.png)
Características poco conocidas de Illumio Core: Mapas de vulnerabilidades
En esta serie en curso, los expertos en seguridad de Illumio destacan las características menos conocidas (pero no menos poderosas) de Núcleo de Illumio.
El panorama informático moderno es un objetivo muy tentador para los ciberdelincuentes, con el potencial de obtener importantes beneficios del ransomware, el robo financiero a través de infracciones, la exfiltración de propiedad intelectual y la interrupción de la infraestructura.
Dado que los controles de seguridad tradicionales a menudo se quedan muy rezagados como una prioridad en las arquitecturas híbridas de múltiples nubes, las oportunidades para los ciberdelincuentes siguen aumentando. Muchas organizaciones utilizan escáneres de vulnerabilidades para obtener actualizaciones en tiempo real sobre puertos vulnerables, pero estos escáneres solo proporcionan información, no correcciones.
En esta entrada de blog, aprenda cómo puede combinar los datos de su escáner de vulnerabilidades con el poder de Illumio Mapa de Vulnerabilidad para asegurar inmediatamente las vulnerabilidades y reducir su exposición al riesgo.
La complejidad de la red dificulta la seguridad contra las amenazas de día cero
Hoy en día, los datos residen en todas partes. Los datos pueden moverse dinámicamente dentro y entre nubes, hacia y desde centros de datos distribuidos, y hacia y desde endpoints que pueden conectarse a servicios en la nube desde cualquier parte del planeta, con dependencias de datos alojados en plataformas SaaS.
Si bien esta arquitectura dinámica moderna es conveniente, la compensación es que hay una explosión de posibles puntos de entrada a su entorno. Todas esas nubes, data centers y endpoints dependen de un rango dinámico de dependencias externas, cada una de las cuales sirve como una puerta abierta potencial que puede ser violada.
.webp)
El cibercriminal moderno puede escanear fácilmente todos estos puntos de entrada en busca de una oportunidad y, a pesar de la dependencia de los controles de identidad de punto final, las herramientas del perímetro de la nube como firewalls virtuales, SASE y puntos de cumplimiento ZTNA, la mayoría de las brechas a través de estas herramientas se producen debido a errores de configuración humana o errores de proveedores.
Muchas de las grandes brechas de los últimos años se han debido al eslabón más débil en cualquier arquitectura de seguridad: la persona entre el teclado y la silla. Las organizaciones deben asumir que eventualmente se producirá una brecha y las organizaciones necesitan una manera de cuantificar claramente el riesgo de las cargas de trabajo frente a la constante embestida de malware de día cero.
Los escáneres de vulnerabilidades por sí solos no son suficientes para proteger contra las nuevas amenazas detectadas
Los escáneres de vulnerabilidades proporcionan actualizaciones en tiempo real sobre los puertos vulnerables que utiliza el malware más reciente para propagar cargas maliciosas. Ejemplos comunes de tales escáneres son Qualys, Rapid7, y Tenable. La información de vulnerabilidad recibida de estos escáneres puede ayudar a identificar las cargas de trabajo en su entorno que pueden estar utilizando estos puertos en riesgo y que deberán ser parcheadas para protegerse contra las vulnerabilidades reportadas.
Estos escáneres proporcionan un sistema común de puntuación de vulnerabilidades (CVSS) para cuantificar los riesgos al clasificar las exposiciones vulnerables en una escala numérica. Las puntuaciones de vulnerabilidad de los escáneres son unidimensionales y se aplican a un puerto o rango de puertos que utiliza un sistema operativo determinado. Esto deja que el centro de operaciones de seguridad determine qué cargas de trabajo y dependencias necesitarán ser parcheadas y cuánto downtime pueden tolerar las cargas de trabajo críticas para actualizarlas de manera oportuna.
Esto a menudo da como resultado información en tiempo real sobre las exposiciones, pero con demoras en remediarlas. ¿Por qué? Dado que estos escáneres no tienen visibilidad dentro de su entorno, no consideran la conectividad de una carga de trabajo ni las dependencias entre otras cargas de trabajo en todo su entorno y no pueden ofrecer protección inmediata contra las amenazas detectadas recientemente.
Empareja escáneres de vulnerabilidades con Illumio para una rápida contención de brechas
Para que los escáneres de vulnerabilidades sean más efectivos, necesita una manera de automatizar la seguridad en respuesta a los hallazgos de los escáneres. Ahí es donde entran en juego los Mapas de Vulnerabilidad de Illumio. Combine los datos de su escáner de vulnerabilidades con el mapa en tiempo real de Illumio para medir y reducir la exposición al riesgo.
