일루미오 코어의 잘 알려지지 않은 기능: SOAR 플랫폼 통합

솔루션 마케팅 디렉터

February 5, 2024

23 최소 읽기

이 시리즈에서 Illumio 보안 전문가들은 덜 알려져 있지만 그다지 강력하지는 않은 기능을 강조합니다. 일루미오 코어.

보안 침해 및 랜섬웨어 공격은 기존의 많은 예방 및 탐지 기술이 대응할 수 있는 속도보다 빠르게 진화하고 있습니다.

멀웨어는 사람이 대응할 수 있는 속도보다 훨씬 빠르게 몇 초 만에 확산될 수 있습니다.모든 보안 아키텍처에서 가장 취약한 부분이 키보드와 의자 사이에 있다는 것은 사이버 보안 업계의 사실입니다.자동화된 악성코드 전파에 대한 해결책은 그에 못지않게 자동화된 보안 대응이어야 합니다.

Illumio Core와 타사 SOAR 플랫폼의 통합을 통해 알려지지 않은 새로운 멀웨어를 자동으로 격리하고 억제할 수 있습니다.

보안 침해 억제가 지금 중요한 이유

모든 멀웨어는 한 가지 공통점이 있습니다. 바로 이동을 좋아한다는 것입니다.

첫 번째로 침해된 워크로드가 의도된 대상이 되는 경우는 거의 없습니다.정보를 수집하기 위한 네트워크의 '문 앞' 역할을 합니다.이러한 통찰력을 바탕으로 멀웨어와 해당 제어 시스템은 명령 및 제어 트래픽을 교환합니다.궁극적으로 제어 시스템은 악성코드에게 네트워크를 통해 전파되는 방법을 지시합니다.

나쁜 소식은?이 모든 일이 단 몇 초 만에 일어납니다.

보안 침해와 랜섬웨어 공격은 피할 수 없으며 기존의 예방 및 탐지 도구로는 오늘날의 공격을 막을 수 없습니다.규모, 지역, 업종을 불문한 조직은 예방 및 탐지 도구 외에도 보안 침해 억제 전략의 우선 순위를 정해야 합니다.이를 통해 다음 보안 침해가 운영을 중단하고 민감한 데이터를 노출하며 고객, 이해 관계자 및 직원의 신뢰를 떨어뜨리는 치명적인 사건으로 이어지지 않도록 방지할 수 있습니다.

현대의 사이버 보안은 보안 침해 예방에서 다음 단계로 넘어가는 것으로 정의됩니다. 보안 침해 서바이벌.보안 침해 확산을 막는 것도 보안 침해 발생을 방지하는 것만큼이나 우선순위가 되어야 합니다.‍

Illumio로 보안 침해에 사전에 대비하세요

안타깝게도 어떤 보안 침해 방지 솔루션도 100% 효과적이지는 않습니다. 침해는 일어날 것입니다.불가피한 침해가 발생하면 Illumio는 모든 호스트의 열린 포트를 사전에 비활성화하여 인접 호스트로 확산되는 것을 막습니다.

대부분의 호스트와 해당 워크로드는 서로 연결을 설정할 필요가 없습니다.그보다는 일반적으로 소수의 공통 리소스 집합에 연결하거나 아웃바운드 연결만 하면 됩니다.예를 들어 데이터 센터 또는 클라우드 환경에 배포된 모든 워크로드를 서로 직접 연결해야 하는 경우는 드뭅니다.

불필요하게 포트를 열면 발생할 수 있는 위험을 줄이기 위해 Illumio는 다음 두 가지 방법 중 하나로 워크로드를 적용할 수 있습니다.

선택적 집행: 특정 포트가 차단되고 다른 모든 트래픽은 차단됩니다. 허용.
전체 집행: 특정 포트가 차단되고 다른 모든 트래픽은 차단됩니다. 거부되었습니다.

선택적 적용은 RDP 및 SSH와 같이 워크로드 간에 허용하지 않으려는 트래픽을 알고 있을 때 사용할 수 있습니다.하지만 맬웨어는 끊임없이 진화하고 있으며 사용할 새 포트를 찾고 있습니다.따라서 멀웨어 확산을 차단하는 데 훨씬 더 효과적이므로 전체 단속을 사용하는 것이 가장 좋습니다.전체 적용 시 Illumio는 규모에 관계없이 모든 워크로드에서 모든 포트를 비활성화한 다음 필요에 따라 예외적으로 열린 포트를 허용합니다.

