.png)
サイバー災害が今も発生している理由とその修正方法
歴史的に、公共部門と民間部門の両方のサイバーセキュリティは、予防と検出という一貫したテーマに従ってきました。
問題を。予防と検出だけでは十分ではありません。侵害は今も続いています。
何十年にもわたって攻撃者による直接攻撃を防止および検出しようと試みてきましたが、失敗した後、封じ込めに焦点を移す時が来ました。アインシュタインが実際に言ったかどうかは別として、自明の理は依然として正確です:狂気の定義は、同じことを何度も繰り返し、異なる結果を期待することです。
従来のセキュリティ手法では、現代の敵と戦うには十分ではありません
ほとんどのセキュリティチームの取り組みは、脅威がデータセンターやクラウドに侵入するのを防ぐことに重点を置いてきました。
南北の境界、つまり信頼できない外部と信頼できる内部の境界は、セキュリティツールの大部分が配置されている場所です。ここには、 次世代ファイアウォール、ウイルス対策スキャナー、プロキシ、その他のセキュリティツールが導入され、すべての受信トラフィックを検査して、悪いものが漏れないようにします。
しかし、過去数年間の大規模なセキュリティ侵害はすべて、これらのツールの少なくとも1つが導入されており、そのほとんどがセキュリティ要件に準拠していました。しかし、敵対者はネットワークへの侵入に成功しています。
そして、ネットワークに入ると、すべての敵には、動くのが好きという共通点があります。それらは東西に横方向に広がり、ホストからホストへと移動して、データ流出の意図したターゲットを探します。
これらの侵害の多くは、ネットワークに侵入してからずっと後、場合によっては数か月後に発見されました。予防から検出に移行したとしても、今日のツールは、被害が及ぶまで検出を回避することに非常に長けている現代の敵対者には敵いません。
一度侵害されると、ほとんどのネットワークは東西伝播に対して広く開かれます
サイバーセキュリティに対する従来のアプローチでは、境界の外側にあるものはすべて信頼できないものとして定義され、境界内のものはすべて信頼できるものとして定義されます。その結果、攻撃者が信頼できるコア内に侵入すると、攻撃者が横方向に拡散するのを防ぐものはほとんどないことがよくあります。
ホストからホストへ、アプリケーションからアプリケーションへ、ネットワークセグメント全体に分散するということは、ほとんどのワークロードが動きの速い敵に身をかわせていることを意味します。また、ネットワークセグメントは通常、ホスト間での拡散を防ぐのに非常に効果がありません。
ネットワークセグメントは、DDoS や ARP スプーフィングなどのネットワークの問題を防ぐように設計されています。VLAN、IP サブネット、ルーティング ピアリング ポイント、および SDN オーバーレイ ネットワークは、これらの問題を制御し、ネットワーク内のトラフィック エンジニアリングを有効にするために作成されます。しかし、攻撃者は通常、正規のトラフィックのように見えるポートを介してホスト間で伝播するため、これらのネットワークセグメントを簡単に通過します。
ネットワークデバイスはパケットヘッダーを調べ、これらのヘッダーで見つかったポートに基づいてトラフィックをブロックまたは許可します。しかし、攻撃者を発見するには、パケットのデータペイロードを深く調査する必要があり、そのためには、すべての東西トラフィックの経路にあるすべてのホスト間にファイアウォールを展開する必要があります。
これはすぐにコストがかかり、潜在的なネットワークのボトルネックとなり、すべてのパケットを「クラックオープン」して検査する必要があり、シグネチャ、「サンドボックス」、AI、機械学習、またはその他の複雑な方法に依存して、ネットワークの速度を低下させることなく敵対者を発見しようとします。
このアプローチを試みたとしても、すぐに放棄されるか削減され、苦労して勝ち取った予算のROIは得られません。これにより、東西の伝播を防ぐものはほとんど残らず、宿主は大きく開いたままです。
避けられない侵害が発生すると、人々は非難し始めます。
ゼロトラストセグメンテーションのない組織は、勝てない戦争を戦っている
すべての周囲は多孔質です。99% の有効な境界セキュリティ境界でさえ、最終的には突破されます。あるいは、セキュリティ侵害が偶発的または意図的に内部から侵入します。
さらに高価なセキュリティツールを境界に展開しようとし、ホストがネットワーク全体にいかなる種類の脅威も伝播していないと信頼し続けている企業は、翌日には直接攻撃の最新の犠牲者としてニュースに取り上げられるでしょう。
東西のファブリック全体にセキュリティを実装することを無視する人は、負け戦を戦うことになります。
マイクロセグメンテーションは、すべてのリソースがネットワーク境界から切り離された信頼境界であるゼロ トラストアーキテクチャ の主要な部分です。
イルミオは、データセンターとクラウド内の東西の脅威ベクトルを大規模に保護します。
すべてのワークロードは、他のすべてのワークロードからマイクロセグメント化され、ホスト間に最小権限のアクセス モデルが適用され、ホストはネットワーク アドレスではなくメタデータ駆動型モデルを使用して識別されます。つまり、ホストにデプロイされたワークロードは、場所ではなく機能によって識別され、ホスト間のネットワーク動作を明確に視覚化できます。
マイクロセグメンテーションの詳細については 、こちらをご覧ください。
アプリケーションがネットワーク上でどのように通信しているかを可視化
アプリケーション中心の観点から、アプリケーション間のネットワークトラフィックを可視化することは、データセンターの物理デバイスまたはパブリッククラウドの仮想デバイスのいずれかのネットワークデバイスを使用して困難です。
これは、スイッチ、ルーター、ファイアウォール、または監視ツールからのアプリケーションの動作と依存関係を視覚化するには、通常、ネットワーク動作をアプリケーションの動作に変換し、アプリケーションとホストの間で「誰が誰に何をしているのか」を発見する必要があるためです。多くの場合、これは明らかにするよりもすぐに混乱を招きます。
アプリケーションがネットワーク上で相互に通信する方法を視覚化するには、それらのアプリケーションが存在するホストに直接デプロイされたソリューションが必要です。
イルミオは、データセンターとクラウド内のすべてのアプリケーション間の非常に明確で正確な 依存関係マップ を可能にします。ホストは、機能や所有権などのメタデータに基づいてグループ化され、ホスト間のトラフィックフローがすべて明確に表示されます。
これにより、コンプライアンス違反と、ネットワークやクラウドに触れることなくホストが相互に通信する方法を非常に迅速に発見できます。
イルミオは、環境全体で誰が誰に何をしているのかを大規模に明らかにし、ホスト間のリスクを定量化し、どの危険なポートが潜在的な侵害にさらされているかを示すのに役立ちます。
イルミオゼロトラストセグメンテーションを実装して、敵対者の東西移動を阻止します
防止セキュリティ モデルは時代遅れであり、検出セキュリティ モデルは、横方向の伝播を防ぐのに十分な速度ではありません。
最新のセキュリティモデルでは、侵害が発生するか、すでに発生していると想定する必要があります。この考え方は、侵害されたホストの健全性を維持しようとすることに焦点を当てるのではなく、攻撃者が誰であるかを正確に理解することなく、敵を迅速に隔離し、拡散を防ぎます。
Illumioのソリューションを使用して、アプリケーションの観点からアプリケーション中心のセキュリティを実現するEast-Westの脅威ベクトルを適用および視覚化できます。
侵害が国家が支援する敵対者によるものであろうと犯罪組織によるものであろうと、その脅威は隔離され、拡散が防止されます。
狂気は止めるべきであり、止めることができます。
イルミオのゼロトラストセグメンテーションについてもっと知りたいですか?今すぐお問い合わせください。