Esta función combina las puntuaciones CVSS recibidas de estos escáneres junto con la información que Illumio Core descubre continuamente en todo su entorno para calcular una puntuación de exposición a vulnerabilidades (VES). También a veces llamado puntaje V-E, este es un número a lo largo de una escala de riesgo: puntajes más altos significan mayor riesgo mientras que puntajes más bajos significan menor riesgo. Esta puntuación V-E calcula cuántas cargas de trabajo en su entorno pueden usar estos puertos vulnerables entre aplicaciones alojadas y luego recomendará una política modificada para evitar que estos puertos se utilicen entre cargas de trabajo.
Esto significa que si actualmente no puede parchear un host vulnerable, Illumio esencialmente parchea la red por usted. Dado que se debe suponer que un host sin parches en su entorno inevitablemente se verá comprometido por el malware que utiliza este puerto vulnerable, Illumio evitará que ese host sin parches propague malware lateralmente a cualquier otro host.
Illumio aísla los ataques y evita que se propaguen por toda su red sin necesidad de entender la configuración o las intenciones del ataque. Si bien sigue siendo importante aplicar parches a las cargas de trabajo vulnerables, Illumio permite una seguridad inmediata, mientras que los pasos de corrección pueden seguir un flujo de trabajo más lento.
Cómo los mapas de vulnerabilidades cuantifican el riesgo de seguridad en 3 pasos
Núcleo de Illumio permite que los equipos de seguridad cuenten el riesgo, creen políticas de segmentación y luego modele y prueben la política antes de implementarla. Al poder probar y monitorear el comportamiento esperado de la red una vez que se implementa la política, los equipos pueden garantizar que las nuevas implementaciones no rompan los flujos de trabajo de las aplicaciones.
Si Illumio Core ve tráfico intentando conectarse a un puerto con una vulnerabilidad conocida, enviará una alerta de tráfico informando al SOC, incluyendo el contexto de vulnerabilidad y gravedad, e inmediatamente bloqueará el establecimiento de ese tráfico.
Este proceso sigue estos tres pasos:
1. La visibilidad de extremo a extremo destaca dónde existen riesgos
El Mapa de Vulnerabilidad visualiza todas las cargas de trabajo y flujos de red que son vulnerables a los riesgos recibidos de los escáneres, calculando una puntuación V-E para cada grupo de aplicaciones y todas las cargas de trabajo contenidas dentro de los grupos de aplicaciones utilizando colores asignados a niveles de riesgo de puertos específicos.
2. Recomendaciones de política más ajustadas
En respuesta a nuevas amenazas, Illumio Core recomendará una política modificada que reducirá el riesgo de carga de trabajo frente a la vulnerabilidad reportada. Esto incluye varios niveles de segmentación creciente que reducirán la exposición de las cargas de trabajo asignadas a diferentes etiquetas para detener y contener cualquier posible violación.
3. Detener la propagación de nuevas amenazas a través de la red
El mapa mostrará los mismos colores utilizados para identificar los riesgos de exposición, y los equipos de seguridad pueden optar por incluir o excluir la política recomendada. Si el recomendado segmentación se pone en marcha la política, el mapa mostrará puntuaciones de exposición más bajas.
La capacidad de cuantificar claramente el riesgo antes y después de implementar políticas de carga de trabajo modificadas es una herramienta valiosa para demostrar riesgos y remediación a las operaciones de SOC, los propietarios de aplicaciones y los auditores de seguridad. Los propietarios de aplicaciones a menudo no tienen una imagen completa de cómo se comportan sus aplicaciones en todas las dependencias. Illumio asegura que incluso las amenazas no detectadas se eviten propagarse al bloquear su capacidad de suplantación de puertos abiertos.
El enfoque sin agente de Illumio Core para la seguridad de la carga de trabajo
Las herramientas de seguridad de red implementadas en la nube y el perímetro del data center nunca serán 100 por ciento efectivas. Debido a eso, es importante que las organizaciones implementen una tecnología de contención de brechas Zero Trust como la Plataforma de Segmentación de Confianza Cero Illumino.
Con Illumio, puede asegurar todas las sesiones entre todas las cargas de trabajo a cualquier escala. Illumio Vulnerability Maps amplía las puntuaciones de vulnerabilidad en toda su infraestructura híbrida y multinube, no solo a hosts individuales, para evitar que el malware se propague a través de la red utilizando puertos de cargas de trabajo sin parches.
Para obtener más información de Illumio ZTS, contáctenos hoy para una consulta gratuita y una demostración.
.webp)
