Mapping von Illumio auf die GUS Top 20

In den letzten Wochen haben wir einen Anstieg der Anfragen von Unternehmen beobachtet, die wissen möchten, wie Illumio ihnen hilft, ihre Initiative Center for Internet Security (CIS) Security Controls zu ermöglichen. CIS Top 20 Controls Guidelines sind weit verbreitet und gibt es seit mehr als 10 Jahren, wobei die neueste Version (7.1) im April 2019 veröffentlicht wurde, daher waren wir von diesem Trend fasziniert. Wir haben mit diesen Unternehmen über ihre Beweggründe und ihr Interesse an Illumio gesprochen und viel gelernt.

Die meisten dieser Unternehmen verwenden die CIS-Best-Practice-Richtlinien schon seit einiger Zeit, aber der schnelle Übergang zu Remote-Arbeitsmodellen in Verbindung mit der gemeldeten Zunahme von Cyberangriffen zwingt sie, ihre Kontrollen und Tools neu zu bewerten. Eine CSO-Umfrage vom April 2020 ergab, dass 26 % der Befragten seit Mitte März einen Anstieg des Volumens, der Schwere und/oder des Ausmaßes von Cyberangriffen festgestellt haben. Einige dieser Unternehmen setzen ihren Übergang zu Public Clouds fort und erhöhen den Virtualisierungs-Fußabdruck in ihren Rechenzentren. Sie alle wollen Lücken in ihren Sicherheitskontrollen und unterstützenden Technologien besser verstehen.

Vor diesem Hintergrund finden Sie hier einen allgemeinen Überblick darüber, wie Illumio die CIS Top 20 Controls unterstützt.

Überblick über die Top 20 der kritischen Sicherheitskontrollen der CIS

Beginnen wir mit einer kurzen Einführung in die CIS Top 20 Critical Security Controls. Die Kontrollen wurden ursprünglich von den roten und blauen Teams der NSA, den Atomenergielabors des US-Energieministeriums, Strafverfolgungsbehörden und einigen der führenden Forensik- und Incident-Response-Organisationen des Landes erstellt.

Die Kontrollen leiten sich von den gängigsten Angriffsmustern ab, die in den führenden Bedrohungsberichten hervorgehoben wurden, und werden von einer sehr breiten Gemeinschaft von Behörden und Branchenpraktikern überprüft. Sie spiegeln das kombinierte Wissen von kommerziellen und staatlichen Forensik- und Incident-Response-Experten wider.

Die Implementierung und Operationalisierung der CIS Top 20 Security Controls ist keine einmalige Übung. Die Technologie, die Bedrohungslandschaft und die Angriffstechniken entwickeln sich ständig weiter. Die Kontrollen werden jedes Jahr aktualisiert, validiert und verfeinert. Sie sind nicht dazu gedacht, ein Compliance-Programm zu ersetzen, sondern basieren auf Frameworks wie NIST CSF und Compliance-Standards wie PCI-DSS und HIPAA. Viele verwenden CIS-Kontrollen als Grundlage für Best Practices für die Informationssicherheit, die sie dann erweitern, um Sonderfälle zu adressieren und hochspezifische und vorgeschriebene Anforderungen zu erfüllen.

Mapping von Illumio auf die CIS Top 20 Steuerungen

Hier erfahren Sie, wie die Funktionen von Illumio Ihnen helfen, eine CIS-Kontrolle direkt zu erfüllen oder zu unterstützen.

Grundlegende Steuerelemente

1. Inventarisierung und Kontrolle von Hardware-Assets. Illumio unterstützt diese Kontrolle, indem es Ihnen ermöglicht, die Echtzeit-Anwendungsabhängigkeitskarte zur Identifizierung und Validierung der Hardware-Server-Komponenten zu verwenden, die zu einer Anwendungsgruppe gehören, sowie der Server und Geräte, die berechtigt sind, sich mit den Anwendungen zu verbinden. Illumio unterstützt die API-basierte Integration mit 3rd-Party-Tools wie NAC, Asset Discovery, ServiceNow CMDB und Service Mapping, um den Bestand zu validieren. Der Illumio-Agent unterstützt Bare-Metal-, VM- und Public-Cloud-Instanzen und Container und sammelt Telemetrieinformationen (IP-Adressen, Ports, Prozesse, Protokolle), um die Anwendungsabhängigkeitskarte zu erstellen. 

