일루미오 코어의 잘 알려지지 않은 기능: 향상된 데이터 수집

이 연재 에서는Illumio 보안 전문가들이 잘 알려지지 않았지만 그다지 강력하지 않은Illumio Core의기능에 대해 소개합니다.  

저희는 수십 년 동안 탐지 도구를 사용해 왔습니다. 그러나 침해 및 랜섬웨어 공격은 계속해서 증가하고 있습니다.  

사이버 공격은 그 어느 때보다 빠르게 변화하고 있습니다. 모든 침해를 탐지하고 예방하는 것은 불가능하지만, 침해가 발생하면 확산을 막을 수는 있습니다.

Illumio 제로 트러스트 세분화(ZTS)는 침해 및 랜섬웨어 공격이 중요한 자산과 데이터에 도달하기 전에 확산을 차단합니다. 다음 공격을 방지하거나 탐지하는 대신 Illumio ZTS는 네트워크 세그먼트의 문을 잠급니다.

하지만 비즈니스를 운영하기 위해 계속 열려 있어야 하는 소수의 포트는 어떻게 해야 할까요? 일루미오의 향상된 데이터 수집 기능을 사용하면 트래픽 양을 모니터링하여 이상 징후를 발견하고 필요한 경우 조치를 취할 수 있습니다. 이 기능의 작동 방식과 이 기능이 조직에 가져올 수 있는 가치에 대해 자세히 알아보려면 계속 읽어보세요.

위협 탐지만으로는 침해에 대한 보안을 확보할 수 없습니다.

공격자들은 탐지 및 대응 도구가 따라잡을 수 없을 정도로 빠르게 멀웨어와 랜섬웨어를 배포하고 있습니다. Clop 랜섬웨어 그룹의 MOVEit 공격과 같은 제로데이 위협은 탐지 도구를 빠르게 통과하여 네트워크를 통해 즉시 확산될 수 있습니다.  

탐지되지 않은 침해가 확산되는 것을 막을 방법이 없다면 공격자는 몇 분 만에 가장 중요한 리소스에 액세스할 수 있습니다.

첫 번째 워크로드가 손상되면 공격자는 즉시 열려 있는 세션을 찾아 인접한 워크로드로 확산시킬 수 있습니다. 워크로드 간에 일반적으로 열리고 수신 대기하는 포트에는 RDP, SSH 및 SMB가 있습니다. 멀웨어는 이 중 어느 것이든 쉽게 사용하여 주변 워크로드에 페이로드를 전달하고 인프라 전체에 기하급수적인 속도로 확산시킬 수 있습니다.  

Illumio ZTS는 위협 추적 솔루션이 탐지하지 못한 경우에도 모든 침해가 규모에 관계없이 확산되는 것을 차단합니다. 공격자가 네트워크 침입에 가장 자주 사용하는 포트를 차단하여 소수의 중앙 집중식 관리 시스템에 대한 액세스만 허용할 수 있습니다. 즉, 침해에 성공하면 해당 진입 지점으로 격리되고 나머지 네트워크에서는 이동할 수 없게 됩니다.  

위협을 먼저 탐지하고 그 의도를 파악하는 데 리소스를 투입하는 대신, Illumio는 위협이 워크로드 간에 세션과 열린 포트를 사용하여 확산되는 것을 방지합니다. 일루미오는 누군가 문을 부수려고 하는 이유를 파악하기 전에 문을 잠급니다.  

이를 통해 감지되지 않은 작은 보안 문제가 치명적인 사고로 확대되는 것을 방지할 수 있습니다.

향상된 데이터 수집: 비즈니스를 위해 개방 상태를 유지해야 하는 포트 보호

모든 포트 중 100개% 를 차단하면 네트워크를 통해 확산되는 멀웨어로부터 100% 안전합니다. 하지만 이는 또한 비즈니스를 할 수 없는 100% 상태라는 의미이기도 합니다. 예를 들어, 처리 워크로드는 여전히 데이터베이스 워크로드에 액세스해야 합니다.  

