Mapeando o Illumio para o Top 20 da CEI
Nas últimas semanas, observamos um aumento nas consultas de empresas que querem entender como a Illumio as ajuda a ativar sua iniciativa Center for Internet Security (CIS) Security Controls. As 20 principais diretrizes de controles do CIS são amplamente adotadas e existem há mais de 10 anos, com as mais recentes versão (7.1) lançada em abril de 2019, então ficamos intrigados com essa tendência. Conversamos com essas empresas sobre suas motivações e interesses na Illumio e aprendemos muito.
A maioria dessas organizações usa as diretrizes de melhores práticas do CIS há algum tempo, mas a rápida transição para modelos operacionais de trabalho remoto combinada com relatórios aumentos nos ataques cibernéticos estão forçando-os a reavaliar seus controles e ferramentas. Um Pesquisa de CSO de abril de 2020 descobriram que 26% dos entrevistados viram um aumento no volume, gravidade e/ou escopo dos ataques cibernéticos desde meados de março. Algumas dessas empresas estão continuando sua transição para nuvens públicas e aumentando a presença de virtualização em seus data centers. Todos eles querem entender melhor as lacunas em seus controles de segurança e tecnologias facilitadoras.
Com isso em mente, aqui está uma visão geral de alto nível sobre como o Illumio oferece suporte aos 20 principais controles do CIS.
Visão geral dos 20 principais controles críticos de segurança do CIS
Vamos começar com uma introdução rápida sobre o Os 20 principais controles críticos de segurança da CEI. Os controles foram inicialmente criados pelas equipes vermelha e azul da NSA, pelos laboratórios de energia nuclear do Departamento de Energia dos EUA, pelas organizações policiais e por algumas das principais organizações forenses e de resposta a incidentes do país.
Os controles são derivados dos mais comuns padrões de ataque destacado nos principais relatórios de ameaças e examinado por uma comunidade muito ampla de profissionais do governo e do setor. Eles refletem o conhecimento combinado de especialistas forenses e de resposta a incidentes comerciais e governamentais.
Implementar e operacionalizar os 20 principais controles de segurança do CIS não é um exercício “único”. A tecnologia, o cenário de ameaças e as técnicas de ataque estão em constante evolução. Os controles são atualizados, validados e refinados a cada ano. Eles não pretendem substituir um programa de conformidade e, na verdade, são mapeados para estruturas como NIST CSF e padrões de conformidade como PCI-DSS e HIPAA. Muitos usam os controles do CIS como base para as melhores práticas de segurança da informação, que, em seguida, ampliam para tratar casos extremos e atender a requisitos altamente específicos e prescritivos.
Mapeando o Illumio com os 20 principais controles do CIS
Veja como os recursos da Illumio ajudam você a atender ou apoiar diretamente um controle CIS.
Controles básicos
1. Inventário e controle de ativos de hardware. O Illumio suporta esse controle, permitindo que você use o tempo real mapa de dependência de aplicativos para identificar e validar os componentes do servidor de hardware que pertencem a um grupo de aplicativos e os servidores e dispositivos autorizados a se conectar aos aplicativos. O Illumio oferece suporte à integração baseada em API com ferramentas de terceiros, como NAC, descoberta de ativos, ServiceNow CMDB e mapeamento de serviços para validar o inventário. O agente Illumio oferece suporte a instâncias de bare-metal, VM, nuvem pública, contêineres e coleta informações de telemetria (endereços IP, portas, processos, protocolos) para criar o mapa de dependência do aplicativo.
2. Inventário e controle de ativos de software. O Illumio suporta esse controle, permitindo que você use o mapa de dependência de aplicativos para identificar os aplicativos e os componentes da carga de trabalho que pertencem ao grupo de aplicativos e aos outros componentes da pilha de software autorizados a se conectar, incluindo conexões multinuvem, de contêiner a servidor e conexões com instâncias de nuvem pública. As informações sobre conectividade e fluxos enriquecem as informações de inventário de software que são gerenciadas pelas ferramentas de gerenciamento de ativos, CMDB e SCM. O modelo de negação padrão da Illumio separa logicamente os aplicativos de alto risco que são necessários para as operações comerciais. A visibilidade sem agente — para cenários em que os agentes não são suportados, como AWS RDS, Azure Managed SQL, fluxos do GCP e arquivadores de armazenamento — é habilitada usando o recurso Flowlink.