2. Inventarisierung und Kontrolle von Software-Assets. Illumio unterstützt diese Kontrolle, indem es Ihnen ermöglicht, die Anwendungsabhängigkeitskarte zur Identifizierung der Anwendungen und Workload-Komponenten zu verwenden, die zur Anwendungsgruppe gehören, sowie der anderen Software-Stack-Komponenten, die für die Verbindung autorisiert sind, einschließlich Multi-Cloud-, Container-zu-Server-Verbindungen und Verbindungen mit Public-Cloud-Instanzen. Die Informationen zu Konnektivität und Datenflüssen bereichern Softwareinventurinformationen, die von Asset-Management-, CMDB- und SCM-Tools verwaltet werden. Das Default-Deny-Modell von Illumio trennt logisch Anwendungen mit hohem Risiko, die für den Geschäftsbetrieb erforderlich sind. Die agentenlose Sichtbarkeit – für Szenarien, in denen Agenten nicht unterstützt werden, wie AWS RDS, Azure Managed SQL, GCP-Flows und Storage-Filer – wird mithilfe der Flowlink-Funktion aktiviert.

3. Kontinuierliches Schwachstellenmanagement. Illumio unterstützt diese Kontrolle durch die Integration mit Schwachstellen-Scannern und die Aufnahme von Schwachstelleninformationen. Diese Informationen werden verwendet, um die potenziellen lateralen Angriffswege von Malwarevisuell darzustellen. Der Vulnerability Exposure Score bietet eine geschäftsorientierte Berechnung des Risikos. Sie können diese Informationen verwenden, um Ihre Fähigkeit zu verbessern, die Patching-Strategie zu priorisieren und eine Segmentierung auf Prozessebene für Fälle anzuwenden, in denen das Patchen nicht operativ möglich ist.

4. Kontrollierte Nutzung von Verwaltungsrechten. Illumio unterstützt diese Kontrolle durch die Integration mit führenden MFA-Lösungen. Illumio kann Richtlinien überwachen und durchsetzen, um sicherzustellen, dass dedizierte Workstations isoliert sind und die geringsten Rechte angewendet werden. In VDI-Umgebungen werden Verbindungen zu Arbeitsauslastungsanwendungen basierend auf der Microsoft-Gruppenmitgliedschaft des Benutzers gesteuert.

5. Sichere Konfiguration von Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern. Illumio unterstützt SCM-Tools, indem es Transparenz über den gesamten Datenverkehr bietet und schnell Ports/Protokolle identifiziert, die von Workloads verwendet werden, die Anwendungseigentümer nicht erwarten, damit sie schnell Abhilfe schaffen können.

6. Wartung, Überwachung und Analyse von Überwachungsprotokollen.Wenn ein Kunde Illumio verwendet, um seine internen Rechenzentrums- und Cloud-, Benutzer-zu-Anwendungs- und Endpunkt-Peer-to-Peer-Verbindungen zu segmentieren, führt Illumio ein Protokoll aller Verbindungen und Verkehrsflüsse, Ereignisse (zulässiger, blockierter, potenziell blockierter Datenverkehr) und den Verlauf der zugehörigen Richtlinien, Regeln und Ereignisse. Autorisierte Betreiber können die historische Verkehrsdatenbank von Illumio nach Abläufen, Incident Response und Untersuchungen, Berichten und Audits durchsuchen. Illumio lässt sich in führende SIEM-Tools wie Splunk, IBM QRadar und ArcSight integrieren, um riesige Mengen an Protokoll- und Ereignisdaten für Berichte, Untersuchungen und die Reaktion auf Vorfälle zu archivieren, zu durchsuchen und zu korrelieren.

