Características pouco conhecidas do Illumio Core: integrações de plataformas SOAR

Diretor de marketing de soluções

February 5, 2024

23 leitura mínima

Nesta série, os especialistas em segurança da Illumio destacam os recursos menos conhecidos (mas não menos poderosos) do Núcleo Illumio.

As violações e os ataques de ransomware estão evoluindo rapidamente — mais rápido do que muitas tecnologias tradicionais de prevenção e detecção podem reagir.

O malware pode se espalhar em segundos, muito mais rápido do que qualquer ser humano pode responder. É um truísmo do setor de segurança cibernética que o elo mais fraco em qualquer arquitetura de segurança está entre o teclado e a cadeira. A solução para a propagação automatizada de malware precisa ser uma resposta de segurança igualmente automatizada.

Por meio da integração do Illumio Core com plataformas SOAR de terceiros, você pode ter certeza de que malwares novos e desconhecidos serão automaticamente isolados e contidos.

Por que a contenção de violações é importante agora

Todos os malwares têm uma coisa em comum: eles gostam de se mover.

A primeira carga de trabalho violada raramente é o alvo pretendido. Ele é usado como um “pé na porta” da sua rede para coletar informações. Com essa percepção, o malware e seu sistema de controle trocam tráfego de comando e controle. Por fim, o sistema de controle instrui o malware sobre como se propagar pela rede.

A má notícia? Tudo isso acontece em questão de segundos.

Violações e ataques de ransomware são inevitáveis, e suas ferramentas tradicionais de prevenção e detecção não são suficientes para impedir os ataques atuais. Organizações de todos os tamanhos, regiões e setores devem priorizar estratégias de contenção de violações, além de suas ferramentas de prevenção e detecção. Isso garante que a próxima violação não se torne um evento catastrófico que interrompa as operações, exponha dados confidenciais e diminua a confiança de seus clientes, partes interessadas e funcionários.

A cibersegurança moderna é definida pela transição da prevenção de violações para sobrevivência em violações. Impedir a propagação de violações deve ser uma prioridade tão forte quanto impedir que uma violação aconteça. ‍

Prepare-se proativamente para violações com a Illumio

Infelizmente, nenhuma solução de prevenção de violações jamais será 100% eficaz; uma violação acontecerá. Quando essa violação inevitável ocorre, a Illumio impede que ela se espalhe para os hosts vizinhos ao desativar proativamente as portas abertas em todos os hosts.

A maioria dos hosts e suas cargas de trabalho não precisam estabelecer conexões entre si. Em vez disso, eles geralmente só precisam se conectar a um pequeno conjunto de recursos comuns ou fazer conexões externas. Por exemplo, é raro que todas as cargas de trabalho implantadas em um data center ou ambiente de nuvem precisem se conectar diretamente umas às outras.

Para reduzir o risco que portas abertas desnecessariamente podem causar, a Illumio pode aplicar cargas de trabalho de duas maneiras:

Aplicação seletiva: Portas específicas estão bloqueadas e todos os outros tráfegos são autorizado.
Aplicação total: Portas específicas estão bloqueadas e todos os outros tráfegos são negado.

A fiscalização seletiva pode ser usada quando você sabe qual tráfego não deseja permitir entre cargas de trabalho, como RDP e SSH. No entanto, o malware está em constante evolução e encontrando novas portas para usar. Por isso, é melhor usar a fiscalização total, pois é muito mais eficaz no bloqueio da propagação de malware. Em plena aplicação, o Illumio desativará todas as portas em todas as cargas de trabalho em qualquer escala e, em seguida, permitirá portas abertas por exceção, conforme necessário.

O resultado será semelhante ao exemplo de aplicação completa abaixo. Na imagem do lado esquerdo, as cargas de trabalho são impedidas de se comunicar (setas vermelhas) porque as portas abertas por padrão foram desativadas pelo Illumio. Na imagem do lado direito, o Illumio habilitou exceções (setas verdes) para permitir apenas o tráfego entre grupos de aplicativos específicos em portas específicas:

Illumio preemptively closes all open ports, then enables required exceptions.

De acordo com o Illumio, os hosts infectados não permitirão que o malware viaje muito longe porque apenas algumas portas estão abertas, o que é verdade independentemente de quão novo ou complexo seja o malware. Isso faz com que o raio de explosão de um ataque diminua significativamente, transformando o que poderia ter sido uma violação catastrófica em um pequeno incidente de segurança que não afeta as operações nem exige grandes custos de remediação.

Automatize as mudanças de políticas com as integrações SOAR da Illumio

Se uma coisa é verdadeira na cibersegurança, é que as coisas mudam — constantemente. O cenário atual de ameaças e a complexidade das redes atuais significam que as medidas de segurança não podem permanecer estáticas. As organizações devem ter uma forma de atualizar as políticas de fiscalização em tempo real.

A Illumio permite mudanças totalmente automatizadas e em tempo real em suas políticas de segurança por meio de integrações com plataformas SOAR (Orquestração, Automação e Resposta de Segurança).

É importante observar que as plataformas SOAR são diferentes das plataformas SIEM (Security Information and Event Management). O Illumio pode encaminhar registros para uma plataforma SIEM, como Splunk para analisar eventos registrados em cargas de trabalho gerenciadas pela Illumio, procurando sinais de alerta. Mas se encontrar algum, o SIEM não tem como enviar comandos de volta ao Illumio para fechar portas em risco. Esse recurso é ativado por meio de uma plataforma SOAR.

O Illumio se integra a três sistemas SOAR de terceiros: Splunk SOAR, IBM QRadar SOARe Palo Alto Networks Córtex SOAR. As integrações Illumio + SOAR oferecem defesa rápida e aprofundada por meio dessas etapas:

As plataformas SOAR monitoram o cenário de ameaças, procurando por novos malwares de dia zero, até então desconhecidos, que estão usando portas específicas para se espalhar.
Se a plataforma SOAR perceber que um novo malware está usando uma nova porta para se espalhar, ela enviará imediatamente e automaticamente chamadas de API para o mecanismo PCE da Illumio por meio de um plug-in no Marketplace de cada fornecedor. Isso faz com que a Illumio feche as portas em todas as cargas de trabalho gerenciadas.
O Illumio fechará automaticamente as portas de destino do malware de dia zero. Isso protegerá proativamente as cargas de trabalho contra o malware, mesmo que ele ainda não tenha chegado. Isso é ativado imediatamente, sem precisar depender da intervenção humana.

Through its integration with leading SOAR platforms, Illumio can proactively secure vulnerable ports targeted by zero-day malware with an automated workflow. — Por meio de sua integração com as principais plataformas SOAR, a Illumio pode proteger proativamente portas vulneráveis alvo de malware de dia zero com um fluxo de trabalho automatizado.

‍Segmentação Illumio Zero Trust: responda aos ataques cibernéticos com mais rapidez

Além de visibilidade completa e microsegmentação granular, a Plataforma Illumio Zero Trust Segmentation (ZTS) fornece uma resposta confiável, escalável e totalmente automatizada às ameaças de cibersegurança em constante evolução.

O malware quer se espalhar — e o Illumio, em conjunto com as plataformas SOAR, pode fechar portas automaticamente, impedindo que o malware se espalhe por meio de um fluxo de trabalho totalmente automatizado. Com a próxima violação ou ataque de ransomware sempre chegando, a Illumio ajuda sua organização a garantir que as violações não se espalhem pelo resto da rede nem se transformem em uma crise que afete os negócios.

Para saber mais sobre o Illumio ZTS, entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Core