Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Produtos Illumio

Características pouco conhecidas do Illumio Core: mapas de vulnerabilidade

Christer Swartz
,
Diretor de marketing de soluções
April 18, 2024
23 leitura mínima

Nesta série contínua, os especialistas em segurança da Illumio destacam os recursos menos conhecidos (mas não menos poderosos) do Núcleo Illumio.

O cenário computacional moderno é um alvo muito tentador para os cibercriminosos, com o potencial de obter lucros significativos com ransomware, roubo financeiro por meio de violações, exfiltração de propriedade intelectual e interrupção da infraestrutura.

Com os controles de segurança tradicionais geralmente ficando para trás como prioridade em arquiteturas híbridas e multinuvem, as oportunidades para os cibercriminosos continuam aumentando. Muitas organizações estão usando scanners de vulnerabilidade para obter atualizações em tempo real sobre portas vulneráveis, mas esses scanners fornecem apenas insights, não correções.

Nesta postagem do blog, saiba como você pode combinar os dados do seu scanner de vulnerabilidades com o poder do Illumio Mapa de vulnerabilidades para proteger imediatamente as vulnerabilidades e reduzir sua exposição ao risco.

A complexidade da rede dificulta a proteção contra ameaças de dia zero

Atualmente, os dados residem em todos os lugares. Os dados podem se mover dinamicamente dentro e entre nuvens, de e para data centers distribuídos e de e para endpoints que podem se conectar a serviços em nuvem de qualquer lugar do planeta, com dependências de dados hospedados em plataformas SaaS.

Embora essa arquitetura dinâmica moderna seja conveniente, a desvantagem é que há uma explosão de possíveis pontos de entrada em seu ambiente. Todas essas nuvens, data centers e endpoints dependem de uma variedade dinâmica de dependências externas, cada uma servindo como uma porta aberta em potencial que pode ser violada.

Your infrastructure is like a house with many doors, many of them un-locked.
Sua infraestrutura é como uma casa com muitas portas, muitas delas destrancadas.

O cibercriminoso moderno pode escanear facilmente todos esses pontos de entrada em busca de uma oportunidade e, apesar da dependência de controles de identidade de terminais, ferramentas de perímetro de nuvem, como firewalls virtuais, SASE e pontos de fiscalização da ZTNA, a maioria das violações por meio dessas ferramentas ocorre devido a erros humanos de configuração ou bugs de fornecedores.

Muitas das grandes violações dos últimos anos ocorreram devido ao elo mais fraco em qualquer arquitetura de segurança: a pessoa entre o teclado e a cadeira. As organizações precisam presumir que uma violação eventualmente ocorrerá e precisam de uma maneira de quantificar claramente o risco das cargas de trabalho contra o ataque constante de malware de dia zero.

Os scanners de vulnerabilidade por si só não são suficientes para proteger contra ameaças recém-detectadas

Os scanners de vulnerabilidade fornecem atualizações em tempo real sobre as portas vulneráveis usadas pelo malware mais recente para propagar cargas maliciosas. Exemplos comuns desses scanners são Qualys, Rapid 7, e Tenable. As informações de vulnerabilidade recebidas desses scanners podem ajudar a identificar cargas de trabalho em seu ambiente que possam estar usando essas portas em risco e precisarão ser corrigidas para se proteger contra vulnerabilidades relatadas.

Esses scanners fornecem um sistema comum de pontuação de vulnerabilidades (CVSS) para quantificar os riscos classificando as exposições vulneráveis em uma escala numérica. As pontuações de vulnerabilidade dos scanners são unidimensionais, aplicadas a uma porta ou intervalo de portas que são usadas por um determinado sistema operacional. Isso deixa a cargo do centro de operações de segurança determinar quais cargas de trabalho e dependências precisarão ser corrigidas e quanto tempo de inatividade as cargas de trabalho críticas podem tolerar para atualizá-las em tempo hábil.

Isso geralmente resulta em informações em tempo real sobre as exposições, mas com atrasos na correção delas. Por quê? Como esses scanners não têm visibilidade dentro do seu ambiente, eles não consideram a conectividade ou as dependências de uma carga de trabalho entre outras cargas de trabalho em seu ambiente e não podem oferecer proteção imediata contra ameaças recém-detectadas.

Combine scanners de vulnerabilidade com o Illumio para contenção rápida de violações

Para tornar os scanners de vulnerabilidade mais eficazes, você precisa de uma forma de automatizar a segurança em resposta às descobertas dos scanners. É aí que os mapas de vulnerabilidade da Illumio entram em ação. Combine dados do seu scanner de vulnerabilidades com o mapa em tempo real da Illumio para medir e reduzir a exposição ao risco.

Esse recurso combina as pontuações CVSS recebidas desses scanners com as informações que o Illumio Core descobre continuamente em seu ambiente para calcular uma Pontuação de Exposição à Vulnerabilidade (VES). Também chamado de pontuação V-E, esse é um número em uma escala de risco: pontuações mais altas significam maior risco, enquanto pontuações mais baixas significam menor risco. Essa pontuação V-E calcula quantas cargas de trabalho em seu ambiente são capazes de usar essas portas vulneráveis entre aplicativos hospedados e, em seguida, recomendará uma política modificada para evitar que essas portas sejam usadas entre cargas de trabalho.

Isso significa que, se você não conseguir corrigir um host vulnerável no momento, o Illumio basicamente corrige a rede para você. Como é preciso presumir que um host sem patch em seu ambiente será inevitavelmente comprometido por um malware usando essa porta vulnerável, o Illumio evitará que esse host não corrigido espalhe malware lateralmente para qualquer outro host.

