a ti. Y al final de tu presentación, todos están de acuerdo en dejarte avanzar!

Y como parte de la lista de proyectos aprobados, dicen que solo se pueden elegir dos de las tres iniciativas:

1. Parche todas las vulnerabilidades de software
2. Detener el movimiento lateral dentro de la red
3. Resuelva alertas críticas de SIEM

Sólo dos?? ¡Pero pensaste que te darían un presupuesto y una cantidad de personal ilimitados! ¿Y ahora qué?

3 formas de proteger su red híbrida

En palabras de un famoso economista: “No hay soluciones, solo compensaciones”. Y este es siempre el dilema: cómo aprovechar al máximo el tiempo y los recursos disponibles.

¿Cómo puede elegir entre 845 alertas sev-1 en su SIEM, 1,342 CVE “críticos” que necesitan parches o descubrir que toda su red está expuesta al ransomware?

Entonces, comienzas el largo y arduo proceso de redacción de planes de proyectos, envío de RFI, y esperando poder contratar personal competente para ejecutarlo todo.

Muy pronto, los proveedores comienzan a llamar y ofrecer soluciones a todos sus problemas. Contratistas te dicen que pueden hacerlo en la mitad del tiempo por dos tercios del costo. La administración quiere que se haga antes de la próxima moratoria de la red.

Primero: Los proveedores de administración de postura de seguridad en la nube (CSPM) que ha utilizado antes. Usted trae dos o tres de ellos, y ellos le dicen todo sobre sus excelentes características que lo ayudarán con cosas como monitoreo de cumplimiento de normas o herramientas de inventario de activos.

Le indican cómo sus “funciones de administración de acceso e identidad (IAM) de AWS son el nuevo perímetro de la red”. Le informan que sus cubos de almacenamiento están expuestos a Internet. Le proporcionan un mapa de exposición que le muestra cómo todos sus dispositivos pueden comunicarse entre sí y sobre qué puertos.

Usted está de acuerdo en que todas estas son causas dignas y nobles que necesitan ser abordadas.

Siguiente: Los proveedores de plataformas de protección de carga de trabajo en la nube (CWPP). Estas personas le dirán que necesita profundizar en las cargas de trabajo para lograr un progreso real.

Pueden señalar vulnerabilidades de software, malware, claves extraviadas y otros datos confidenciales en sus cargas de trabajo en la nube. Te introducen en el mundo de la inteligencia artificial, el análisis de máquinas y otras herramientas de análisis del comportamiento para “meterte en la mente del criminal” que desesperadamente quiere exponer tu propiedad intelectual.

Nuevamente, todas estas son metas dignas, algunas de las cuales no habías pensado antes. Pero estás empezando a penar por ese trabajo de pager-duty que tenías allá por 2004.

Entonces, decide reunirse con este proveedor se encontró en la conferencia de RSA llamada Illumio. No podrías perderlos después de todo, con sus pantalla LED gigante de 20 pies, naranja brillante. (Todos sus empleados tenían un bronceado sólido para el viernes desde la luminiscencia).

Illumio sugiere un enfoque diferente: ¿Por qué no empezamos con algo básico que se pueda implementar rápidamente y que pueda evitar 5 desastres cibernéticos cada año.

Eso te llamó la atención.

Su ingeniero de ventas dijo que un se necesita un enfoque en capas para la seguridad, y que deberías considerar Segmentación de confianza cero como base de la pirámide. Porque, al final del día, en algún lugar, de alguna manera uno de tus activos va a ser violado.

Lo importante es lo que sucede después: que tú evitar que se propague a cualquier otro lugar de su red.

Esto evita un evento catastrófico debido a un sistema individual comprometido. El ingeniero de ventas pasó a describir que la mayoría de los ataques de ransomware utilizan el protocolo de escritorio remoto (RDP) como su vector primario (que tienes abierto en todas partes).

Illumio proporciona Segmentación de Confianza Cero para sistemas locales, basados en agentes y aplicaciones en la nube.

• Núcleo de Illumio ofrece un enfoque simple basado en agentes que utiliza etiquetas como mecanismo para identificar, organizar y aplicar políticas de seguridad en todo su entorno de data center.
• Y Illumio CloudSecure complementa esto al expandir las herramientas de segmentación en sus entornos nativos de la nube para administrar funciones de cómputo sin servidor y otros servicios nativos de la nube.

La opción Illumio: Vea y proteja todos los entornos en uno

Después de que termine el desfile de vendedores y estés de vuelta en tu reunión de personal, es hora de discutir qué opción es la mejor.

Habla con sus equipos de Ops sobre cómo manejan las alertas críticas hoy en día y qué se necesitaría para “borrar la ventana de alerta” de notificaciones de riesgo medio y alto.

