Mapeo de Illumio en el Top 20 de la CEI

En las últimas semanas, observamos un aumento en las consultas de empresas que desean comprender cómo Illumio los ayuda a habilitar su iniciativa de controles de seguridad del Centro para la Seguridad de Internet (CIS). Las 20 principales pautas de control del CIS se adoptan ampliamente y existen desde hace más de 10 años, con la última versión (7.1) lanzada en abril de 2019, por lo que nos intrigó esta tendencia. Hablamos con estas compañías sobre sus motivaciones e interés en Illumio y aprendimos mucho.

La mayoría de estas organizaciones estuvieron empleando las pautas de mejores prácticas del CIS durante un tiempo, pero la rápida transición a los modelos operativos de trabajo remoto combinada con los aumentos reportados en los ataques cibernéticos las están obligando a reevaluar sus controles y herramientas. Una encuesta de CSO de abril de 2020 encontró que el 26% de los encuestados vio un aumento en el volumen, la gravedad y/o el alcance de los ciberataques desde mediados de marzo. Algunas de estas compañías continúan su transición a las nubes públicas y aumentan la huella de virtualización dentro de sus centros de datos. Todos quieren hacer un mejor trabajo para comprender las brechas en sus controles de seguridad y tecnologías habilitadoras.

Con esto en mente, aquí hay una descripción general de alto nivel sobre cómo Illumio admite los 20 controles principales de CIS.

Descripción general de los 20 principales controles de seguridad críticos del CIS

Comencemos con una introducción rápida a los 20 principales controles de seguridad críticos del CIS. Los controles fueron creados inicialmente por los equipos rojo y azul de la NSA, los laboratorios de energía nuclear del Departamento de Energía de EE. UU., las organizaciones de aplicación de la ley y algunas de las principales organizaciones forenses y de respuesta a incidentes del país.

Los controles se derivan de los patrones de ataque más comunes destacados en los principales reportes de amenazas y examinados por una comunidad muy amplia de profesionales del gobierno y la industria. Reflejan el conocimiento combinado de expertos forenses y de respuesta a incidentes comerciales y gubernamentales.

Implementar y poner en práctica los 20 principales controles de seguridad del CIS no es un ejercicio de "una sola vez". La tecnología, el panorama de amenazas y las técnicas de ataque están en constante evolución. Los controles se actualizan, validan y perfeccionan cada año. No están destinados a reemplazar un programa de cumplimiento, y en realidad se asignan a marcos como NIST CSF y estándares de cumplimiento como PCI-DSS e HIPAA. Muchos emplean los controles de CIS como línea de base para las mejores prácticas de seguridad de la información, que luego aumentan para abordar casos extremos y cumplir con requisitos altamente específicos y prescriptivos.

Asignación de Illumio a los 20 controles principales de CIS

Así es como las capacidades de Illumio lo ayudan a cumplir o respaldar directamente un control CIS.

Controles básicos

1. Inventario y control de activos de hardware. Illumio admite este control al permitirle emplear el mapa de dependencias de aplicaciones en tiempo real para identificar y validar los componentes del servidor de hardware que pertenecen a un grupo de aplicaciones, y los servidores y dispositivos que están autorizados para conectarse con las aplicaciones. Illumio admite la integración basada en API con herramientas de terceros como NAC, descubrimiento de activos, ServiceNow CMDB y Service Mapping para validar el inventario. El agente de Illumio admite bare-metal, VM, instancias de nube pública, contenedores y recopila información de telemetría (direcciones IP, puertos, procesos, protocolos) para crear el mapa de dependencia de la aplicación. 

2. Inventario y control de activos de software. Illumio admite este control al permitirle emplear el mapa de dependencias de aplicaciones para identificar las aplicaciones y los componentes de carga de trabajo que pertenecen al grupo de aplicaciones y los otros componentes de la pila de software que están autorizados para conectarse, incluidas las conexiones multinube, de contenedor a servidor y las conexiones con instancias de nube pública. La información sobre conectividad y flujos enriquece la información de inventario de software que se gestiona mediante herramientas de administración de activos, CMDB y SCM. El modelo de denegación de incumplimiento de Illumio segrega lógicamente las aplicaciones de alto riesgo que se requieren para las operaciones comerciales. La visibilidad sin agente, para escenarios en los que los agentes no son compatibles, como AWS RDS, Azure Managed SQL, flujos de GCP y archivadores de almacenamiento, se habilita mediante la característica Flowlink.