Grundlegende Kontrollen

9. Begrenzung und Kontrolle von Netzwerkports, Protokollen und Diensten. Illumio erfüllt diese Kontrolle direkt. Illumio verwendet Informationen über die Verbindungen der Anwendung – detaillierte historische Verbindungen zu Verbindungen und Datenverkehrsflüssen, einschließlich Port, Prozessen und Protokollen –, um zunächst die geltenden Firewall-Regeln zu empfehlen. Illumio verfügt über ein Default-Deny-Modell, so dass Verbindungen, die nicht konform sind, blockiert oder möglicherweise blockiert werden können.

11. Sichere Konfiguration für Netzwerkgeräte wie Firewalls, Router und Switches. Illumio erfüllt diese Kontrolle direkt. Illumio pflegt detaillierte Verlaufs- und Echtzeitinformationen über den Datenverkehr und die Ereignisprotokolle, um zu überprüfen, ob Netzwerkgeräte, insbesondere Ost-West-Firewalls, das tun, was sie tun sollten, und keinen Datenverkehr zulassen, den die Firewall-Richtlinie verbieten sollte. Benutzer können eine IP-Blockierungsliste erstellen, um die Kommunikation mit bekannten bösartigen oder ungenutzten Internet-IP-Adressen zu blockieren. Benutzer können Verbindungen so programmieren, dass Last-zu-Arbeitslast-Verbindungen zu bestimmten Ports, Prozessen und Protokollen begrenzt werden. Illumio Core implementiert die Verhinderung von VEN-Manipulationen. Sie können mit Illumio eine Mikrosegmentierung implementieren, so dass Netzwerkadministratoren isoliert werden können und einen erhöhten Zugriff haben. Sie können eine feinkörnigere Segmentierung implementieren, ohne VLANs und Subnetze jedes Mal neu zu gestalten, wenn sich die Geschäftsanforderungen ändern.

12. Verteidigung der Grenzen. Illumio erfüllt diese Kontrolle direkt. Illumio wendet hostbasierte Segmentierung an, um Verbindungen und Flüsse zwischen Anwendungen und Geräten mit unterschiedlichen Vertrauensstufen zu überwachen und zu steuern. Sie können eine fein abgestufte Segmentierung erreichen, ohne die Netzwerkinfrastruktur kostspielig und riskant neu zu gestalten.

13. Datenschutz. Illumio unterstützt diese Anforderung, indem es proaktiv verhindert, dass sich nicht autorisierte Workloads und Benutzer über ein Default-Deny-Modell mit geschützten Anwendungen verbinden, und indem es die potenziellen lateralen Angriffswege böswilliger Akteure identifiziert und blockiert. Illumio erkennt und blockiert nicht autorisierte Verbindungen, die versuchen könnten, vertrauliche Informationen zu übertragen, und sendet Warnungen an die Sicherheit. Sie können Illumio auch verwenden, um Richtlinien zu programmieren und durchzusetzen, die den Zugriff und die Verbindungen zu Cloud- und E-Mail-Anbietern steuern.

14. Kontrollierter Zugang basierend auf dem Need-to-know. Illumio erfüllt diese Kontrolle direkt. Illumio kann verwendet werden, um autorisierte Verbindungen über Workloads, Anwendungen, VDI-Benutzer und Geräte hinweg zu steuern. Illumio Core kann bei der Verwaltung des Zugriffs auf eine Umgebung helfen, indem es sowohl den Netzwerkzugriff auf ein System als auch den logischen Zugriff verwaltet. Externe IP-Adressen können speziell zu Regelsätzen hinzugefügt und auf Gruppen angewendet werden, je nachdem, wie Benutzer auf diese Systeme zugreifen müssen (Benutzer können Maschinen oder einzelne Bediener sein). Diese Regeln können auf Richtlinienebene aktiviert/deaktiviert werden, um bestimmte Zugriffe auf Systeme sofort und effizient zu deaktivieren. In VDI-Umgebungen kann die adaptive Benutzersegmentierung verwendet werden, um den Zugriff auf bestimmte Ressourcen basierend auf Active Directory-Gruppenrichtlinien zu ermöglichen.

