.png)
Fonctionnalités peu connues d'Illumio Core : cartes de vulnérabilité
Dans cette série en cours, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités les moins connues (mais non moins puissantes) de Noyau Illumio.
Le paysage informatique moderne est une cible très tentante pour les cybercriminels, car les rançongiciels, le vol financier par le biais de violations de données, l'exfiltration de propriété intellectuelle et la perturbation des infrastructures peuvent générer des bénéfices importants.
Les contrôles de sécurité traditionnels étant souvent loin d'être considérés comme une priorité dans les architectures hybrides multicloud, les opportunités pour les cybercriminels ne font que croître. De nombreuses entreprises utilisent des scanners de vulnérabilité pour obtenir des mises à jour en temps réel sur les ports vulnérables, mais ces scanners ne fournissent que des informations, pas des correctifs.
Dans cet article de blog, découvrez comment associer les données de votre scanner de vulnérabilités à la puissance d'Illumio Carte des vulnérabilités pour sécuriser immédiatement les vulnérabilités et réduire votre exposition aux risques.
La complexité du réseau rend difficile la protection contre les menaces de type « jour zéro »
Aujourd'hui, les données se trouvent partout. Les données peuvent se déplacer de manière dynamique au sein et entre les clouds, vers et depuis les centres de données distribués, et vers et depuis des terminaux qui peuvent se connecter à des services cloud depuis n'importe où sur la planète, en dépendant des données hébergées sur des plateformes SaaS.
Bien que cette architecture dynamique moderne soit pratique, le compromis est qu'il existe une explosion de points d'entrée possibles dans votre environnement. Tous ces clouds, centres de données et terminaux s'appuient sur une gamme dynamique de dépendances externes, chacune constituant une porte ouverte potentielle susceptible d'être violée.
Les cybercriminels modernes peuvent facilement scanner tous ces points d'entrée à la recherche d'une opportunité, et bien qu'ils s'appuient sur les contrôles d'identité des terminaux et les outils de périmètre du cloud tels que les pare-feux virtuels, les points d'application SASE et ZTNA, la plupart des violations via ces outils sont dues à des erreurs de configuration humaines ou à des bogues des fournisseurs.
La plupart des grandes failles de ces dernières années sont dues au maillon le plus faible de toute architecture de sécurité : la personne située entre le clavier et la chaise. Les entreprises doivent partir du principe qu'une violation finira par se produire et elles ont besoin d'un moyen de quantifier clairement le risque que présentent les charges de travail face à l'attaque constante de logiciels malveillants de type « jour zéro ».
Les scanners de vulnérabilités ne suffisent pas à eux seuls à vous protéger contre les menaces récemment détectées
Les scanners de vulnérabilité fournissent des mises à jour en temps réel sur les ports vulnérables utilisés par les derniers malwares pour propager des charges utiles malveillantes. Des exemples courants de tels scanners sont Qualys, Rapid7, et Tenable. Les informations de vulnérabilité reçues de ces scanners peuvent aider à identifier les charges de travail de votre environnement susceptibles d'utiliser ces ports à risque et qui devront être corrigées pour se protéger contre les vulnérabilités signalées.
Ces scanners fournissent un système commun de notation des vulnérabilités (CVSS) pour quantifier les risques en classant les expositions vulnérables par rapport à une échelle numérique. Les scores de vulnérabilité des scanners sont unidimensionnels, appliqués à un port ou à une plage de ports utilisés par un système d'exploitation donné. Il appartient donc au centre des opérations de sécurité de déterminer quelles charges de travail et quelles dépendances devront être corrigées et quelles sont les périodes d'indisponibilité que les charges de travail critiques peuvent tolérer pour les mettre à niveau en temps opportun.
Cela se traduit souvent par des informations en temps réel sur les expositions, mais avec des retards pour y remédier. Pourquoi ? Comme ces scanners n'ont aucune visibilité sur votre environnement, ils ne tiennent pas compte de la connectivité d'une charge de travail ou des dépendances entre les autres charges de travail de votre environnement et ne peuvent pas offrir une protection immédiate contre les menaces récemment détectées.
Associez des scanners de vulnérabilité à Illumio pour contenir rapidement les failles
Pour rendre les scanners de vulnérabilités plus efficaces, vous avez besoin d'un moyen d'automatiser la sécurité en fonction des résultats des scanners. C'est là que les cartes de vulnérabilité d'Illumio entrent en jeu. Combinez les données de votre scanner de vulnérabilités avec la carte en temps réel d'Illumio pour mesurer et réduire l'exposition aux risques.
