Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Produtos Illumio

Características pouco conhecidas do Illumio Core: coleta de dados aprimorada

Christer Swartz
,
Diretor de marketing de soluções
August 5, 2024
23 leitura mínima

Nesta série contínua, os especialistas em segurança da Illumio destacam os recursos menos conhecidos (mas não menos poderosos) do Núcleo Illumio.

Usamos ferramentas de detecção há décadas. Mas o número de violações e ataques de ransomware continua aumentando.

Os ataques cibernéticos estão mudando e avançando mais rápido do que nunca. É impossível detectar e evitar todas as violações, mas podemos impedir que elas se espalhem quando elas acontecem.

A Segmentação Zero Trust da Illumio (ZTS) impede a propagação de violações e ataques de ransomware antes que eles cheguem aos seus ativos e dados essenciais. Em vez de tentar impedir ou detectar o próximo ataque, o Illumio ZTS tranca a porta em seus segmentos de rede.

Mas e quanto ao pequeno número de portas que precisam permanecer abertas para que você possa administrar seus negócios? Recurso aprimorado de coleta de dados do Illumio ajuda você a monitorar seus volumes de tráfego para encontrar anomalias e agir, se necessário. Continue lendo para saber mais sobre como esse recurso funciona e o valor que ele pode agregar à sua organização.

A detecção de ameaças não é suficiente para proteger contra violações

Os atacantes estão implantando malware e ransomware mais rápido do que as ferramentas de detecção e resposta conseguem acompanhar. Ameaças de dia zero, como a Ataques MOVEit do grupo de ransomware Clop, pode rapidamente ignorar as ferramentas de detecção e se espalhar imediatamente pela sua rede.

Se você não tem como impedir que violações não detectadas se espalhem, os invasores podem acessar seus recursos mais importantes em minutos.

Depois que a primeira carga de trabalho for comprometida, os invasores procurarão imediatamente sessões abertas para que elas possam se espalhar para as cargas de trabalho vizinhas. As portas normalmente abertas e de escuta entre cargas de trabalho incluem RDP, SSH e SMB. Qualquer um deles pode ser facilmente usado pelo malware para entregar sua carga útil às cargas de trabalho vizinhas, espalhando-se pela infraestrutura em velocidade exponencial.

Illumio ZTS impede que todas as violações se espalhem em qualquer escala, mesmo que não tenham sido detectadas pelas soluções de caça a ameaças. Você pode bloquear as portas que os atacantes usam com mais frequência para violar redes, permitindo apenas o acesso a um pequeno conjunto de sistemas de gerenciamento centralizado. Isso significa que qualquer violação bem-sucedida ficará isolada em seu ponto de entrada e não poderá se mover pelo resto da rede.

Em vez de dedicar recursos para primeiro detectar uma ameaça e depois entender sua intenção, o Illumio simplesmente impede que as ameaças usem sessões e portas abertas entre cargas de trabalho para se espalharem. Illumio tranca as portas antes de tentar entender por que alguém está tentando derrubá-las.

Isso garante que um pequeno problema de segurança não detectado não possa se transformar silenciosamente em um incidente catastrófico.

Coleta de dados aprimorada: protegendo portas que devem permanecer abertas para os negócios

Se você bloquear 100% de todas as portas em todos os lugares, estará 100% seguro contra a propagação de malware pela sua rede. Mas isso também significa que você é 100% incapaz de fazer negócios. Por exemplo, as cargas de trabalho de processamento ainda precisarão de acesso às cargas de trabalho do banco de dados.

Como o Illumio monitora o pequeno número de portas que precisam permanecer abertas para garantir que não estejam sendo mal utilizadas?

Usando o Recurso aprimorado de coleta de dados, os agentes do Illumio virtual Enforcement Node (VEN) aplicam os recursos de firewall incorporados à maioria dos sistemas operacionais modernos. Como esses VENs são implantados diretamente em uma carga de trabalho, eles também podem coletar informações sobre:

  • Processos atualmente em execução em todos os hosts gerenciados
  • O volume de tráfego usado em portas abertas

Em seguida, o mecanismo de computação de políticas (PCE) da Illumio exibe e registra o número de bytes vistos em sessões abertas específicas de cargas de trabalho gerenciadas.

Por exemplo, se a porta 53 for deixada aberta em uma carga de trabalho para permitir o acesso ao DNS, o VEN poderá coletar métricas sobre o volume de tráfego visto nessa porta. Se a contagem de bytes mostrar pequenos volumes de tráfego, conforme esperado, isso ajudará a garantir que esse seja um tráfego DNS válido. Mas se a contagem mostrar 10 gigabytes de tráfego passando pela mesma porta, isso é um sinal vermelho de que não é um tráfego DNS válido. Isso pode indicar que há uma ameaça ativa de tunelamento de DNS.