15. Drahtlose Zugangskontrolle. Illumio unterstützt diese Kontrolle, indem es die Segmentierung für den drahtlosen Zugriff auf bestimmte autorisierte Geräte und Server programmiert und durchsetzt und den Zugriff auf andere drahtlose Netzwerke einschränkt.

16. Kontoüberwachung und -kontrolle. Illumio unterstützt diese Kontrolle durch die Integration mit SSO- und Access-Governance-Tools von Drittanbietern. Sie können auch die On-Demand-Verschlüsselung von Illumio verwenden, um sicherzustellen, dass alle Benutzernamen und Authentifizierungsdaten über verschlüsselte Kanäle über Netzwerke übertragen werden.

Organisatorische Kontrollen

18. Sicherheit von Anwendungssoftware. Illumio unterstützt diese Kontrolle durch die Anwendung von Mikrosegmentierungsrichtlinien, um Produktions- und Nicht-Produktionssysteme zu trennen. Illumio programmiert auch hostbasierte Firewall-Regeln, um sicherzustellen, dass Entwickler keinen unüberwachten und ungehinderten Zugriff auf Produktionssysteme haben.

19. Reaktion auf Vorfälle und Management. Illumio unterstützt diese Steuerung. Autorisierte Benutzer können Berichte aus der Illumio-Datenbank für historischen Verkehr, Ereignisse und Protokolldaten abrufen, um Untersuchungen und Incident-Response-Workflows zu unterstützen.

20. Penetrationstests und Red Team-Übungen. Illumio unterstützt diese Steuerung. Organisationen können die Informationen in der Anwendungsabhängigkeitskarte, in den Regelsätzen und in den Anwendungsgruppierungen als Grundlage für die Gestaltung des Umfangs ihrer Penetrationstests verwenden.

Um es zusammenzufassen

Systemische Ereignisse lösen in der Regel eine Bewertung vorhandener Sicherheitskontrollen aus. Illumio unterstützt Unternehmen bei der Implementierung eines pragmatischen Ansatzes zur Bewertung und Umsetzung ihrer CIS-Top-20-Kontrollen. Unternehmen können dies tun, indem sie die folgenden Funktionen nutzen:

1. Echtzeit-Mapping von Anwendungsabhängigkeiten , das hilft, neue Verbindungen und Änderungen in Verbindungen zu hochwertigen Systemen zu identifizieren, die sich aus Änderungen im Betriebsmodell ergeben.
2. Vulnerability Maps , die die Ausnutzbarkeit einer Schwachstelle berechnen und visuell darstellen. Dies hilft bei der Priorisierung von Kontrollen und Segmentierungsbemühungen rund um die riskantesten Assets und Verbindungen.
3. Segmentierung über ein Default-Deny-Modell, das nicht auf einer Neuarchitektur der Netzwerkarchitektur beruht.
4. API-basierte Integration mit IT-Ops-, Sicherheits- und Analysetools von Drittanbietern, die Ihnen helfen, Trends kontinuierlich zu überwachen, die neue Risiken für Ihr Unternehmen mit sich bringen. Diese Integrationen helfen Ihnen auch bei der Entwicklung und Umsetzung von Plänen zur Verbesserung der Wirksamkeit vorhandener Kontrollen.

Die CIS Top 20 Controls bieten eine grundlegende Sicherheitshygiene, bieten aber auch den Rahmen für die Priorisierung der Lücken und Sicherheitskontrollen, die die größten Auswirkungen auf Ihr Unternehmen haben.

Wenn Sie mehr über die Fähigkeiten von Illumio erfahren möchten, schauen Sie sich Illumio Core an.