3. Gerenciamento contínuo de vulnerabilidades. O Illumio suporta esse controle integrando-se a scanners de vulnerabilidade e ingerindo informações sobre vulnerabilidades. Ele usa essas informações para exibir visualmente malwarepossíveis vias de ataque lateral. O Pontuação de exposição à vulnerabilidade oferece um cálculo de risco centrado nos negócios. Você pode usar essas informações para aprimorar sua capacidade de priorizar sua estratégia de patch e aplicar a segmentação em nível de processo em instâncias em que a aplicação de patches não é operacionalmente viável.
4. Uso controlado de privilégios administrativos. A Illumio suporta esse controle por meio da integração com as principais soluções de MFA. A Illumio pode monitorar e aplicar políticas para garantir que as estações de trabalho dedicadas sejam isoladas e que o menor privilégio seja aplicado. Em Ambientes VDI, as conexões com aplicativos de carga de trabalho são controladas com base na associação do usuário ao Grupo Microsoft.
5. Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores. O Illumio suporta ferramentas de SCM fornecendo visibilidade de todo o tráfego e identificando rapidamente portas/protocolos usados por cargas de trabalho quais proprietários de aplicativos não espere, para que eles possam remediar rapidamente.
6. Manutenção, monitoramento e análise de registros de auditoria.Se um cliente estiver usando o Illumio para segmentar suas conexões internas de data center e nuvem, usuário a aplicativo e ponto a ponto ponto, o Illumio mantém um registro de todas as conexões e fluxos de tráfego, eventos (tráfego permitido, bloqueado e potencialmente bloqueado) e o histórico de políticas, regras e eventos relacionados. Os operadores autorizados podem pesquisar no banco de dados histórico de tráfego da Illumio para operações, respostas e investigações a incidentes, relatórios e auditorias. O Illumio se integra às principais ferramentas de SIEM, como Splunk, IBM QRadare ArcSight para arquivar, pesquisar e correlacionar grandes conjuntos de dados de registros e eventos para relatórios, investigações e resposta a incidentes.
Controles fundamentais
9. Limitação e controle de portas, protocolos e serviços de rede. O Illumio atende diretamente a esse controle. A Illumio usa informações sobre as conexões do aplicativo — conexões históricas detalhadas sobre conexões e fluxos de tráfego, incluindo portas, processos e protocolos — para recomendar inicialmente as regras de firewall aplicáveis. O Illumio tem um modelo de negação padrão para que conexões fora de conformidade possam ser bloqueadas ou potencialmente bloqueadas.
11. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches. O Illumio atende diretamente a esse controle. A Illumio mantém informações históricas detalhadas e em tempo real sobre os registros de tráfego e eventos para validar que os dispositivos de rede, especificamente os firewalls Leste-Oeste, estão fazendo o que deveriam e não permitindo o tráfego que a política de firewall deveria proibir. Os usuários podem criar um IP negador para bloquear comunicações com endereços IP da Internet conhecidos maliciosos ou não utilizados. Os usuários podem programar conexões para limitar as conexões de carga de trabalho a portas, processos e protocolos específicos. O Illumio Core implementa a prevenção de adulteração de VEN. Você pode implementar a microssegmentação com o Illumio para que as máquinas administrativas de rede possam ser isoladas e ter acesso elevado. Você pode implementar uma segmentação mais refinada sem rearquitetar VLANs e sub-redes sempre que a empresa precisar de mudanças.
12. Defesa de limites. O Illumio atende diretamente a esse controle. A Illumio aplica a segmentação baseada em host para monitorar e controlar conexões e fluxos entre aplicativos e dispositivos com diferentes níveis de confiança. Você pode obter uma segmentação refinada sem uma rearquitetura cara e arriscada de sua infraestrutura de rede.