Cette fonctionnalité combine les scores CVSS reçus de ces scanners avec les informations qu'Illumio Core découvre en permanence dans votre environnement pour calculer un score d'exposition aux vulnérabilités (VES). Aussi parfois appelé score V-E, il s'agit d'un chiffre sur une échelle de risque : des scores plus élevés signifient un risque plus élevé tandis que des scores plus faibles signifient un risque plus faible. Ce score V-E calcule le nombre de charges de travail de votre environnement capables d'utiliser ces ports vulnérables entre des applications hébergées et recommandera ensuite une politique modifiée pour empêcher l'utilisation de ces ports entre les charges de travail.
Cela signifie que si vous n'êtes pas en mesure de corriger actuellement un hôte vulnérable, Illumio corrige essentiellement le réseau pour vous. Comme il faut partir du principe qu'un hôte non corrigé de votre environnement sera inévitablement compromis par un logiciel malveillant utilisant ce port vulnérable, Illumio empêchera cet hôte non patché de propager des logiciels malveillants latéralement à d'autres hôtes.
Illumio isole les attaques et les empêche de se propager sur votre réseau sans avoir à comprendre la configuration ou les intentions de l'attaque. Bien qu'il soit toujours important de corriger les charges de travail vulnérables, Illumio assure une sécurité immédiate, tandis que vos étapes de correction peuvent suivre un flux de travail plus lent.
Comment les cartes de vulnérabilité quantifient le risque de sécurité en 3 étapes
Noyau Illumio permet aux équipes de sécurité de quantifier les risques, d'élaborer une politique de segmentation, puis de modéliser et de tester la politique avant de la déployer. En étant en mesure de tester et de surveiller le comportement attendu du réseau une fois la politique déployée, les équipes peuvent s'assurer que les nouveaux déploiements n'interrompent pas les flux de travail des applications.
Si Illumio Core détecte du trafic qui tente de se connecter à un port présentant une vulnérabilité connue, il envoie une alerte de trafic informant le SOC, y compris le contexte de la vulnérabilité et de la gravité, et bloque immédiatement l'établissement de ce trafic.
Ce processus suit les trois étapes suivantes :
1. La visibilité de bout en bout met en évidence les risques
La carte des vulnérabilités visualise toutes les charges de travail et les flux réseau vulnérables aux risques émanant des scanners, en calculant un score V-E pour chaque groupe d'applications et toutes les charges de travail contenues dans les groupes d'applications en utilisant des couleurs correspondant aux niveaux de risque de ports spécifiques.
2. Recommandations politiques renforcées
En réponse aux nouvelles menaces, Illumio Core recommandera ensuite une politique modifiée qui réduira le risque de charge de travail lié à la vulnérabilité signalée. Cela inclut plusieurs niveaux de segmentation croissante qui réduiront l'exposition des charges de travail mappées à différentes étiquettes afin de stopper et de contenir toute violation potentielle.
3. Empêchez la propagation de nouvelles menaces sur le réseau
La carte affichera les mêmes couleurs que celles utilisées pour identifier les risques d'exposition, et les équipes de sécurité pourront choisir d'inclure ou d'exclure la politique recommandée. Si le recommandé segmentation une politique est mise en place, la carte indiquera les scores d'exposition les plus faibles.
La capacité à quantifier clairement les risques avant et après le déploiement d'une politique de charge de travail modifiée est un outil précieux pour démontrer les risques et les mesures correctives aux opérations du SOC, aux propriétaires d'applications et aux auditeurs de sécurité. Les propriétaires d'applications n'ont souvent pas une vision complète du comportement de leurs applications dans toutes les dépendances. Illumio veille à empêcher la propagation des menaces, même non détectées, en bloquant leur capacité à usurper les ports ouverts.
L'approche sans agent d'Illumio Core en matière de sécurité des charges de travail
Les outils de sécurité réseau déployés au niveau du cloud et du périmètre des centres de données ne seront jamais efficaces à 100 %. C'est pourquoi il est important que les organisations mettent en œuvre une technologie Zero Trust de confinement des brèches telle que la plateforme de segmentation Illumio Zero Trust.
Avec Illumio, vous pouvez sécuriser toutes les sessions entre toutes les charges de travail à n'importe quelle échelle. Illumio Vulnerability Maps étend les scores de vulnérabilité sur l'ensemble de votre infrastructure hybride et multicloud, et pas uniquement sur les hôtes individuels, afin d'empêcher les malwares de se propager sur le réseau en utilisant des ports provenant de charges de travail non corrigées.
Pour en savoir plus sur Illumio ZTS, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.
