Illumio wurde in The Forrester Wave™: Microsegmentation Solutions, Q3 2024 als führendes Unternehmen ausgezeichnet.

HOLEN SIE SICH DEN BERICHT
Blog
/
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Verbesserte Datenerfassung

Christer Swartz
,
Marketingleiter für Lösungen
August 5, 2024
23 min. Lesedauer

In dieser fortlaufenden Serie heben die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.

Wir verwenden seit Jahrzehnten Erkennungstools. Die Zahl der Sicherheitslücken und Ransomware-Angriffe nimmt jedoch weiter zu.

Cyberangriffe verändern sich und bewegen sich schneller als je zuvor. Es ist unmöglich, alle Sicherheitslücken zu erkennen und zu verhindern, aber wir können ihre Ausbreitung stoppen, wenn sie passieren.

Illumio Zero Trust Segmentation (ZTS) stoppt die Ausbreitung von Sicherheitslücken und Ransomware-Angriffen, bevor diese Ihre kritischen Ressourcen und Daten erreichen können. Anstatt zu versuchen, den nächsten Angriff zu verhindern oder zu erkennen, verriegelt Illumio ZTS die Tür zu Ihren Netzwerksegmenten.

Aber was ist mit der kleinen Anzahl von Anschlüssen, die geöffnet bleiben müssen, damit Sie Ihr Unternehmen betreiben können? Die erweiterte Datenerfassungsfunktion von Illumio hilft Ihnen dabei, Ihr Verkehrsaufkommen zu überwachen, um Anomalien zu erkennen und gegebenenfalls Maßnahmen zu ergreifen. Lesen Sie weiter, um mehr darüber zu erfahren, wie diese Funktion funktioniert und welchen Nutzen sie für Ihr Unternehmen haben kann.

Bedrohungserkennung reicht nicht aus, um sich vor Sicherheitslücken zu schützen

Angreifer setzen Malware und Ransomware schneller ein, als Erkennungs- und Reaktionstools mithalten können. Zero-Day-Bedrohungen wie die MOVEit-Angriffe von der Clop-Ransomware-Gruppe, kann schnell an Erkennungstools vorbeigehen und sich sofort in Ihrem Netzwerk ausbreiten.

Wenn Sie keine Möglichkeit haben, die Ausbreitung unentdeckter Sicherheitslücken zu verhindern, können Angreifer innerhalb von Minuten auf Ihre wichtigsten Ressourcen zugreifen.

Nachdem der erste Workload kompromittiert wurde, suchen die Angreifer sofort nach offenen Sitzungen, damit sie sich auf benachbarte Workloads ausbreiten können. Zu den Ports, die häufig geöffnet werden und zwischen Workloads lauschen, gehören RDP, SSH und SMB. Jede dieser Verbindungen kann leicht von Schadsoftware genutzt werden, um ihre Nutzlast an benachbarte Workloads weiterzuleiten und sich mit exponentieller Geschwindigkeit über die gesamte Infrastruktur auszubreiten.

Illumio ZTS verhindert, dass sich Sicherheitslücken in jeder Größenordnung ausbreiten, auch wenn sie von Lösungen zur Bedrohungssuche nicht entdeckt wurden. Sie können die Ports blockieren, die Angreifer am häufigsten verwenden, um in Netzwerke einzudringen, sodass nur der Zugriff auf eine kleine Anzahl zentralisierter Managementsysteme möglich ist. Das bedeutet, dass jeder erfolgreiche Angriff bis zum Eintrittspunkt isoliert wird und sich nicht durch den Rest des Netzwerks bewegen kann.

Anstatt Ressourcen darauf zu verwenden, zuerst eine Bedrohung zu erkennen und dann ihre Absicht zu verstehen, verhindert Illumio einfach, dass Bedrohungen Sitzungen und offene Ports zwischen Workloads nutzen, um sich auszubreiten. Illumio verschließt die Türen, bevor es versucht zu verstehen, warum jemand versucht, sie zu zerstören.

Dadurch wird sichergestellt, dass ein kleines, unentdecktes Sicherheitsproblem nicht stillschweigend zu einem katastrophalen Vorfall eskalieren kann.

Verbesserte Datenerfassung: Sicherung von Häfen, die für den Geschäftsbetrieb geöffnet bleiben müssen

Wenn Sie 100% aller Ports überall blockieren, sind Sie zu 100% vor Malware geschützt, die sich in Ihrem Netzwerk verbreitet. Es bedeutet aber auch, dass Sie zu 100% nicht in der Lage sind, Geschäfte zu tätigen. Beispielsweise benötigen Verarbeitungsarbeitslasten weiterhin Zugriff auf Datenbank-Workloads.

Wie überwacht Illumio die kleine Anzahl von Anschlüssen, die geöffnet bleiben müssen, um sicherzustellen, dass sie nicht missbraucht werden?

Mit dem Verbesserte Datenerfassungsfunktion, Agenten von Illumio Virtual Enforcement Node (VEN) setzen die in den meisten modernen Betriebssystemen integrierten Firewalling-Funktionen durch. Da diese VENs direkt auf einem Workload eingesetzt werden, sind sie auch in der Lage, Informationen zu folgenden Themen zu sammeln:

  • Prozesse, die derzeit auf allen verwalteten Hosts ausgeführt werden
  • Das Verkehrsvolumen, das auf offenen Ports verwendet wird

Die Illumio Policy Compute Engine (PCE) zeigt dann die Anzahl der Byte an, die in bestimmten offenen Sitzungen verwalteter Workloads gesehen wurden, und protokolliert sie.