13. Proteção de dados. A Illumio atende a esse requisito impedindo proativamente que cargas de trabalho e usuários não autorizados se conectem a aplicativos protegidos por meio do modelo de negação padrão e identificando e bloqueando as possíveis vias de ataque lateral de agentes mal-intencionados. O Illumio detecta e bloqueia conexões não autorizadas que podem tentar transferir informações confidenciais e envia alertas para a segurança. Você também pode usar o Illumio para programar e aplicar políticas que controlam o acesso e as conexões com provedores de nuvem e e-mail.
14. Acesso controlado com base na necessidade de saber. O Illumio atende diretamente a esse controle. O Illumio pode ser usado para controlar conexões autorizadas entre cargas de trabalho, aplicativos, VDI usuários e dispositivos. Núcleo Illumio pode ajudar no gerenciamento do acesso a um ambiente gerenciando o acesso à rede a um sistema e, potencialmente, gerenciando o acesso lógico. Endereços IP externos podem ser adicionados especificamente aos conjuntos de regras e aplicados a grupos com base na necessidade dos usuários de acessar esses sistemas (os usuários podem ser máquinas ou operadores individuais). Essas regras podem ser ativadas/desativadas em um nível de política para desativar de forma imediata e eficiente determinados acessos aos sistemas. Em ambientes VDI, Segmentação adaptativa de usuários pode ser utilizado para permitir o acesso a determinados recursos com base na política de grupo do Active Directory.
15. Controle de acesso sem fio. A Illumio suporta esse controle programando e aplicando a segmentação para acesso sem fio em dispositivos e servidores autorizados específicos e restringindo o acesso a outras redes sem fio.
16. Monitoramento e controle de contas. A Illumio suporta esse controle por meio da integração com ferramentas de SSO e governança de acesso de terceiros. Você também pode usar a criptografia sob demanda da Illumio para garantir que todos os nomes de usuário e credenciais de autenticação da conta sejam transmitidos pelas redes usando canais criptografados.
Controles organizacionais
18. Segurança do software de aplicativos. A Illumio suporta esse controle aplicando políticas de microssegmentação para separar os sistemas de produção dos sistemas não produtivos. A Illumio também programa regras de firewall baseadas em host para garantir que os desenvolvedores não tenham acesso não monitorado e irrestrito aos sistemas de produção.
19. Resposta e gerenciamento de incidentes. O Illumio suporta esse controle. Usuários autorizados podem obter relatórios do banco de dados histórico de tráfego, eventos e dados de registro da Illumio para apoiar investigações e fluxos de trabalho de resposta a incidentes.
20. Testes de penetração e exercícios da equipe vermelha. O Illumio suporta esse controle. As organizações podem usar as informações no mapa de dependência de aplicativos, nos conjuntos de regras e nos agrupamentos de aplicativos como base para criar o escopo de seus pen tests.
Para resumir
Os eventos sistêmicos normalmente acionam uma avaliação dos controles de segurança existentes. A Illumio ajuda as empresas a implementar uma abordagem pragmática para avaliar e permitir a implementação dos 20 principais controles do CIS. As empresas podem fazer isso aproveitando os seguintes recursos:
- Mapeamento de dependências de aplicativos em tempo real que ajuda a identificar novas conexões e mudanças nas conexões com sistemas de alto valor decorrentes de mudanças no modelo operacional.
- Mapas de vulnerabilidade que calculam e ilustram visualmente a capacidade de exploração de uma vulnerabilidade. Isso ajuda a priorizar os controles e os esforços de segmentação em torno dos ativos e conexões mais arriscados.
- Segmentação por meio de um modelo de negação padrão que não depende da rearquitetura da arquitetura de rede.
- Integração baseada em API com operações de TI de terceiros, ferramentas de segurança e análise que ajudam você a monitorar continuamente as tendências que introduzem novos riscos à sua empresa. Essas integrações também ajudam você a desenvolver e implementar planos para melhorar a eficácia dos controles existentes.
Os 20 principais controles do CIS oferecem higiene básica de segurança, mas também fornecem a estrutura para priorizar as lacunas e os controles de segurança que terão o maior impacto em sua organização.
Se você quiser saber mais sobre os recursos da Illumio, confira Núcleo Illumio.