Illumio는 오용되지 않도록 계속 열려 있어야 하는 소수의 포트를 어떻게 모니터링하나요?

향상된 데이터 수집 기능을 사용하는 Illumio 가상 시행 노드(VEN) 에이전트는 대부분의 최신 운영 체제에 내장된 방화벽 기능을 시행합니다. 이러한 VEN은 워크로드에 직접 배포되기 때문에 다음과 같은 정보도 수집할 수 있습니다:

• 현재 모든 관리형 호스트에서 실행 중인 프로세스

• 개방형 포트에서 사용되는 트래픽 양  

그런 다음 Illumio 정책 컴퓨팅 엔진(PCE)은 관리되는 워크로드의 특정 오픈 세션에서 보이는 바이트 수를 표시하고 기록합니다.  

예를 들어, DNS 액세스를 활성화하기 위해 포트 53이 워크로드에 열려 있는 경우 VEN은 해당 포트를 통해 표시되는 트래픽 양에 대한 메트릭을 수집할 수 있습니다. 바이트 수에 예상대로 트래픽 양이 적으면 유효한 DNS 트래픽인지 확인하는 데 도움이 됩니다. 그러나 카운트에 동일한 포트를 통과하는 트래픽이 10기가바이트로 표시되면 이는 유효한 DNS 트래픽이 아니라는 위험 신호입니다. 이는 활성 DNS 터널링 위협이 있음을 나타낼 수 있습니다.  

향상된 데이터 수집 기능으로 찾은 트래픽 양을 확인하고 자동으로 조치를 취할 수 있습니다. Splunk와 같은 보안 정보 및 이벤트 관리(SIEM) 솔루션은 일루미오에서 로그를 수집할 수 있습니다. 개방형 포트에서 비정상적인 트래픽 양을 발견하면 보안 오케스트레이션, 자동화 및 대응 (SOAR) 플랫폼을 사용하여 이러한 포트를 차단하기 위한 API 기반 지침을 Illumio에 자동으로 전송할 수 있습니다. 트래픽 이상 징후에 대응하려면 사람이 결정을 내려야 하는 지연 시간을 피하기 위해 자동화된 대응이 필요합니다.  

향상된 데이터 수집의 작동 방식

향상된 데이터 수집 기능은 두 가지 방법으로 사용할 수 있습니다:  

• 프로파일 페어링: VEN은 처음 페어링될 때 워크로드의 세션에 대한 바이트 수를 계산하기 시작합니다.  

• 워크로드: 이미 배포된 워크로드에서 바이트가 카운트되기 시작합니다.

‍

이 기능은 적용된 세션의 모든 트래픽에 대한 트래픽 양을 수집하고 기록합니다. 그런 다음 Illumio의 PCE 그래픽 사용자 인터페이스(GUI)의 트래픽 옵션에서 이 데이터를 볼 수 있습니다.

향상된 데이터 수집 기능은 트래픽을 가로채지 않고도 위협 행위를 탐지할 수 있습니다. Illumio는 관리되는 워크로드 프로세스 및 해당 워크로드의 예상 동작을 모니터링하여 관리 플레인에서 트래픽 양을 전적으로 감지합니다. 이렇게 하면 데이터 플레인에서 병목 현상이 발생할 위험을 방지할 수 있습니다.  

Illumio로 다음 침해 또는 랜섬웨어 공격에 대비하세요.

위협 추적 솔루션은 여전히 제로 트러스트 아키텍처의 중요한 부분입니다. 하지만 제로 트러스트 기반을 구축하려면 제로 트러스트 세분화가 필수적입니다.

제로 트러스트는 네트워크를 더 복잡하게 만드는 것이 아니라 단순화해야 합니다. Illumio ZTS는 복잡한 보안 문제에 대한 간단한 솔루션을 제공합니다.  

향상된 데이터 수집 기능 사용에 대해 자세히 알아보려면 지금 바로 문의하여 무료 상담 및 데모를 신청하세요.