/
Produits Illumio

Fonctionnalités peu connues d'Illumio Core : intégrations des plateformes SOAR

Dans cette série, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités les moins connues (mais non moins puissantes) de Noyau Illumio.

Les violations et les attaques de rançongiciels évoluent rapidement, plus rapidement que ne peuvent réagir de nombreuses technologies de prévention et de détection traditionnelles.

Les malwares peuvent se propager en quelques secondes, bien plus vite que n'importe quel humain ne peut réagir. Il est courant dans le secteur de la cybersécurité que le maillon le plus faible de toute architecture de sécurité se situe entre le clavier et la chaise. La solution à la propagation automatique des malwares doit être une réponse de sécurité tout aussi automatisée.

Grâce à l'intégration d'Illumio Core à des plateformes SOAR tierces, vous pouvez être sûr que les malwares nouveaux et inconnus seront automatiquement isolés et contenus.

Pourquoi le confinement des brèches est important aujourd'hui

Tous les malwares ont un point commun : ils aiment se déplacer.

La première violation de charge de travail est rarement la cible visée. Il est utilisé comme un « pied dans la porte » de votre réseau pour recueillir des informations. Grâce à ces informations, le malware et son système de contrôle échangent du trafic de commande et de contrôle. En fin de compte, le système de contrôle indique au logiciel malveillant comment se propager sur le réseau.

La mauvaise nouvelle ? Tout cela se passe en quelques secondes.

Les violations et les attaques de rançongiciels sont inévitables, et vos outils de prévention et de détection traditionnels ne suffisent pas à stopper les attaques actuelles. Les entreprises de toutes tailles, de toutes régions et de tous secteurs doivent donner la priorité aux stratégies de confinement des failles en plus de leurs outils de prévention et de détection. Cela garantit que la prochaine faille ne se transforme pas en un événement catastrophique qui interrompt les opérations, expose des données sensibles et mine la confiance de vos clients, de vos parties prenantes et de vos employés.

La cybersécurité moderne se définit en passant de la prévention des violations à survie à une brèche. L'arrêt de la propagation des violations doit être une priorité aussi importante que la prévention d'une violation.

Préparez-vous de manière proactive aux violations avec Illumio

Malheureusement, aucune solution de prévention des violations ne sera efficace à 100 % ; une violation se produira. Une fois cette faille inévitable survenue, Illumio l'empêche de se propager aux hôtes voisins en désactivant de manière proactive les ports ouverts sur tous les hôtes.

La plupart des hôtes et leurs charges de travail n'ont pas besoin d'établir de connexions entre eux. Au contraire, ils n'ont généralement besoin que de se connecter à un petit ensemble de ressources communes ou d'établir des connexions sortantes. Par exemple, il est rare que toutes les charges de travail déployées dans un centre de données ou un environnement cloud aient besoin de se connecter directement les unes aux autres.

Pour atténuer les risques que peut entraîner l'ouverture inutile de ports, Illumio peut appliquer les charges de travail de deux manières :

  • Exécution sélective : Des ports spécifiques sont bloqués et tous les autres trafics sont bloqués permis.
  • Mise en œuvre intégrale : Des ports spécifiques sont bloqués et tous les autres trafics sont bloqués nié.

L'application sélective peut être utilisée lorsque vous savez quel trafic vous ne souhaitez pas autoriser entre les charges de travail, tel que RDP et SSH. Cependant, les malwares évoluent constamment et trouvent de nouveaux ports à utiliser. Pour cette raison, il est préférable d'utiliser une application complète, car elle est beaucoup plus efficace pour bloquer la propagation des logiciels malveillants. En pleine application, Illumio désactivera tous les ports de toutes les charges de travail à n'importe quelle échelle, puis autorisera l'ouverture de ports par exception si nécessaire.

Le résultat ressemblera à l'exemple d'application complète ci-dessous. Dans l'image de gauche, les charges de travail ne peuvent pas communiquer (flèches rouges) car les ports ouverts par défaut ont été désactivés par Illumio. Sur l'image de droite, Illumio a activé les exceptions (flèches vertes) pour autoriser uniquement le trafic entre des groupes d'applications spécifiques sur des ports spécifiques :

Illumio preemptively closes all open ports, then enables required exceptions.

En pleine application avec Illumio, les hôtes infectés n'autoriseront pas les malwares à se déplacer très loin, car seuls quelques ports sont ouverts, ce qui est vrai indépendamment de la nouveauté ou de la complexité du malware. Cela réduit considérablement le rayon d'action d'une attaque, transformant ce qui aurait pu être une faille catastrophique en un incident de sécurité mineur qui n'a pas d'impact sur les opérations ni ne nécessite des coûts de remédiation démesurés.

Automatisez les changements de politique grâce aux intégrations SOAR d'Illumio

S'il y a une chose qui est vraie en matière de cybersécurité, c'est que les choses changent constamment. Le paysage actuel des menaces et la complexité des réseaux actuels signifient que les mesures de sécurité ne peuvent pas rester statiques. Les organisations doivent disposer d'un moyen de mettre à jour les politiques d'application en temps réel.

