일루미오 코어의 잘 알려지지 않은 기능: SOAR 플랫폼 통합

이 시리즈에서는 일루미오 보안 전문가들이 잘 알려지지 않았지만 그다지 강력하지 않은 다음과 같은 기능을 강조합니다. Illumio Core.  

침해 및 랜섬웨어 공격은 기존의 많은 예방 및 탐지 기술이 대응할 수 있는 속도보다 빠르게 진화하고 있습니다.  

멀웨어는 사람이 대응할 수 있는 속도보다 훨씬 빠른 몇 초 만에 확산될 수 있습니다. 모든 보안 아키텍처에서 가장 취약한 고리는 키보드와 의자 사이라는 것은 사이버 보안 업계의 진리입니다. 자동화된 멀웨어 전파에 대한 해결책은 똑같이 자동화된 보안 대응이어야 합니다.  

일루미오 코어와 타사 SOAR 플랫폼의 통합을 통해 알려지지 않은 새로운 멀웨어가 자동으로 격리되고 차단된다는 확신을 가질 수 있습니다.  

지금 침해 차단이 중요한 이유

모든 멀웨어는 이동을 좋아한다는 한 가지 공통점이 있습니다.  

처음 침해된 워크로드가 의도된 타깃인 경우는 거의 없습니다. 정보를 수집하기 위한 네트워크의 '발판'으로 사용됩니다. 이러한 인사이트를 통해 멀웨어와 제어 시스템은 명령 및 제어 트래픽을 교환합니다. 궁극적으로 제어 시스템은 멀웨어가 네트워크를 통해 전파하는 방법을 지시합니다.

나쁜 소식은? 이 모든 일이 단 몇 초 만에 이루어집니다.

침해와 랜섬웨어 공격은 피할 수 없으며, 기존의 예방 및 탐지 도구만으로는 오늘날의 공격을 막을 수 없습니다. 규모, 지역, 업종에 관계없이 모든 조직은 예방 및 탐지 도구와 더불어 침해 차단 전략의 우선순위를 정해야 합니다. 이를 통해 다음 침해 사고가 운영을 중단하고 민감한 데이터를 노출하며 고객, 이해관계자 및 직원의 신뢰를 떨어뜨리는 치명적인 사건으로 이어지지 않도록 할 수 있습니다.  

현대의 사이버 보안은 침해 예방에서 침해 생존으로 나아가는 것으로 정의됩니다.  침해 전파를 막는 것은 침해 발생을 막는 것만큼이나 강력한 우선 순위가 되어야 합니다.  ‍

일루미오로 침해 사고에 선제적으로 대비하세요.

안타깝게도 100% 효과적인 침해 방지 솔루션은 존재하지 않으며, 침해는 반드시 발생합니다. 불가피한 침해가 발생하면 Illumio는 모든 호스트에서 열린 포트를 사전에 비활성화하여 주변 호스트로 확산되는 것을 차단합니다.  

대부분의 호스트와 워크로드는 서로 간에 연결을 설정할 필요가 없습니다. 오히려 일반적으로 소규모의 공통 리소스 집합에 연결하거나 아웃바운드 연결만 하면 됩니다. 예를 들어 데이터 센터나 클라우드 환경에 배포된 모든 워크로드가 서로 직접 연결해야 하는 경우는 드뭅니다.  

불필요하게 열린 포트가 야기할 수 있는 위험을 완화하기 위해 Illumio는 두 가지 방법 중 하나로 워크로드를 강제할 수 있습니다:  

• 선택적 적용: 특정 포트는 차단되고 다른 모든 트래픽은 허용됩니다.  
• 전면 시행: 특정 포트가 차단되고 다른 모든 트래픽이 거부됩니다.  

선택적 적용은 RDP 및 SSH와 같이 워크로드 간에 허용하지 않으려는 트래픽을 알고 있는 경우에 사용할 수 있습니다. 하지만 멀웨어는 끊임없이 진화하며 새로운 포트를 찾고 있습니다. 따라서 멀웨어의 확산을 차단하는 데 훨씬 더 효과적이므로 전체 적용을 사용하는 것이 가장 좋습니다. 전면 시행 시 Illumio는 규모에 관계없이 모든 워크로드의 모든 포트를 비활성화한 다음 필요에 따라 예외적으로 개방형 포트를 허용합니다.  

