Características poco conocidas de Illumio Core: recopilación de datos mejorada
En esta serie en curso, los expertos en seguridad de Illumio destacan las características menos conocidas (pero no menos poderosas) de Núcleo de Illumio.
Hemos estado usando herramientas de detección durante décadas. Pero el número de brechas y ataques de ransomware sigue aumentando.
Los ciberataques están cambiando y avanzando más rápido que nunca. Es imposible detectar y prevenir todas las brechas, pero podemos detener su propagación cuando ocurren.
La segmentación de confianza cero (ZTS) de Illumio detiene la propagación de brechas y ataques de ransomware antes de que puedan llegar a sus activos y datos críticos. En lugar de intentar prevenir o detectar el próximo ataque, Illumio ZTS cierra la puerta a sus segmentos de red.
Pero, ¿qué pasa con el pequeño número de puertos que necesitan permanecer abiertos para que pueda administrar su negocio? Función de recopilación de datos mejorada de Illumio le ayuda a monitorear sus volúmenes de tráfico para encontrar anomalías y tomar medidas si es necesario. Sigue leyendo para obtener más información sobre cómo funciona esta función y el valor que puede aportar a tu organización.
La detección de amenazas no es suficiente para proteger contra las brechas
Los atacantes están implementando malware y ransomware más rápido de lo que pueden mantener las herramientas de detección y respuesta. Amenazas de día cero, como Ataques de MoveIt del grupo de ransomware Clop, puede pasar rápidamente por las herramientas de detección y propagarse inmediatamente a través de su red.
Si no tiene una manera de evitar que las brechas no detectadas se propaguen, los atacantes pueden acceder a sus recursos más críticos en minutos.
Después de que la primera carga de trabajo se vea comprometida, los atacantes buscarán inmediatamente sesiones abiertas para que puedan propagarse a las cargas de trabajo vecinas. Los puertos comúnmente abiertos y de escucha entre cargas de trabajo incluyen RDP, SSH y SMB. Cualquiera de estos puede ser utilizado fácilmente por el malware para entregar su carga útil a las cargas de trabajo vecinas, extendiéndose por toda la infraestructura a una velocidad exponencial.
Illumio ZTS impide que todas las brechas se propaguen a cualquier escala, incluso si no han sido detectadas por las soluciones de búsqueda de amenazas. Puede bloquear los puertos que los atacantes utilizan con mayor frecuencia para violar las redes, permitiendo solamente el acceso a un pequeño conjunto de sistemas de administración centralizados. Esto significa que cualquier violación exitosa se aislará a su punto de entrada y no podrá moverse a través del resto de la red.
En lugar de dedicar recursos para detectar primero una amenaza y luego comprender su intención, Illumio simplemente evita que las amenazas usen sesiones y abran puertos entre cargas de trabajo para propagarse. Illumio cierra las puertas antes de tratar de entender por qué alguien está tratando de derribarlas.
Esto asegura que un pequeño problema de seguridad no detectado no pueda escalar silenciosamente a un incidente catastrófico.
Recolección de datos mejorada: protección de puertos que deben permanecer abiertos para el negocio
Si bloquea el 100% de todos los puertos en todas partes, está 100% a salvo del malware que se propaga a través de su red. Pero también significa que eres 100% incapaz de hacer negocios. Por ejemplo, las cargas de trabajo de procesamiento seguirán necesitando acceso a las cargas de trabajo de la base de datos.
¿Cómo monitorea Illumio esa pequeña cantidad de puertos que tienen que permanecer abiertos para asegurarse de que no están siendo mal utilizados?
Usando el Función de recopilación de datos mejorada, los agentes del nodo de aplicación virtual (VEN) de Illumio implementan las capacidades de firewall integradas en la mayoría de los sistemas operativos modernos. Debido a que estos VEN se implementan directamente en una carga de trabajo, también pueden recopilar información sobre:
- Procesos que se ejecutan actualmente en todos los hosts administrados
- El volumen de tráfico utilizado en los puertos abiertos
A continuación, el motor de computación de políticas (PCE) de Illumio muestra y registra el número de bytes vistos en sesiones abiertas específicas de cargas de trabajo administradas.
Por ejemplo, si el puerto 53 se deja abierto en una carga de trabajo para habilitar el acceso DNS, el VEN puede recopilar métricas sobre el volumen de tráfico visto en ese puerto. Si el recuento de bytes muestra pequeños volúmenes de tráfico, como se esperaba, esto ayuda a garantizar que se trata de tráfico DNS válido. Pero si el recuento muestra 10 gigabytes de tráfico que pasan por ese mismo puerto, esto es una bandera roja de que no es tráfico DNS válido. Podría indicar que existe una amenaza activa de túnel DNS.
Puede ver los volúmenes de tráfico encontrados por la función de recopilación de datos mejorada y tomar medidas automáticamente. Una solución de administración de eventos e información de seguridad (SIEM), como Splunk, puede cosechar troncos de Illumio. Si ve volúmenes de tráfico anómalos en los puertos abiertos, puede usar su orquestación de seguridad, automatización y respuesta. Plataforma (SOAR) para enviar automáticamente instrucciones basadas en API a Illumio para bloquear estos puertos. Para responder a las anomalías del tráfico se requiere respuesta automatizada para evitar el tiempo de retraso causado por una necesidad humana de tomar una decisión.
Cómo funciona la recopilación de datos mejorada
Puede utilizar la recopilación de datos mejorada de dos maneras:
- Perfiles de emparejamiento: Los VEN comenzarán a contar bytes para las sesiones en las cargas de trabajo a medida que se emparejan inicialmente.
- Cargas de trabajo: Los bytes comenzarán a contarse en cargas de trabajo que ya están implementadas.


La función recopila y registra volúmenes de tráfico para todo el tráfico en una sesión forzada. A continuación, puede ver estos datos en la opción Tráfico de la interfaz gráfica de usuario (GUI) PCE de Illumio.

La recopilación de datos mejorada puede detectar comportamientos de amenazas sin necesidad de interceptar ningún tráfico. Illumio detecta los volúmenes de tráfico completamente desde el plano de administración mediante el monitoreo de los procesos de carga de trabajo administrados y el comportamiento esperado de esas cargas de trabajo. Esto evita el riesgo de crear un cuello de botella en el plano de datos.
Prepárese para el próximo ataque de violación o ransomware con Illumio
Las soluciones para la búsqueda de amenazas siguen siendo una parte importante de Arquitectura Zero Trust. Pero para construir su base Zero Trust, es crucial tener Segmentación de Confianza Cero.
Zero Trust no debería hacer que su red sea más compleja; debería simplificarla. Illumio ZTS ofrece una solución simple para un desafío de seguridad complejo.
Para obtener más información sobre el uso de la recopilación de datos mejorada, contáctenos hoy para una consulta gratuita y una demostración.