イルミオコアのあまり知られていない機能: SOAR プラットフォームの統合

このシリーズでは、イルミオのセキュリティ専門家が、あまり知られていない(しかしそれほど強力な)機能に焦点を当てています。 Illumio Core.  

侵害とランサムウェア攻撃は急速に進化しており、多くの従来の予防および検出テクノロジーが対応できるよりも速く進化しています。  

マルウェアは数秒で拡散する可能性があり、人間が対応できるよりもはるかに速いです。サイバーセキュリティ業界の自明の理として、セキュリティアーキテクチャで最も弱いリンクはキーボードと椅子の間にあるということです。マルウェアの自動伝播に対する解決策は、同様に自動化されたセキュリティ対応である必要があります。  

Illumio CoreとサードパーティのSOARプラットフォームとの統合により、新しい未知のマルウェアが自動的に隔離され、封じ込められることを確信できます。  

侵害封じ込めが今重要な理由

すべてのマルウェアには、動くのが好きという共通点があります。  

最初に侵害されたワークロードが意図したターゲットになることはめったにありません。これは、情報を収集するためのネットワークの「ドアの足」として使用されます。この洞察により、マルウェアとその制御システムはコマンド&コントロールトラフィックを交換します。最終的に、制御システムはマルウェアにネットワークを介して伝播する方法を指示します。

悪いニュースは?これらはすべて数秒で起こります。

侵害やランサムウェア攻撃は避けられず、従来の予防および検出ツールでは今日の攻撃を阻止するのに十分ではありません。あらゆる規模、地域、業界の組織は、予防および検出ツールに加えて、侵害封じ込め戦略を優先する必要があります。これにより、次の侵害が業務を停止し、機密データが漏洩し、顧客、利害関係者、従業員の信頼を損なう壊滅的なイベントにならないようにすることができます。  

現代のサイバーセキュリティは、侵害防止から 侵害生存への移行によって定義されます。侵害の伝播を阻止することは、侵害の発生を防ぐのと同じくらい優先する必要があります。‍

イルミオによる侵害に積極的に備える

残念ながら、侵害防止ソリューションが 100% 効果的ということはありません。違反が発生します。避けられない侵害が発生すると、イルミオはすべてのホストで開いているポートを事前に無効にすることで、隣接するホストへの侵害の拡散を防ぎます。  

ほとんどのホストとそのワークロードは、相互に接続を確立する必要はありません。むしろ、通常、少数の共通リソース セットに接続するか、アウトバウンド接続を行うだけで済みます。たとえば、データセンターまたはクラウド環境にデプロイされたすべてのワークロードが相互に直接接続する必要があることはまれです。  

不必要にオープンなポートが引き起こす可能性のあるリスクを軽減するために、イルミオは次の2つの方法のいずれかでワークロードを適用できます。  

• 選択的施行: 特定のポートはブロックされ、他のすべてのトラフィックは 許可されます。  
• 完全な施行: 特定のポートはブロックされ、他のすべてのトラフィックは 拒否されます。  

選択的適用は、RDP や SSH など、ワークロード間で許可しないトラフィックがわかっている場合に使用できます。ただし、マルウェアは常に進化しており、使用する新しいポートが見つかっています。このため、マルウェアの拡散をブロックするのにはるかに効果的であるため、完全な強制を使用するのが最善です。完全に施行された場合、イルミオはあらゆる規模のすべてのワークロードのすべてのポートを無効にし、必要に応じて例外的にオープンポートを許可します。  

結果は、以下の完全適用の例のようになります。左側の画像では、デフォルトで開いているポートがイルミオによって無効になっているため、ワークロードの通信が妨げられています(赤い矢印)。右側の画像では、Illumioは例外(緑色の矢印)を有効にして、特定のポートを介した特定のアプリケーショングループ間のトラフィックのみを許可しています。

イルミオで完全に施行されると、感染したホストは、ほんの一握りのポートしか開いていないため、マルウェアがそれほど遠くまで移動することを許可しません。これにより、攻撃の爆発範囲が大幅に縮小し、壊滅的な侵害になる可能性が、運用に影響を与えたり、莫大な修復コストを必要としたりしない小さなセキュリティインシデントに変わります。  

イルミオのSOAR統合でポリシー変更を自動化

サイバーセキュリティにおいて1つのことが真実であるとすれば、それは物事は常に変化しているということです。今日の脅威の状況と今日のネットワークの複雑さは、セキュリティ対策を静的なままでいるわけにはいかないことを意味します。組織には、適用ポリシーをリアルタイムで更新する方法が必要です。

イルミオは、SOAR(セキュリティオーケストレーション、自動化、および応答)プラットフォームとの統合により、セキュリティポリシーの完全に自動化されたリアルタイムの変更を可能にします。

SOAR プラットフォームは SIEM (セキュリティ情報およびイベント管理) プラットフォームとは異なることに注意することが重要です。イルミオは、 ログをSplunk などのSIEMプラットフォームに転送して、イルミオが管理するワークロードでログに記録されたイベントを分析し、危険信号を探すことができます。しかし、SIEMが見つけたとしても、危険にさらされているポートを閉じるためのコマンドをイルミオに送り返す方法はありません。この機能は、SOARプラットフォームを介して有効になります。

イルミオは、 Splunk SOAR、 IBM QRadar SOAR、Palo Alto Networks Cortex XSOARの3つのサードパーティSOARシステムと統合されています。イルミオ + SOARの統合は、次の手順を通じて迅速な多層防御を提供します。

• SOARプラットフォームは脅威の状況を監視し、特定のポートを使用して拡散している、これまで知られていなかった新しいゼロデイマルウェアを探します。
• SOARプラットフォームは、新しいマルウェアが新しいポートを使用して拡散していることを認識した場合、各ベンダーのマーケットプレイスのプラグインを介してイルミオのPCEエンジンにAPI呼び出しを即座に自動的に送信します。これにより、イルミオはすべての管理対象ワークロードのポートを閉じるように指示されます。  
• イルミオは、ゼロデイマルウェアの標的ポートを自動的に閉じます。これにより、マルウェアがまだ到着していなくても、ワークロードをマルウェアからプロアクティブに保護します。これは、人間の介入に依存することなく、すぐに有効になります。

イルミオゼロトラストセグメンテーション:サイバー攻撃に迅速に対応する

完全な可視性ときめ細かなマイクロセグメンテーションに加えて、イルミオゼロトラストセグメンテーション(ZTS)プラットフォームは、進化し続けるサイバーセキュリティの脅威に対して、信頼性が高く、スケーラブルで完全に自動化された対応を提供します。  

マルウェアは拡散を望んでいますが、イルミオはSOARプラットフォームと連携してポートを自動的に閉じ、完全に自動化されたワークフローを通じてマルウェアの拡散を阻止できます。次の侵害やランサムウェア攻撃が常にすぐそこまで来ているため、イルミオは、侵害がネットワークの残りの部分に広がったり、ビジネスに影響を与える危機にエスカレートしたりしないように支援します。  

イルミオZTSの詳細については、 今すぐ無料 相談とデモをご利用ください。