결과는 아래의 전체 시행의 예와 같습니다.왼쪽 이미지에서 보면 Illumio가 기본적으로 열린 포트를 비활성화했기 때문에 워크로드 통신이 차단되었습니다 (빨간색 화살표).오른쪽 이미지에서 Illumio는 특정 포트를 통한 특정 애플리케이션 그룹 간 트래픽만 허용하는 예외 (녹색 화살표) 를 활성화했습니다.

Illumio preemptively closes all open ports, then enables required exceptions.

Illumio를 완전히 적용하면 소수의 포트만 열려 있기 때문에 감염된 호스트는 멀웨어의 이동을 허용하지 않습니다. 이는 멀웨어가 얼마나 새롭거나 복잡한지에 상관없이 사실입니다.이로 인해 공격의 폭발 범위가 크게 줄어들어 치명적일 수 있는 보안 사고가 운영에 영향을 미치지 않거나 막대한 치료 비용이 들지 않는 작은 보안 사고로 바뀝니다.

Illumio의 SOAR 통합을 통한 정책 변경 자동화

사이버 보안의 한 가지 사실이 사실이라면 상황은 끊임없이 변한다는 것입니다.오늘날의 위협 환경과 오늘날 네트워크의 복잡성으로 인해 보안 조치는 고정된 상태를 유지할 수 없습니다.조직에는 실시간으로 집행 정책을 업데이트할 수 있는 방법이 있어야 합니다.

Illumio는 SOAR (보안 오케스트레이션, 자동화 및 대응) 플랫폼과의 통합을 통해 보안 정책을 완전히 자동화하고 실시간으로 변경할 수 있습니다.

SOAR 플랫폼은 SIEM (보안 정보 및 이벤트 관리) 플랫폼과 다르다는 점에 유의해야 합니다.Illumio는 다음과 같은 SIEM 플랫폼으로 로그를 전달할 수 있습니다. 스플렁크 Illumio에서 관리하는 워크로드에 기록된 이벤트를 분석하여 위험 신호를 찾습니다.하지만 발견되면 SIEM은 위험에 처한 포트를 닫으라는 명령을 Illumio에 다시 보낼 방법이 없습니다.이 기능은 SOAR 플랫폼을 통해 사용할 수 있습니다.

Illumio는 다음과 같은 세 가지 타사 SOAR 시스템과 통합됩니다. 스플렁크 SOAR, IBM Q레이더 SOAR, 팔로 알토 네트웍스 코텍스 솔라.Illumio+ SOAR 통합은 다음 단계를 통해 빠르고 심층적인 방어를 제공합니다.

SOAR 플랫폼은 위협 환경을 모니터링하여 특정 포트를 사용하여 확산되는 이전에는 알려지지 않은 새로운 제로 데이 멀웨어를 찾습니다.
SOAR 플랫폼에서 새로운 맬웨어가 새 포트를 사용하여 확산되는 것을 발견하면 각 공급업체의 마켓플레이스에 있는 플러그인을 통해 Illumio의 PCE 엔진에 API 호출을 즉시 자동으로 보냅니다.이를 통해 Illumio는 모든 관리형 워크로드의 포트를 닫아야 합니다.
Illumio는 제로 데이 멀웨어의 표적 포트를 자동으로 닫습니다.이렇게 하면 맬웨어가 아직 도착하지 않았더라도 워크로드를 사전에 멀웨어로부터 보호할 수 있습니다.이는 사람이 개입할 필요 없이 즉시 활성화됩니다.

Through its integration with leading SOAR platforms, Illumio can proactively secure vulnerable ports targeted by zero-day malware with an automated workflow. — Illumio는 주요 SOAR 플랫폼과의 통합을 통해 자동화된 워크플로우를 통해 제로 데이 멀웨어의 표적이 되는 취약한 포트를 사전에 보호할 수 있습니다.

‍Illumio 제로 트러스트 세그멘테이션: 사이버 공격에 더 빠르게 대응

에 더하여 완벽한 가시성 과 세분화된 마이크로세그멘테이션, 일루미오 제로 트러스트 세그멘테이션 (ZTS) 플랫폼 끊임없이 진화하는 사이버 보안 위협에 대해 안정적이고 확장 가능하며 완전 자동화된 대응을 제공합니다.

맬웨어는 확산되기를 원합니다. Illumio는 SOAR 플랫폼과 함께 자동으로 포트를 닫아 완전히 자동화된 워크플로우를 통해 멀웨어가 확산되는 것을 막을 수 있습니다.다음 보안 침해 또는 랜섬웨어 공격이 항상 코앞에 닥쳐오는 상황에서 Illumio는 보안 침해가 네트워크의 나머지 부분으로 확산되거나 비즈니스에 영향을 미치는 위기로 확대되지 않도록 조직을 지원합니다.

일루미오 ZTS에 대해 자세히 알아보려면 오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.