Seguridad de red híbrida: Illumio frente a proveedores de CSPM y CWPP

Finalmente fue ascendido como CISO de su organización. ¡Felicidades! Todos esos años de certificaciones de construcción y trabajo en turnos de guardia valieron la pena.

Luego de seleccionar la oficina de la esquina que desea, la elección de la veta de la madera para su escritorio y entregar las llaves del estacionamiento ejecutivo (puedo soñar, ¿no?), llegó el gran día en el que presenta frente al equipo ejecutivo todos los grandes planes que tiene para reducir el riesgo de su compañía.

Tienes tus planes estratégicos, tácticos y operativos dando vueltas en tu cabeza, listos para responder a cualquier objeción que puedan presentarte. Y al final de tu presentación, ¡todos están de acuerdo en dejarte avanzar!

Y como parte de la lista de proyectos aprobados, dicen que solo puede elegir dos de las tres iniciativas:

1. Parchear todas las vulnerabilidades de software 
2. Detener el movimiento lateral dentro de la red 
3. Resolver alertas críticas desde SIEM 

¿Solo dos? ¡Pero pensaste que te darían una cotización y una plantilla ilimitados! ¿Y ahora qué? 

3 formas de proteger su red híbrida

En palabras de un famoso economista, "No hay soluciones, solo compensaciones". Y este es siempre el dilema: cómo hacer el mejor uso del tiempo y los recursos disponibles.

¿Cómo puede elegir entre 845 alertas sev-1 en su SIEM, 1,342 CVE "críticos" que necesitan parches o descubrir que toda su red está expuesta al ransomware? 

Por lo tanto, comienza el largo y arduo proceso de redactar planes de proyectos, enviar solicitudes de información y esperar poder contratar personal competente para ejecutarlo todo.

Muy pronto, los proveedores comienzan a llamar y ofrecer soluciones a todos sus problemas. Los contratistas le dicen que pueden hacerlo en la mitad del tiempo por dos tercios del costo. La gerencia quiere que se haga antes de la próxima moratoria de la red.  

Primero: Los proveedores de administración de la postura de seguridad en la nube (CSPM) que usó antes. Trae dos o tres de ellos y le cuentan todo sobre sus excelentes funciones que lo ayudarán con cosas como el monitoreo del cumplimiento o las herramientas de inventario de activos.

Le dicen cómo sus "roles de administración de identidades y accesos (IAM) de AWS son el nuevo perímetro de red". Le informan de que sus depósitos de almacenamiento están expuestos a Internet. Le proporcionan un mapa de exposición que le muestra cómo todos sus dispositivos pueden comunicar entre sí y a través de qué puertos.

Usted está de acuerdo en que todas estas son causas dignas y nobles que deben abordar.  

A continuación: Los proveedores de plataformas de protección de cargas de trabajo en la nube (CWPP). Estas personas le dirán que necesita profundizar en las cargas de trabajo para lograr un progreso real.

Pueden señalar vulnerabilidades de software, malware, claves extraviadas y otros datos confidenciales en sus cargas de trabajo en la nube. Le introducen en el mundo de la inteligencia artificial, el análisis automático y otras herramientas de análisis de comportamiento para "entrar en la mente del delincuente" que quiere desesperadamente exponer su propiedad intelectual.

Una vez más, todos estos son objetivos dignos, algunos de los cuales no pensaste antes. Pero estás empezando a añorar ese trabajo de buscapersonas que tenías en 2004.  

Luego, decides reunirte con este proveedor con el que te encontraste en la Conferencia RSA llamada Illumio. Luego de todo, no podía perdértelos, con su pantalla LED gigante de color naranja brillante de 20 pies. (Todos sus empleados tenían un bronceado estable el viernes por la luminiscencia).

Illumio sugiere un enfoque diferente: ¿Por qué no comenzamos con algo básico que se pueda implementar rápidamente y pueda evitar 5 desastres cibernéticos cada año?   

Eso llamó tu atención. 

Su ingeniero de ventas dijo que se necesita un enfoque por capas para la seguridad y que debe considerar la segmentación de confianza cero como la base de la pirámide. Porque, al final del día, en algún lugar, de alguna manera uno de sus activos va a ser violado.

Lo importante es lo que sucede a continuación: que evite que se propague a cualquier otro lugar de su red.

Esto evita un evento catastrófico debido a que un sistema individual se ve comprometido. El ingeniero de ventas continuó describiendo que la mayoría de los ataques de ransomware emplean el protocolo de escritorio remoto (RDP) como su vector principal (que tiene abierto en todas partes).

Illumio proporciona segmentación de confianza cero tanto para sistemas locales basados en agentes como para aplicaciones en la nube.

• Illumio Core ofrece un enfoque simple basado en agentes que emplea etiquetas como mecanismo para identificar, organizar y aplicar políticas de seguridad en todo el entorno de su centro de datos.
• E Illumio CloudSecure complementa esto al expandir las herramientas de segmentación a sus entornos nativos de la nube para gestionar funciones informáticas sin servidor y otros servicios nativos de la nube.  