O Illumio isola os ataques e impede que eles se espalhem pela rede sem precisar entender a configuração ou as intenções do ataque. Embora ainda seja importante corrigir cargas de trabalho vulneráveis, o Illumio permite segurança imediata, enquanto suas etapas de remediação podem seguir um fluxo de trabalho mais lento.

Como os mapas de vulnerabilidade quantificam o risco de segurança em 3 etapas

Núcleo Illumio permite que as equipes de segurança quantifiquem o risco, criem uma política de segmentação e, em seguida, modelem e testem a política antes de implantá-la. Ao poderem testar e monitorar o comportamento esperado da rede após a implantação da política, as equipes podem garantir que novas implantações não interrompam os fluxos de trabalho dos aplicativos.

Se o Illumio Core detectar tráfego tentando se conectar a uma porta com uma vulnerabilidade conhecida, ele enviará um alerta de tráfego informando o SOC, incluindo o contexto de vulnerabilidade e gravidade, e bloqueará imediatamente o estabelecimento desse tráfego.

Esse processo segue estas três etapas:

1. A visibilidade de ponta a ponta destaca onde existem riscos

O Mapa de Vulnerabilidades visualiza todas as cargas de trabalho e fluxos de rede vulneráveis aos riscos recebidos dos scanners, calculando uma pontuação V-E para cada grupo de aplicativos e todas as cargas de trabalho contidas nos grupos de aplicativos usando cores mapeadas para níveis de risco de portas específicas.

Illumio displays app groups, workloads, and sessions vulnerable to at-risk ports.
O Illumio exibe grupos de aplicativos, cargas de trabalho e sessões vulneráveis a portas em risco.
2. Recomendações políticas mais rígidas

Em resposta a novas ameaças, o Illumio Core recomendará uma política modificada que reduzirá o risco de carga de trabalho contra a vulnerabilidade relatada. Isso inclui vários níveis de segmentação crescente que reduzirão a exposição de cargas de trabalho mapeadas em rótulos diferentes para impedir e conter possíveis violações.

3. Impeça a propagação de novas ameaças pela rede

O mapa mostrará as mesmas cores usadas para identificar riscos de exposição, e as equipes de segurança poderão optar por incluir ou excluir a política recomendada. Se o recomendado segmentação Se a política for implementada, o mapa mostrará pontuações de exposição mais baixas.

Illumio recommends modified policy to protect workloads against reported risks.
A Illumio recomenda uma política modificada para proteger as cargas de trabalho contra os riscos relatados.

A capacidade de quantificar claramente o risco antes e depois da implantação da política de carga de trabalho modificada é uma ferramenta valiosa para demonstrar risco e remediação às operações do SOC, aos proprietários de aplicativos e aos auditores de segurança. Os proprietários de aplicativos geralmente não têm uma visão abrangente de como seus aplicativos se comportam em todas as dependências. O Illumio garante que mesmo ameaças não detectadas sejam impedidas de se propagar, bloqueando sua capacidade de falsificar portas abertas.

A abordagem sem agente do Illumio Core para a segurança da carga de trabalho

As ferramentas de segurança de rede implantadas na nuvem e no perímetro do data center nunca serão 100% eficazes. Por isso, é importante que as organizações implementem uma tecnologia de contenção de violações Zero Trust, como a Plataforma de Segmentação Zero Trust da Illumio.

Com o Illumio, você pode proteger todas as sessões entre todas as cargas de trabalho em qualquer escala. O Illumio Vulnerability Maps expande as pontuações de vulnerabilidade em toda a sua infraestrutura híbrida e multinuvem, não apenas para hosts individuais, para evitar que o malware se espalhe pela rede usando portas de cargas de trabalho não corrigidas.

Para saber mais sobre o Illumio ZTS, entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Core

Artigos relacionados

Novas atualizações do Illumio Core aceleram a segurança Zero Trust
Produtos Illumio

Novas atualizações do Illumio Core aceleram a segurança Zero Trust

As atualizações do Illumio Core acelerarão o caminho da sua organização para o Zero Trust Security. Saiba mais nesta postagem do blog.

Leia mais
Monitoramento e controle de tráfego na nuvem aprimorados
Produtos Illumio

Monitoramento e controle de tráfego na nuvem aprimorados

Com o Illumio Core, a Illumio é reconhecida como líder na segmentação Zero Trust para data centers e sistemas locais.

Leia mais
Combata rapidamente o ransomware com limites de fiscalização
Produtos Illumio

Combata rapidamente o ransomware com limites de fiscalização

Você tem duas formas principais de combater o ransomware. Você também pode ser proativo, trabalhando para bloquear ataques futuros. Ou você pode ser reativo, respondendo a uma violação ativa.

Leia mais
Características pouco conhecidas do Illumio Core: o mapa do Illumio
Produtos Illumio

Características pouco conhecidas do Illumio Core: o mapa do Illumio

Conheça o que a visualização do mapa Illumio oferece e como ela pode ajudar sua equipe a ver, segmentar e proteger melhor sua rede.

Leia mais
Recursos pouco conhecidos do Illumio Core: serviços virtuais
Produtos Illumio

Recursos pouco conhecidos do Illumio Core: serviços virtuais

Saiba como aproveitar os serviços virtuais do Illumio Core para proteger seus hosts e seus aplicativos e processos com e sem um agente.

Leia mais
Características pouco conhecidas do Illumio Core: integrações de plataformas SOAR
Produtos Illumio

Características pouco conhecidas do Illumio Core: integrações de plataformas SOAR

Saiba como as integrações do Illumio Core com plataformas SOAR de terceiros garantem que malwares novos e desconhecidos não se espalhem pela sua rede.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais