Illumio Core의 잘 알려지지 않은 기능: 향상된 데이터 수집

‍현재 진행 중인 시리즈에서 Illumio 보안 전문가들은 덜 알려져 있지만 그다지 강력하지는 않은 기능을 강조합니다. 일루미오 코어.

우리는 수십 년 동안 탐지 도구를 사용해 왔습니다.하지만 보안 침해와 랜섬웨어 공격의 수는 계속 증가하고 있습니다.

사이버 공격은 그 어느 때보다 빠르게 변화하고 움직이고 있습니다.모든 보안 침해를 탐지하고 방지하는 것은 불가능하지만, 보안 침해가 발생하면 확산을 막을 수 있습니다.

Illumio 제로 트러스트 세그멘테이션 (ZTS) 은 보안 침해 및 랜섬웨어 공격이 중요 자산과 데이터에 도달하기 전에 확산을 차단합니다.Illumio ZTS는 다음 공격을 방지하거나 탐지하는 대신 네트워크 세그먼트를 차단합니다.

하지만 비즈니스를 운영하기 위해 개방된 상태를 유지해야 하는 소수의 포트는 어떨까요? Illumio의 향상된 데이터 수집 기능 교통량을 모니터링하여 이상 징후를 찾아내고 필요한 경우 조치를 취할 수 있도록 도와줍니다.이 기능의 작동 원리와 조직에 제공할 수 있는 가치에 대해 자세히 알아보려면 계속 읽어보세요.

위협 탐지만으로는 보안 침해를 방지할 수 없습니다

공격자들은 탐지 및 대응 도구가 따라올 수 있는 속도보다 빠르게 멀웨어와 랜섬웨어를 배포하고 있습니다.다음과 같은 제로데이 위협 무브IT 공격 Clop 랜섬웨어 그룹에 의해 탐지 도구를 빠르게 건너뛰고 네트워크를 통해 즉시 확산될 수 있습니다.

탐지되지 않은 보안 침해가 확산되는 것을 막을 방법이 없다면 공격자는 몇 분 만에 가장 중요한 리소스에 액세스할 수 있습니다.

첫 번째 워크로드가 손상되면 공격자는 즉시 열려 있는 세션을 찾아 인접 워크로드로 확산시킬 수 있습니다.워크로드 간에 일반적으로 개방되고 수신되는 포트에는 RDP, SSH, SMB가 포함됩니다.멀웨어는 이들 중 어떤 것이든 쉽게 사용하여 페이로드를 주변 워크로드에 전달하여 기하급수적인 속도로 인프라 전체에 확산될 수 있습니다.

일루미오 ZTS 위협 추적 솔루션에 의해 탐지되지 않았더라도 모든 보안 침해가 모든 규모로 확산되는 것을 방지합니다.공격자가 네트워크 침해에 가장 자주 사용하는 포트를 차단하여 소수의 중앙 집중식 관리 시스템에만 액세스하도록 허용할 수 있습니다.즉, 보안 침해가 성공하더라도 진입점까지 격리되어 네트워크의 나머지 부분을 통과할 수 없게 됩니다.

Illumio는 위협을 먼저 탐지하고 그 의도를 이해하는 데 리소스를 투자하는 대신 워크로드 간 세션과 오픈 포트를 사용하여 위협이 확산되는 것을 방지합니다.Illumio는 누군가가 왜 그 문을 무너뜨리려 하는지 알아보기도 전에 문을 잠급니다.

이를 통해 감지되지 않은 작은 보안 문제가 조용히 심각한 사고로 확대되는 것을 방지할 수 있습니다.

향상된 데이터 수집: 비즈니스를 위해 반드시 열려 있어야 하는 포트 보안

모든 포트의 100% 를 차단하면 네트워크를 통해 확산되는 멀웨어로부터 100% 안전합니다.하지만 이는 비즈니스를 100% 할 수 없다는 의미이기도 합니다.예를 들어, 처리 워크로드에는 여전히 데이터베이스 워크로드에 대한 액세스가 필요합니다.