La opción Illumio: vea y proteja todos los entornos en uno

Después de que termine el desfile de proveedores y regrese a su reunión de personal, es hora de discutir qué opción es la mejor.

Habla con sus equipos de operaciones sobre cómo manejan las alertas críticas hoy y qué se necesitaría para "borrar la ventana de alerta" de las notificaciones de riesgo medio y alto.

"¡Eso es fácil!", dice uno de los trabajadores del turno de noche, "simplemente resalto todas las alertas y hago clic en eliminar. Hay demasiados de ellos a los que prestar atención, honestamente. Y si algo malo realmente sucede, recibiré una llamada telefónica". 

Esa no era exactamente la respuesta que querías escuchar, pero buena información, de todos modos.

A continuación, hable con su equipo de gestión de software. Describen cómo la lista de vulnerabilidades y exposiciones comunes (CVE) no es terriblemente útil porque no proporciona mucho contexto: "Muchos de ellos no se aplican a nosotros porque no están en sistemas expuestos a Internet. Estamos trabajando para parchear los demás, pero llevará algún tiempo probarlos todos antes de lanzarlos a producción". 

La opción Illumio está empezando a sonar mejor, ya que recuerda que el ingeniero de ventas mencionó algunas cosas sobre Illumio CloudSecure para aplicaciones nativas de la nube y sin agentes: 

• La mayoría de estos proveedores de CSPM/CWPP realmente no miran los flujos de tráfico reales en su red. Illumio CloudSecure analiza los flujos de tráfico en tiempo real y los compara con sus reglas de seguridad nativas de la nube para proporcionar un análisis de qué tan sobreexpuestos están sus conjuntos de reglas.
  
  (Por ejemplo, no es necesario tener una regla de seguridad que permita que todo Internet, o incluso un bloque de direcciones /16, acceda a sus funciones de Lambda si solo está hablando con un /24 interno).
  
  Si bien es posible que puedan decirle quién "puede" hablar, Illumio CloudSecure le muestra quién "habló" y con qué. Conocer el "puede" solo es beneficioso si ya sabe lo que se considera tráfico normal. Eso requiere flujos de tráfico reales.  
   
• En la demostración de Illumio CloudSecure, el ingeniero de ventas mostró las aplicaciones nativas de la nube en un mapa, desde la subscripción del equipo de desarrollo de Azure hasta las aplicaciones de pedidos de producción en AWS.
  
  Pero lo más interesante fueron los otros sistemas en AWS que no sabías que existían.
  
  (¿Quién sabía que el equipo de recursos humanos contrató a un pasante para crear una nueva aplicación de reportes de nómina? ¿Y POR QUÉ está enviando tráfico a mi sistema de pedidos de producción?)
  
  Te das cuenta de que no puedes cerciorarlo si no sabes que está ahí fuera.
   
• También se dio cuenta de que ninguno de los proveedores de CSPP o CWPP que trajo mencionó nada sobre su centro de datos local. Si bien la nube puede ser el nuevo juguete brillante, aún tiene sistemas críticos en el sitio que necesitan el mismo nivel de protección. 

Comience con Illumio, la compañía de segmentación de confianza cero

Su fecha límite se acerca rápidamente. Entonces, ¿qué decides hacer? El dilema de "Pick Two" te mantiene despierto por la noche. El tiempo corre.

Un bombillo parpadea sobre tu cabeza, ¡una solución! 

Regresas al equipo ejecutivo y anuncias: "Mira, no hay una solución perfecta aquí. Solo compensaciones. Pero esto es lo que propongo que podamos hacer antes del cierre de la web para que pueda informar un progreso significativo a la junta".

Explica su plan: comience con Illumio, la compañía de segmentación de confianza cero.

Illumio puede:

• Evite 5 desastres cibernéticos al año y ahorre $ 20.1 millones en tiempo de inactividad de aplicaciones.
• Ayude a los equipos de seguridad a identificar todas las aplicaciones no autorizadas en la nube para que puedan comenzar a reforzar las reglas de seguridad.
• Proporcione más tiempo para implementar una herramienta CNAPP que proporcione la "siguiente capa" de protección contra amenazas más sofisticadas. (Inteligentemente sonríe ante su leve mano allí, combinando los proyectos # 1 y # 3 bajo el último acrónimo de Gartner, CNAPP, que combina CSPP y CWPP en un solo paraguas).

Se logra la "elección dos", y pudo obtener los tres.

Para obtener más información sobre Illumio y la segmentación de Confianza cero:

• Vea cómo Illumio ayudó a un bufete de abogados global a detener la propagación del ransomware.
• Descubra por qué Illumio es líder en reportes de Forrester Wave sobre Zero Trust y microsegmentación.
• Lea esta guía sobre cómo Illumio hace que la segmentación de confianza cero sea rápida, simple y escalable.
• Contáctenos para averiguar cómo Illumio puede ayudar a fortalecer las defensas de su organización contra las amenazas de ciberseguridad.