결과는 아래의 전체 적용 예시와 같습니다. 왼쪽 이미지에서 워크로드가 통신할 수 없는 이유는 Illumio에서 기본 개방형 포트가 비활성화되었기 때문입니다(빨간색 화살표). 오른쪽 이미지에서 Illumio는 예외(녹색 화살표)를 활성화하여 특정 포트를 통한 특정 애플리케이션 그룹 간의 트래픽만 허용합니다:

일루미오를 완전히 적용하면 감염된 호스트는 소수의 포트만 열려 있기 때문에 멀웨어가 멀리 이동하지 못하며, 이는 멀웨어가 얼마나 새롭거나 복잡한지에 관계없이 마찬가지입니다. 이로 인해 공격의 폭발 반경이 크게 줄어들어 치명적인 침해가 될 수도 있었던 보안 사고가 운영에 영향을 미치거나 막대한 복구 비용이 필요하지 않은 작은 보안 사고로 바뀝니다.  

일루미오의 SOAR 통합을 통한 정책 변경 자동화

사이버 보안에서 한 가지 진실이 있다면, 상황은 끊임없이 변화한다는 것입니다. 오늘날의 위협 환경과 네트워크의 복잡성은 보안 조치가 정적인 상태를 유지할 수 없음을 의미합니다. 조직은 시행 정책을 실시간으로 업데이트할 수 있는 방법이 있어야 합니다.

Illumio는 SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼과의 통합을 통해 보안 정책을 실시간으로 완전히 자동화하여 변경할 수 있습니다.  

SOAR 플랫폼은 SIEM(보안 정보 및 이벤트 관리) 플랫폼과 다르다는 점에 유의해야 합니다. Illumio는 로그를 Splunk와 같은 SIEM 플랫폼으로 전달하여 Illumio가 관리하는 워크로드에서 로깅된 이벤트를 분석하여 위험 신호를 찾을 수 있습니다. 하지만 위험 포트를 발견하더라도 SIEM은 위험 포트를 닫으라는 명령을 일루미오에 다시 보낼 방법이 없습니다. 이 기능은 SOAR 플랫폼을 통해 사용할 수 있습니다.

Illumio는 세 가지 타사 SOAR 시스템과 통합됩니다: Splunk SOAR, IBM QRadar SOAR, 팔로알토 네트웍스 Cortex XSOAR입니다. 일루미오와 SOAR의 통합은 이러한 단계를 통해 빠른 심층 방어를 제공합니다:

• SOAR 플랫폼은 위협 환경을 모니터링하여 특정 포트를 사용하여 확산되는 이전에 알려지지 않은 새로운 제로데이 멀웨어를 찾습니다.
• SOAR 플랫폼은 새로운 멀웨어가 새로운 포트를 사용하여 확산되는 것을 발견하면 각 벤더의 마켓플레이스에 있는 플러그인을 통해 즉시 자동으로 일루미오의 PCE 엔진에 API 호출을 보냅니다. 이렇게 하면 Illumio가 관리되는 모든 워크로드에서 포트를 닫도록 지시합니다.  
• Illumio는 제로데이 멀웨어의 표적이 되는 포트를 자동으로 닫습니다. 이렇게 하면 멀웨어가 아직 도착하지 않았더라도 멀웨어로부터 워크로드를 선제적으로 보호할 수 있습니다. 이 기능은 사람의 개입 없이도 즉시 사용할 수 있습니다.

‍일루미오제로 트러스트 세분화: 사이버 공격에 더 빠르게 대응

완벽한 가시성과 세분화된 마이크로세그멘테이션 외에도 Illumio 제로 트러스트 세분화(ZTS) 플랫폼은 끊임없이 진화하는 사이버 보안 위협에 안정적이고 확장 가능하며 완전히 자동화된 대응 기능을 제공합니다.  

멀웨어는 확산되기를 원하는데, 일루미오는 SOAR 플랫폼과 함께 포트를 자동으로 닫아 완전히 자동화된 워크플로우를 통해 멀웨어가 확산되는 것을 막을 수 있습니다. 다음 침해 또는 랜섬웨어 공격이 항상 코앞에 있는 상황에서 Illumio는 침해가 네트워크의 나머지 부분으로 확산되거나 비즈니스에 영향을 미치는 위기로 확대되지 않도록 조직이 보호할 수 있도록 지원합니다.  

Illumio ZTS에 대해 자세히 알아보려면 지금 바로 문의하여 무료 상담 및 데모를 신청하세요.