Illumio는 오용되지 않도록 열려 있어야 하는 소수의 포트를 어떻게 모니터링할까요?

를 사용하여 향상된 데이터 수집 기능, Illumio 가상 적용 노드 (VEN) 에이전트는 대부분의 최신 운영 체제에 내장된 방화벽 기능을 적용합니다.이러한 VEN은 워크로드에 직접 배포되기 때문에 다음에 대한 정보도 수집할 수 있습니다.

• 모든 관리 호스트에서 현재 실행 중인 프로세스

• 열린 포트에서 사용되는 트래픽의 양

그러면 Illumio 정책 컴퓨팅 엔진 (PCE) 이 관리형 워크로드의 특정 공개 세션에서 표시되는 바이트 수를 표시하고 기록합니다.

예를 들어 DNS 액세스를 활성화하기 위해 워크로드에서 포트 53이 열려 있는 경우 VEN은 해당 포트에서 표시되는 트래픽 볼륨에 대한 메트릭을 수집할 수 있습니다.예상대로 바이트 수에 작은 트래픽 볼륨이 표시되면 이것이 유효한 DNS 트래픽인지 확인하는 데 도움이 됩니다.하지만 개수에 10GB의 트래픽이 동일한 포트를 통과하는 것으로 나타난다면 이는 유효한 DNS 트래픽이 아니라는 위험 신호입니다.이는 활성 DNS 터널링 위협이 존재함을 의미할 수 있습니다.

향상된 데이터 수집 기능으로 찾은 교통량을 보고 자동으로 조치를 취할 수 있습니다.다음과 같은 보안 정보 및 이벤트 관리 (SIEM) 솔루션 스플렁크, 일루미오에서 통나무를 수확할 수 있습니다.개방형 포트에서 비정상적인 트래픽 볼륨이 발견되면 보안 오케스트레이션, 자동화 및 대응을 사용할 수 있습니다. (SOAR) 플랫폼 이러한 포트를 차단하도록 Illumio에 API 기반 지침을 자동으로 전송합니다.트래픽 이상에 대응하려면 다음이 필요합니다. 자동 응답 사람이 결정을 내려야 하기 때문에 생기는 지연 시간을 피하기 위해서죠.

향상된 데이터 수집 작동 방식

다음과 같은 두 가지 방법으로 향상된 데이터 수집을 사용할 수 있습니다.

• 페어링 프로필: VEN은 처음에 페어링될 때 워크로드의 세션 바이트를 계산하기 시작합니다.

• 워크로드: 이미 배포된 워크로드에서 바이트 수가 계산되기 시작합니다.

‍

이 기능은 강제 세션 동안 모든 트래픽의 트래픽 볼륨을 수집하고 기록합니다.그러면 Illumio PCE 그래픽 사용자 인터페이스 (GUI) 의 트래픽 옵션에서 이 데이터를 볼 수 있습니다.

향상된 데이터 수집은 트래픽을 가로채지 않고도 위협 행동을 탐지할 수 있습니다.Illumio는 관리되는 워크로드 프로세스와 해당 워크로드의 예상 동작을 모니터링하여 관리 플레인에서 트래픽 양을 완전히 탐지합니다.이렇게 하면 데이터 플레인에서 병목 현상이 발생할 위험을 방지할 수 있습니다.

Illumio로 다음 보안 침해 또는 랜섬웨어 공격에 대비하세요

위협 추적 솔루션은 여전히 중요한 부분입니다. 제로 트러스트 아키텍처.하지만 제로 트러스트 기반을 구축하려면 제로 트러스트 세그멘테이션을 사용하는 것이 중요합니다.

제로 트러스트는 네트워크를 더 복잡하게 만들지 말고 단순화시켜야 합니다.Illumio ZTS는 복잡한 보안 문제에 대한 간단한 솔루션을 제공합니다.

향상된 데이터 수집 사용에 대해 자세히 알아보려면 오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.