Wenn beispielsweise Port 53 auf einem Workload geöffnet bleibt, um den DNS-Zugriff zu ermöglichen, kann der VEN Messwerte zum Datenverkehrsvolumen über diesen Port sammeln. Wenn die Byteanzahl erwartungsgemäß ein geringes Verkehrsvolumen anzeigt, hilft dies sicherzustellen, dass es sich um gültigen DNS-Verkehr handelt. Wenn die Zählung jedoch zeigt, dass 10 Gigabyte an Datenverkehr über denselben Port laufen, ist dies ein Warnsignal, dass es sich nicht um gültigen DNS-Verkehr handelt. Dies könnte darauf hindeuten, dass eine aktive DNS-Tunneling-Bedrohung besteht.

Sie können das Verkehrsaufkommen anzeigen, das mit der Funktion „Erweiterte Datenerfassung“ ermittelt wurde, und automatisch Maßnahmen ergreifen. Eine SIEM-Lösung (Security Information and Event Management), wie Splunk, kann Baumstämme von Illumio ernten. Wenn das Unternehmen ein ungewöhnliches Verkehrsaufkommen an offenen Ports feststellt, kann es seine Sicherheitsorchestrierung, Automatisierung und Reaktion nutzen (SOAR) -Plattform um automatisch API-gesteuerte Anweisungen an Illumio zu senden, um diese Ports zu blockieren. Um auf Verkehrsanomalien zu reagieren, ist eine automatische Antwort um die Verzögerung zu vermeiden, die dadurch entsteht, dass ein Mensch eine Entscheidung treffen muss.

So funktioniert die erweiterte Datenerfassung

Sie können die erweiterte Datenerfassung auf zwei Arten verwenden:

  • Profile koppeln: Die VENs beginnen, Bytes für Sitzungen auf Workloads zu zählen, sobald sie ursprünglich gepaart wurden.
  • Arbeitslasten: Die Bytezählung beginnt für Workloads, die bereits bereitgestellt wurden.
Enhanced Data Collection feature existing workloads
Enhanced Data Collection feature Pairing Profiles
Sie können das Verkehrsvolumen aufzeichnen, wenn Workloads gepaart werden (oben) oder zu vorhandenen Workloads (unten)

Die Funktion erfasst und protokolliert das Verkehrsvolumen für den gesamten Datenverkehr in einer erzwungenen Sitzung. Sie können diese Daten dann in der Option Traffic der grafischen PCE-Benutzeroberfläche (GUI) von Illumio anzeigen.

Illumio PCE GUI's Traffic option
Zeigen Sie das Verkehrsvolumen in der Option Traffic der PCE-GUI an.

Die erweiterte Datenerfassung kann Bedrohungsverhalten erkennen, ohne dass der Datenverkehr abgefangen werden muss. Illumio erkennt das Verkehrsaufkommen vollständig von der Managementebene aus, indem es die verwalteten Workload-Prozesse und das erwartete Verhalten dieser Workloads überwacht. Dadurch wird das Risiko eines Engpasses auf der Datenebene vermieden.

Bereiten Sie sich mit Illumio auf den nächsten Sicherheitsverstoß oder Ransomware-Angriff vor

Lösungen zur Bedrohungssuche sind immer noch ein wichtiger Bestandteil einer Zero-Trust-Architektur. Um Ihre Zero-Trust-Grundlage aufzubauen, ist eine Zero-Trust-Segmentierung jedoch von entscheidender Bedeutung.

Zero Trust sollte Ihr Netzwerk nicht komplexer machen, es sollte es vereinfachen. Illumio ZTS bietet eine einfache Lösung für eine komplexe Sicherheitsherausforderung.

Um mehr über die Verwendung der erweiterten Datenerfassung zu erfahren, kontaktiere uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Warum Cloud-Sicherheit mit vollständiger Transparenz beginnt
Illumio Produkte

Warum Cloud-Sicherheit mit vollständiger Transparenz beginnt

Erfahren Sie, warum Cloud-Visibilität jetzt wichtig ist, warum traditionelle Sichtbarkeitsansätze versagen und wie ZTS mit Illumio CloudSecure helfen kann.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: Analysis of network flüssen with Mesh
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Analysis of network flüssen with Mesh

Erfahren Sie, wie Mesh mehrere Datendimensionen gleichzeitig anzeigt, um ein klareres Bild davon zu erhalten, wie jeder Datenpunkt mit seiner Umgebung interagiert.

Lesen Sie mehr
Wie ein Illumio Engineer die Zukunft der Sicherheitsvisualisierung gestaltet
Illumio Produkte

Wie ein Illumio Engineer die Zukunft der Sicherheitsvisualisierung gestaltet

Diskussion über die Visualisierung von Datenschutzverletzungen mit Kuhu Gupta, einer leitenden technischen Mitarbeiterin bei Illumio, und ihren Forschungsergebnissen zu diesem Thema.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: SOAR-Plattformintegrationen
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: SOAR-Plattformintegrationen

Erfahren Sie, wie die Integration von Illumio Core mit SOAR-Plattformen von Drittanbietern sicherstellt, dass sich neue und unbekannte Malware nicht in Ihrem Netzwerk verbreiten kann.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: Verkehr und Karte
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Verkehr und Karte

Erfahren Sie, wie die Traffic- und Map-Tools von Illumio Ihnen helfen, schnell und einfach zu verstehen, was in Ihrem Netzwerk vor sich geht.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: Virtuelle Dienste
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Virtuelle Dienste

Erfahren Sie, wie Sie die virtuellen Dienste von Illumio Core nutzen können, um Ihre Hosts und deren Anwendungen und Prozesse mit und ohne Agenten zu sichern.

Lesen Sie mehr

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Ready to learn more about Zero Trust Segmentation?

Erfahre mehr