3. Gestión continua de vulnerabilidades. Illumio admite este control mediante la integración con escáneres de vulnerabilidades y la ingesta de información de vulnerabilidades. Emplea esta información para mostrar visualmente las posibles vías de ataque lateral del malware. La puntaje de exposición a vulnerabilidades ofrece un cálculo de riesgo centrado en el negocio. Puede emplear esta información para mejorar su capacidad de priorizar su estrategia de aplicación de parches y aplicar la segmentación a nivel de proceso para los casos en los que la aplicación de parches no es factible desde el punto de vista operativo.

4. Uso controlado de privilegios administrativos. Illumio admite este control mediante la integración con las principales soluciones MFA. Illumio puede monitorear y hacer cumplir políticas para garantizar que las estaciones de trabajo dedicadas estén aisladas y se apliquen los privilegios mínimos. En entornos VDI, las conexiones a las aplicaciones de carga de trabajo se controlan en función de la pertenencia al grupo de Microsoft del usuario.

5. Configuración segura de hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores. Illumio es compatible con las herramientas de SCM al proporcionar visibilidad de todo el tráfico e identificar rápidamente los puertos/protocolos empleados por las cargas de trabajo que los propietarios de aplicaciones no esperan, para que puedan remediar rápidamente.

6. Mantenimiento, monitoreo y análisis de registros de auditoría.Si un cliente emplea Illumio para segmentar su centro de datos interno y las conexiones punto a punto de la nube, de usuario a aplicación y de punto final, Illumio mantiene un registro de todas las conexiones y flujos de tráfico, eventos (tráfico permitido, bloqueado, potencialmente bloqueado) y el historial de políticas, reglas y eventos relacionados. Los operadores autorizados pueden buscar en la base de datos de tráfico histórico de Illumio para operaciones, respuesta a incidentes e investigaciones, reportes y auditorías. Illumio se integra con las principales herramientas SIEM como Splunk, IBM QRadar y ArcSight para archivar, buscar y correlacionar conjuntos masivos de datos de registros y eventos para reportes, investigaciones y respuesta a incidentes.

Controles fundamentales

9. Limitación y control de puertos, protocolos y servicios de red. Illumio cumple directamente con este control. Illumio emplea información sobre las conexiones de la aplicación (conexiones históricas detalladas sobre conexiones y flujos de tráfico, incluidos puertos, procesos y protocolos) para recomendar inicialmente las reglas de firewall aplicables. Illumio tiene un modelo de denegación predeterminada para que las conexiones no conformes se puedan bloquear o bloquear potencialmente.

11. Configuración segura para dispositivos de red, como firewalls, enrutadores y conmutadores. Illumio cumple directamente con este control. Illumio mantiene información histórica detallada y en tiempo real sobre el tráfico y los registros de eventos para validar que los dispositivos de red, específicamente los firewalls Este-Oeste, están haciendo lo que deberían hacer y no permiten el tráfico que la política de firewall debería prohibir. Los usuarios pueden crear una lista de direcciones IP no deseadas para bloquear las comunicaciones con direcciones IP de Internet maliciosas o no empleadas conocidas. Los usuarios pueden programar conexiones para limitar la carga de trabajo a conexiones de carga de trabajo a puertos, procesos y protocolos específicos. Illumio Core implementa la prevención de manipulación de VEN. Puede implementar la microsegmentación con Illumio para que las máquinas de administración de red puedan aislar y tener acceso elevado. Puede implementar una segmentación más detallada sin volver a diseñar las VLAN y las subredes cada vez que cambie la necesidad empresarial.

12. Defensa de límites. Illumio cumple directamente con este control. Illumio aplica la segmentación basada en host para monitorear y controlar las conexiones y los flujos entre aplicaciones y dispositivos con diferentes niveles de confianza. Puede lograr una segmentación detallada sin una rearquitectura costosa y arriesgada de su infraestructura de red.