“¡Eso es fácil!” dice uno de los trabajadores del turno nocturno, “solo resalto todas las alertas y hago clic en eliminar. Hay demasiados de ellos a los que prestarle atención, honestamente. Y si algo malo realmente sucede, voy a recibir una llamada telefónica”.

Esa no era exactamente la respuesta que querías escuchar, pero buena información, no obstante.

A continuación, hable con su equipo de administración de software. Describen cómo la lista de vulnerabilidades y exposiciones comunes (CVE) no es terriblemente útil porque no proporcionan mucho contexto: “Muchos de ellos no se aplican a nosotros porque no están en sistemas expuestos a Internet. Estamos trabajando para parchear a los demás, pero va a tomar algún tiempo probarlos todos antes de lanzarlos a la producción”.

La opción Illumio está empezando a sonar mejor ya que recuerdas al ingeniero de ventas mencionando algunas cosas sobre Illumio CloudSecure para aplicaciones nativas de la nube sin agentes:

• La mayoría de estos proveedores de CSPM/CWPP realmente no miran los flujos de tráfico reales en su red. Illumio CloudSecure analiza flujos de tráfico en tiempo real y los compara con sus reglas de seguridad nativas de la nube para proporcionar un análisis de cuán sobreexpuestos están sus conjuntos de reglas.
  
  (Por ejemplo, no es necesario tener una regla de seguridad que permita que todo Internet, o incluso un bloque de direcciones /16, acceda a sus funciones Lambda si solo está hablando con un /24 interno).
  
  Si bien es posible que puedan decirle quién “puede” hablar, Illumio CloudSecure te muestra quién “sí” platicó y a qué. Conocer el “can” solo es beneficioso si ya sabes lo que se considera tráfico normal. Eso requiere flujos de tráfico reales.
  
• En la demostración de Illumino CloudSecure, el ingeniero de ventas mostró sus aplicaciones nativas de la nube en un mapa, desde la suscripción del equipo de desarrollo de Azure hasta sus aplicaciones de pedidos de producción en AWS.
  
  Pero lo que fue más interesante fueron los otro sistemas en AWS que no sabía que existían.
  
  (¿Quién sabía que el equipo de recursos humanos había contratado a un pasante para construir una nueva aplicación de informes de nómina? Y ¿POR QUÉ está enviando tráfico a mi sistema de pedidos de producción?)
  
  Te das cuenta de que no puedes asegurarlo si no sabes que está ahí fuera.
  
• También te diste cuenta ninguno de esos proveedores de CSPP o CWPP que trajo mencionaron algo sobre su data center en las instalaciones. Si bien la nube puede ser el nuevo juguete brillante, aún tiene sistemas críticos en el sitio que necesitan el mismo nivel de protección.

Comience con Illumio, la compañía de Segmentación de Confianza Cero

Su fecha límite se acerca rápidamente. Entonces, ¿qué decides hacer? El dilema de “Pick Two” te mantiene levantado por la noche. El tiempo pasa.

Una bombilla parpadea por encima de tu cabeza, ¡una solución!

Regresas al equipo ejecutivo y anuncias: “Mira, aquí no hay una solución perfecta. Sólo compensaciones. Pero esto es lo que propongo que podemos hacer antes del bloqueo web para que pueda reportar avances significativos a la junta”.

Explicas tu plan: Comienza con Illumio, la empresa de Segmentación de Confianza Cero.

Illumio puede:

• Aguarde 5 desastres cibernéticos al año y ahorre $20,1 millones en downtime de las aplicaciones.
• Ayude a los equipos de seguridad a identificar todas las aplicaciones deshonestas en la nube para que puedan comenzar a endurecer las reglas de seguridad.
• Proporcionar más tiempo para implementar una herramienta CNAPP que proporciona la “siguiente capa” de protección contra amenazas más sofisticadas. (Bridas inteligentemente a tu falta de mano allí, combinando los proyectos #1 y #3 debajo El último acrónimo de Gartner, CNAPP, que combina CSPP y CWPP en un solo paraguas.)

Se logra “Pick two” — y pudiendo conseguir los tres.

Para saber más sobre Illumio y la Segmentación de Confianza Cero:

• Vea cómo Illumio ayudó a un bufete de abogados global a detener la propagación del ransomware.
• Descubra por qué Illumio es un Líder en reportes de Forrester Wave en Zero Trust y microsegmentación.
• Lea esta guía sobre cómo Illumio hace que la Segmentación de Confianza Cero sea rápida, simple y escalable.
• Contáctanos para descubrir cómo Illumio puede ayudar a fortalecer las defensas de su organización contra las amenazas de ciberseguridad.