Illumio permet de modifier ses politiques de sécurité de manière entièrement automatisée et en temps réel grâce à des intégrations avec les plateformes SOAR (Security Orchestration, Automation, and Response).

Il est important de noter que les plateformes SOAR sont différentes des plateformes SIEM (Security Information and Event Management). Illumio peut transférer les journaux vers une plateforme SIEM telle que Splunk pour analyser les événements enregistrés sur les charges de travail gérées par Illumio, à la recherche de signaux d'alarme. Mais s'il en trouve, le SIEM n'a aucun moyen de renvoyer des commandes à Illumio pour fermer les ports à risque. Cette fonctionnalité est activée via une plateforme SOAR.

Illumio s'intègre à trois systèmes SOAR tiers : Splunk SOAR, IBM QRadar SOARet Palo Alto Networks Cortex XSOAR. Les intégrations Illumio + SOAR permettent une défense en profondeur rapide en suivant les étapes suivantes :

  • Les plateformes SOAR surveillent le paysage des menaces à la recherche de nouveaux malwares de type « zero day », jusqu'alors inconnus, qui utilisent des ports spécifiques pour se propager.
  • Si la plateforme SOAR constate qu'un nouveau malware utilise un nouveau port pour se propager, elle enverra immédiatement et automatiquement des appels d'API au moteur PCE d'Illumio via un plugin sur la place de marché de chaque fournisseur. Cela indique à Illumio de fermer les ports de toutes les charges de travail gérées.
  • Illumio fermera automatiquement les ports ciblés du malware Zero-Day. Cela permettra de protéger les charges de travail de manière proactive contre le malware, même s'il n'est pas encore arrivé. Ceci est activé immédiatement, sans aucune intervention humaine.
Through its integration with leading SOAR platforms, Illumio can proactively secure vulnerable ports targeted by zero-day malware with an automated workflow.
Grâce à son intégration aux principales plateformes SOAR, Illumio peut sécuriser de manière proactive les ports vulnérables ciblés par des logiciels malveillants de type « jour zéro » grâce à un flux de travail automatisé.

Segmentation Illumio Zero Trust : répondez plus rapidement aux cyberattaques

En plus de visibilité complète et microsegmentation granulaire, le Plateforme de segmentation Illumio Zero Trust (ZTS) fournit une réponse fiable, évolutive et entièrement automatisée aux menaces de cybersécurité en constante évolution.

Les malwares veulent se propager, et Illumio, en association avec les plateformes SOAR, peut fermer automatiquement les ports, empêchant ainsi la propagation des malwares grâce à un flux de travail entièrement automatisé. Alors que la prochaine faille ou attaque par rançongiciel est toujours imminente, Illumio aide votre organisation à s'assurer que les violations ne peuvent pas se propager au reste du réseau ou dégénérer en une crise ayant un impact sur l'entreprise.

Pour en savoir plus sur Illumio ZTS, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.

Sujets connexes

Articles connexes

Fonctionnalités peu connues d'Illumio Core : services virtuels
Produits Illumio

Fonctionnalités peu connues d'Illumio Core : services virtuels

Découvrez comment tirer parti des services virtuels d'Illumio Core pour sécuriser vos hôtes, leurs applications et leurs processus avec et sans agent.

Exploiter le langage naturel pour définir et simplifier les politiques de microsegmentation
Produits Illumio

Exploiter le langage naturel pour définir et simplifier les politiques de microsegmentation

L'utilisation du langage naturel peut refléter la façon dont les utilisateurs perçoivent les ressources protégées ainsi que leur attitude à l'égard de la sécurité en général.

Pourquoi acceptons-nous les angles morts en matière de visibilité du trafic sur les terminaux ?
Produits Illumio

Pourquoi acceptons-nous les angles morts en matière de visibilité du trafic sur les terminaux ?

Découvrez comment obtenir une visibilité centralisée de bout en bout sur les terminaux avec Illumio Endpoint.

Illumio s'intègre à Splunk pour améliorer le temps de réponse des opérations de sécurité
Partenaires et intégrations

Illumio s'intègre à Splunk pour améliorer le temps de réponse des opérations de sécurité

La technologie de microsegmentation adaptative Illumio est en train de devenir rapidement un élément fondamental de la pile de sécurité et un outil essentiel pour protéger les applications exécutées dans les centres de données et les environnements cloud.

Rationalisation des opérations de sécurité avec Illumio et IBM QRadar
Partenaires et intégrations

Rationalisation des opérations de sécurité avec Illumio et IBM QRadar

Comment l'application Illumio pour QRadar améliore le SIEM afin d'isoler rapidement les attaques et de détecter les compromis potentiels.

Comment la segmentation Zero Trust arrête les rançongiciels 4 fois plus rapidement que la détection et la réponse à elles seules
Segmentation Zero Trust

Comment la segmentation Zero Trust arrête les rançongiciels 4 fois plus rapidement que la détection et la réponse à elles seules

Une récente émulation d'attaque de ransomware menée par Bishop Fox a montré que Zero Trust Segmentation stoppe la propagation des rançongiciels en moins de 10 minutes.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?