Faire figurer Illumio dans le Top 20 de la CEI
Au cours des dernières semaines, nous avons observé une augmentation du nombre de demandes émanant d'entreprises souhaitant comprendre comment Illumio les aide à mettre en œuvre leur initiative de contrôles de sécurité du Center for Internet Security (CIS). Les 20 principales directives de la CEI en matière de contrôles sont largement adoptées et existent depuis plus de 10 ans, avec les dernières version (7.1) publiée en avril 2019, nous avons donc été intrigués par cette tendance. Nous avons discuté avec ces entreprises de leurs motivations et de leur intérêt pour Illumio et nous avons beaucoup appris.
La plupart de ces organisations utilisent les directives sur les meilleures pratiques de la CEI depuis un certain temps, mais la transition rapide vers des modèles opérationnels de travail à distance, combinée à augmentation des cyberattaques les obligent à réévaluer leurs contrôles et leurs outils. Un Enquête auprès des organisations de la société civile d'avril 2020 a révélé que 26 % des personnes interrogées ont constaté une augmentation du volume, de la gravité et/ou de la portée des cyberattaques depuis la mi-mars. Certaines de ces entreprises poursuivent leur transition vers les clouds publics et augmentent l'empreinte de virtualisation au sein de leurs centres de données. Ils souhaitent tous mieux comprendre les lacunes de leurs contrôles de sécurité et de leurs technologies habilitantes.
Dans cette optique, voici un aperçu de haut niveau de la manière dont Illumio soutient les 20 meilleurs contrôles de la CEI.
Présentation des 20 principaux contrôles de sécurité critiques de la CEI
Commençons par une brève introduction à Les 20 principaux contrôles de sécurité critiques de la CEI. Les contrôles ont été initialement créés par les équipes rouge et bleue de la NSA, les laboratoires d'énergie nucléaire du ministère américain de l'Énergie, les forces de l'ordre et certaines des meilleures organisations de criminalistique et de réponse aux incidents du pays.
Les contrôles sont dérivés des plus courants modèles d'attaque mis en évidence dans les principaux rapports sur les menaces et approuvé par une très large communauté de professionnels du gouvernement et de l'industrie. Ils reflètent les connaissances combinées des experts commerciaux et gouvernementaux en criminalistique et en réponse aux incidents.
La mise en œuvre et l'opérationnalisation des 20 principaux contrôles de sécurité de la CEI ne sont pas un exercice ponctuel. La technologie, le paysage des menaces et les techniques d'attaque évoluent constamment. Les contrôles sont mis à jour, validés et affinés chaque année. Ils ne sont pas destinés à remplacer un programme de conformité, mais correspondent en fait à des cadres tels que NIST CSF et des normes de conformité telles que PCI-DSS et HIPAA. Nombre d'entre eux utilisent les contrôles du CIS comme base pour les meilleures pratiques en matière de sécurité de l'information, qu'ils complètent ensuite pour résoudre les problèmes et répondre à des exigences très spécifiques et prescriptives.
Associer Illumio aux 20 meilleures commandes de la CEI
Voici comment les fonctionnalités d'Illumio vous aident à satisfaire ou à soutenir directement un contrôle CIS.
Commandes de base
1. Inventaire et contrôle des actifs matériels. Illumio prend en charge ce contrôle en vous permettant d'utiliser le temps réel carte des dépendances des applications pour identifier et valider les composants matériels du serveur qui appartiennent à un groupe d'applications, ainsi que les serveurs et les périphériques autorisés à se connecter aux applications. Illumio prend en charge l'intégration basée sur des API avec des outils tiers tels que NAC, découverte d'actifs, CMDB ServiceNow et Service Mapping pour valider l'inventaire. L'agent Illumio prend en charge les instances bare-metal, les machines virtuelles, les instances de cloud public, les conteneurs et collecte des informations de télémétrie (adresses IP, ports, processus, protocoles) pour créer la carte de dépendance des applications.
2. Inventaire et contrôle des actifs logiciels. Illumio prend en charge ce contrôle en vous permettant d'utiliser le carte des dépendances des applications pour identifier les applications et les composants de charge de travail qui appartiennent au groupe d'applications et les autres composants de la pile logicielle autorisés à se connecter, y compris les connexions multicloud, conteneur-serveur et les connexions avec des instances de cloud public. Les informations relatives à la connectivité et aux flux enrichissent les informations d'inventaire logiciel qui sont gérées par les outils de gestion des actifs, de CMDB et de SCM. Le modèle de refus par défaut d'Illumio sépare logiquement les applications à haut risque nécessaires aux opérations commerciales. La visibilité sans agent, pour les scénarios dans lesquels les agents ne sont pas pris en charge, comme AWS RDS, Azure Managed SQL, les flux GCP et les fichiers de stockage, est activée à l'aide de la fonctionnalité Flowlink.
3. Gestion continue des vulnérabilités. Illumio prend en charge ce contrôle en s'intégrant aux scanners de vulnérabilité et en ingérant des informations sur les vulnérabilités. Il utilise ces informations pour afficher visuellement malwareles voies d'attaque latérales potentielles de l'appareil. Le Score d'exposition aux vulnérabilités propose un calcul des risques centré sur l'entreprise. Vous pouvez utiliser ces informations pour améliorer votre capacité à hiérarchiser sa stratégie de correctifs et à appliquer une segmentation au niveau des processus pour les cas où l'application de correctifs n'est pas réalisable sur le plan opérationnel.
4. Utilisation contrôlée des privilèges administratifs. Illumio soutient ce contrôle en s'intégrant aux principales solutions MFA. Illumio peut surveiller et appliquer des politiques pour s'assurer que les postes de travail dédiés sont isolés et que le moindre privilège est appliqué. Dans Environnements VDI, les connexions aux applications de charge de travail sont contrôlées en fonction de l'appartenance de l'utilisateur au groupe Microsoft.
5. Configuration sécurisée du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les postes de travail et les serveurs. Illumio prend en charge les outils SCM en fournissant une visibilité sur l'ensemble du trafic et en identifiant rapidement les ports/protocoles utilisés par les charges de travail et les propriétaires d'applications ne attendez-vous, afin qu'ils puissent y remédier rapidement.
6. Maintenance, surveillance et analyse des journaux d'audit.Si un client utilise Illumio pour segmenter son centre de données interne et ses connexions cloud, utilisateur-application et terminal peer-to-peer, Illumio tient un journal de toutes les connexions et de tous les flux de trafic, des événements (trafic autorisé, bloqué, potentiellement bloqué) et l'historique des politiques, règles et événements associés. Les opérateurs autorisés peuvent effectuer des recherches dans la base de données historique du trafic Illumio pour les opérations, la réponse aux incidents et les enquêtes, les rapports et les audits. Illumio s'intègre aux principaux outils SIEM tels que Splunk, QRadar d'IBM, et ArcSight pour archiver, rechercher et corréler de grands ensembles de données de journaux et d'événements à des fins de création de rapports, d'enquêtes et de réponse aux incidents.
Contrôles fondamentaux
9. Limitation et contrôle des ports réseau, des protocoles et des services. Illumio répond directement à ce contrôle. Illumio utilise les informations relatives aux connexions de l'application (historique détaillé des connexions et des flux de trafic, y compris les ports, les processus et les protocoles) pour recommander dans un premier temps les règles de pare-feu applicables. Illumio dispose d'un modèle de refus par défaut, de sorte que les connexions non conformes peuvent être bloquées ou potentiellement bloquées.
11. Configuration sécurisée pour les périphériques réseau, tels que les pare-feux, les routeurs et les commutateurs. Illumio répond directement à ce contrôle. Illumio conserve des informations historiques détaillées et en temps réel sur le trafic et les journaux d'événements afin de confirmer que les périphériques réseau, en particulier les pare-feux est-ouest, font ce qu'ils devraient faire et n'autorisent pas le trafic que la politique de pare-feu devrait interdire. Les utilisateurs peuvent créer une adresse IP négationniste pour bloquer les communications avec des adresses IP Internet connues, malveillantes ou inutilisées. Les utilisateurs peuvent programmer des connexions pour limiter la charge de travail aux connexions de charge de travail à des ports, processus et protocoles spécifiques. Illumio Core met en œuvre la prévention de la falsification des VEN. Vous pouvez implémenter la micro-segmentation avec Illumio afin que les machines d'administration réseau puissent être isolées et bénéficier d'un accès élevé. Vous pouvez implémenter une segmentation plus fine sans devoir reconfigurer l'architecture des VLAN et des sous-réseaux à chaque fois que les besoins de l'entreprise évoluent.
12. Défense des frontières. Illumio répond directement à ce contrôle. Illumio applique une segmentation basée sur l'hôte pour surveiller et contrôler les connexions et les flux entre les applications et les appareils avec différents niveaux de confiance. Vous pouvez réaliser une segmentation fine sans devoir restructurer son infrastructure réseau de manière coûteuse et risquée.
13. Protection des données Illumio répond à cette exigence en empêchant de manière proactive les charges de travail et les utilisateurs non autorisés de se connecter à des applications protégées via un modèle de refus par défaut et en identifiant et bloquant les voies d'attaque latérales potentielles des acteurs malveillants. Illumio détecte et bloque les connexions non autorisées susceptibles de tenter de transférer des informations sensibles et envoie des alertes à la sécurité. Vous pouvez également utiliser Illumio pour programmer et appliquer des politiques qui contrôlent l'accès et les connexions aux fournisseurs de cloud et de messagerie.
14. Accès contrôlé basé sur le besoin de savoir. Illumio répond directement à ce contrôle. Illumio peut être utilisé pour contrôler les connexions autorisées entre les charges de travail, les applications, VDI utilisateurs et appareils. Noyau Illumio peut aider à gérer l'accès à un environnement en gérant à la fois l'accès réseau à un système et éventuellement en gérant l'accès logique. Les adresses IP externes peuvent être spécifiquement ajoutées aux ensembles de règles et appliquées à des groupes en fonction des besoins des utilisateurs pour accéder à ces systèmes (les utilisateurs peuvent être des machines ou des opérateurs individuels). Ces règles peuvent être activées/désactivées au niveau des politiques afin de désactiver immédiatement et efficacement certains accès aux systèmes. Dans les environnements VDI, Segmentation adaptative des utilisateurs peut être utilisé pour autoriser l'accès à certaines ressources en fonction de la politique de groupe Active Directory.
15. Contrôle d'accès sans fil. Illumio prend en charge ce contrôle en programmant et en appliquant la segmentation pour l'accès sans fil sur des appareils et des serveurs autorisés spécifiques et en restreignant l'accès à d'autres réseaux sans fil.
16. Surveillance et contrôle des comptes. Illumio prend en charge ce contrôle en s'intégrant à des outils tiers de SSO et de gouvernance d'accès. Vous pouvez également utiliser le cryptage à la demande d'Illumio pour vous assurer que tous les noms d'utilisateur et informations d'authentification des comptes sont transmis sur les réseaux via des canaux cryptés.
Contrôles organisationnels
18. Sécurité des logiciels d'application. Illumio soutient ce contrôle en appliquant des politiques de microsegmentation pour séparer les systèmes de production des systèmes hors production. Illumio programme également des règles de pare-feu basées sur l'hôte pour garantir que les développeurs ne disposent pas d'un accès sans surveillance et sans entrave aux systèmes de production.
19. Réponse et gestion des incidents. Illumio prend en charge ce contrôle. Les utilisateurs autorisés peuvent extraire des rapports de la base de données historique du trafic Illumio, des événements et des données de journal pour faciliter les enquêtes et les flux de travail de réponse aux incidents.
20. Tests de pénétration et exercices Red Team. Illumio prend en charge ce contrôle. Les organisations peuvent utiliser les informations contenues dans la carte de dépendance des applications, les ensembles de règles et les groupes d'applications comme base de référence pour définir la portée de leurs tests stylo.
Pour résumer
Les événements systémiques déclenchent généralement une évaluation des contrôles de sécurité existants. Illumio aide les entreprises à mettre en œuvre une approche pragmatique pour évaluer et permettre la mise en œuvre de leurs 20 meilleurs contrôles de la CEI. Les entreprises peuvent y parvenir en tirant parti des fonctionnalités suivantes :
- Cartographie des dépendances des applications en temps qui permet d'identifier les nouvelles connexions et les changements dans les connexions aux systèmes à forte valeur ajoutée qui découlent de l'évolution du modèle d'exploitation.
- Vulnerability cards qui calcule et illustre visuellement l'exploitabilité d'une vulnérabilité. Cela permet de hiérarchiser les contrôles et les efforts de segmentation en fonction des actifs et des connexions les plus risqués.
- Segmentation via un modèle de refus par défaut qui ne repose pas sur une nouvelle architecture de l'architecture réseau.
- Integration basée sur une API avec des opérations informatiques tierces, des outils de sécurité et d'analyse qui vous aident à surveiller en permanence les tendances qui introduisent de nouveaux risques pour votre entreprise. Ces intégrations vous aident également à développer et à mettre en œuvre des plans visant à améliorer l'efficacité des contrôles existants.
Les 20 meilleurs contrôles de la CEI offrent une hygiène de sécurité de base, mais il fournit également le cadre permettant de hiérarchiser les lacunes et les contrôles de sécurité qui auront le plus d'impact sur votre organisation.
Si vous souhaitez en savoir plus sur les fonctionnalités d'Illumio, consultez Illumio Noyau.