13. Protección de datos. Illumio admite este requisito al evitar de manera proactiva que las cargas de trabajo y los usuarios no autorizados se conecten a aplicaciones protegidas a través del modelo de denegación predeterminada e identificando y bloqueando las posibles rutas de ataque lateral de actores maliciosos. Illumio detecta y bloquea las conexiones no autorizadas que pueden intentar transferir información confidencial y envía alertas a seguridad. También puede usar Illumio para programar y aplicar políticas que controlan el acceso y las conexiones a proveedores de nube y email.

14. Acceso controlado basado en la necesidad de saber. Illumio cumple directamente con este control. Illumio se puede emplear para controlar las conexiones autorizadas entre cargas de trabajo, aplicaciones, usuarios de VDI y dispositivos. Illumio Core puede ayudar a gestionar el acceso a un entorno gestionando el acceso de red a un sistema, así como gestionando potencialmente el acceso lógico. Las direcciones IP externas se pueden agregar específicamente a los conjuntos de reglas y aplicar a los grupos según la necesidad de los usuarios de acceder a estos sistemas (los usuarios pueden ser máquinas u operadores individuales). Estas reglas se pueden habilitar / deshabilitar a nivel de directiva para deshabilitar de manera inmediata y eficiente ciertos accesos a los sistemas. En entornos VDI, la segmentación de usuarios adaptable se puede emplear para permitir el acceso a determinados recursos en función de la directiva de grupo de Active Directory.

15. Control de acceso inalámbrico. Illumio admite este control programando y aplicando la segmentación para el acceso inalámbrico en dispositivos y servidores autorizados específicos y restringiendo el acceso a otras redes inalámbricas.

16. Monitoreo y control de cuentas. Illumio admite este control mediante la integración con herramientas de SSO y gobernanza de acceso de terceros. También puede usar el cifrado bajo demanda de Illumio para garantizar que todos los nombres de usuario de la cuenta y las credenciales de autenticación se transmitan a través de las redes empleando canales cifrados.

Controles organizacionales

18. Seguridad del software de aplicación. Illumio apoya este control mediante la aplicación de políticas de microsegmentación para separar los sistemas de producción de los no productivos. Illumio también programa reglas de firewall basadas en host para garantizar que los desarrolladores no tengan acceso sin supervisión y sin restricciones a los sistemas de producción.

19. Respuesta y gestión de incidentes. Illumio admite este control. Los usuarios autorizados pueden extraer reportes de la base de datos de tráfico histórico de Illumio, eventos, datos de registro para respaldar investigaciones y flujos de trabajo de respuesta a incidentes.

20. Pruebas de penetración y ejercicios de Red Team. Illumio admite este control. Las organizaciones pueden usar la información del mapa de dependencias de aplicaciones, los conjuntos de reglas y las agrupaciones de aplicaciones como línea de base para diseñar el ámbito de sus pruebas de penetración.

En resumen

Los eventos sistémicos suelen desencadenar una evaluación de los controles de seguridad existentes. Illumio ayuda a las compañías a implementar un enfoque pragmático para evaluar y permitir la implementación de sus controles CIS Top 20. Las compañías pueden hacer esto aprovechando las siguientes capacidades:

1. Mapeo de dependencias de aplicaciones en tiempo real que ayuda a identificar nuevas conexiones y cambios en las conexiones a sistemas de alto valor que se derivan de cambios en el modelo operativo.
2. Mapas de vulnerabilidad que calculan e ilustran visualmente la explotabilidad de una vulnerabilidad. Esto ayuda a priorizar los controles y los esfuerzos de segmentación en torno a los activos y conexiones más riesgosos.
3. Segmentación a través de un modelo de denegación predeterminada que no se basa en la rearquitectura de la arquitectura de red.
4. Integración basada en API con herramientas de operaciones de TI, seguridad y análisis de terceros que lo ayudan a monitorear continuamente las tendencias que introducen nuevos riesgos en su compañía. Estas integraciones también lo ayudan a desarrollar e implementar planes para mejorar la eficacia de los controles existentes.

Los 20 principales controles del CIS ofrecen una higiene de seguridad básica, pero también proporcionan el marco para priorizar las brechas y los controles de seguridad que tendrán el mayor impacto en su organización.

Si desea obtener más información sobre las capacidades de Illumio, consulte Illumio Core.