Você pode visualizar os volumes de tráfego encontrados pelo recurso de coleta de dados aprimorada e agir automaticamente. Uma solução de gerenciamento de eventos e informações de segurança (SIEM), como Splunk, pode colher troncos da Illumio. Se detectar volumes de tráfego anômalos em portas abertas, poderá usar sua orquestração, automação e resposta de segurança Plataforma (SOAR) para enviar automaticamente instruções orientadas por API ao Illumio para bloquear essas portas. Responder às anomalias de tráfego requer um resposta automatizada para evitar o atraso causado pela necessidade humana de tomar uma decisão.

Como funciona a coleta aprimorada de dados

Você pode usar a coleta de dados aprimorada de duas maneiras:

  • Perfis de emparelhamento: Os VENs começarão a contar bytes para sessões em cargas de trabalho à medida que forem emparelhadas inicialmente.
  • Cargas de trabalho: Os bytes começarão a ser contados nas cargas de trabalho que já estão implantadas.
Enhanced Data Collection feature existing workloads
Enhanced Data Collection feature Pairing Profiles
Você pode registrar volumes de tráfego à medida que as cargas de trabalho são emparelhadas (na parte superior) ou com as cargas de trabalho existentes (na parte inferior)

O recurso coleta e registra volumes de tráfego para todo o tráfego em uma sessão forçada. Você pode então visualizar esses dados na opção Tráfego da interface gráfica de usuário (GUI) PCE da Illumio.

Illumio PCE GUI's Traffic option
Visualize os volumes de tráfego na opção Tráfego da GUI do PCE.

A coleta aprimorada de dados pode detectar comportamentos de ameaças sem precisar interceptar nenhum tráfego. O Illumio detecta volumes de tráfego inteiramente do plano de gerenciamento, monitorando os processos de carga de trabalho gerenciada e o comportamento esperado dessas cargas de trabalho. Isso evita o risco de criar um gargalo no plano de dados.

Prepare-se para a próxima violação ou ataque de ransomware com o Illumio

As soluções de caça a ameaças ainda são uma parte importante de um Arquitetura Zero Trust. Mas para construir sua base Zero Trust, é crucial ter a segmentação Zero Trust.

O Zero Trust não deve tornar sua rede mais complexa; deve simplificá-la. O Illumio ZTS oferece uma solução simples para um desafio complexo de segurança.

Para saber mais sobre como usar a coleta de dados aprimorada, entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Características pouco conhecidas do Illumio ASP — Filtros de transmissão e multicast
Produtos Illumio

Características pouco conhecidas do Illumio ASP — Filtros de transmissão e multicast

Nesta edição da série Little Known Features of Illumio ASP, destacamos os filtros de transmissão e multicast.

Leia mais
Como evitar que a rotulagem se torne um bloqueador da segmentação
Produtos Illumio

Como evitar que a rotulagem se torne um bloqueador da segmentação

O Zero Trust mudou a forma como as organizações pensam sobre segurança. Historicamente, tentávamos identificar tudo o que era “ruim” e bloqueá-lo. Mas uma abordagem de Zero Trust consiste em identificar o que é “bom” verificar a fonte de comunicação e permiti-la.

Leia mais
Illumio + Netskope: crie uma arquitetura completa de segurança Zero Trust
Produtos Illumio

Illumio + Netskope: crie uma arquitetura completa de segurança Zero Trust

Conheça os fundamentos da confiança zero, como o Illumio ZTS e o Netskope ZTNA se complementam e como a integração funciona.

Leia mais
Características pouco conhecidas do Illumio Core: integrações de plataformas SOAR
Produtos Illumio

Características pouco conhecidas do Illumio Core: integrações de plataformas SOAR

Saiba como as integrações do Illumio Core com plataformas SOAR de terceiros garantem que malwares novos e desconhecidos não se espalhem pela sua rede.

Leia mais
Características pouco conhecidas do Illumio Core: tráfego e mapa
Produtos Illumio

Características pouco conhecidas do Illumio Core: tráfego e mapa

Saiba como as ferramentas de tráfego e mapas da Illumio ajudam você a entender de forma rápida e fácil o que está acontecendo em sua rede.

Leia mais
Recursos pouco conhecidos do Illumio Core: serviços virtuais
Produtos Illumio

Recursos pouco conhecidos do Illumio Core: serviços virtuais

Saiba como aproveitar os serviços virtuais do Illumio Core para proteger seus hosts e seus aplicativos e processos com e sem um agente.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais