Segurança de rede híbrida: fornecedores de Illumio versus CSPM e CWPP

Você finalmente foi promovido como CISO da sua organização. Parabéns! Todos esses anos construindo certificações e trabalhando em turnos de plantão valeram a pena.

Depois de selecionar qual escritório de esquina você deseja, escolher o grão de madeira para sua mesa e fornecer as chaves da garagem executiva (eu posso sonhar, não posso?) , chegou o grande dia em que você apresenta à equipe executiva todos os excelentes planos que você tem para reduzir o risco de sua empresa.

Você tem seus planos estratégicos, táticos e operacionais circulando em sua cabeça, prontos para responder a qualquer objeção que eles possam lançar à sua frente. E no final de sua apresentação, todos concordam em deixar você seguir em frente!

E como parte da lista de projetos aprovados, eles dizem que você só pode escolher duas das três iniciativas:

1. Corrija todas as vulnerabilidades de software 
2. Pare o movimento lateral dentro da rede 
3. Resolva alertas críticos do SIEM 

Apenas dois?? Mas você pensou que teria um orçamento e um número de funcionários ilimitados! E agora? 

Três maneiras de proteger sua rede híbrida

Nas palavras de um famoso economista, " Não há soluções, apenas compensações. " E esse é sempre o dilema: como fazer melhor uso do tempo e dos recursos disponíveis.

Como você pode escolher entre 845 alertas sev-1 em seu SIEM, 1.342 CVEs “críticos” que precisam ser corrigidos ou descobrir que toda a sua rede está exposta a ransomware? 

Então, você inicia o longo e árduo processo de elaboração de planos de projetos, envio de RFIs e espera poder contratar uma equipe competente para executar tudo.

Em breve, os fornecedores começarão a ligar e oferecer soluções para todos os seus problemas. Os empreiteiros dizem que podem fazer isso na metade do tempo por dois terços do custo. A gerência quer que isso seja feito antes da próxima moratória da rede.  

First up: The cloud security posture management (CSPM) vendors you’ve used before. You bring in two or three of them, and they tell you all about their great features that will help you with things like compliance monitoring or asset inventory tools.

They tell you how your “AWS identity and access management (IAM) roles are the new network perimeter.” They inform you that your storage buckets are exposed to the Internet. They provide you with an exposure map that shows you how all your devices can talk to each other and over what ports.

You agree that these are all worthy and noble causes that need to be addressed.  

Next up: The cloud workload protection platforms (CWPP) vendors. These folks will tell you that you need to go deeper into the workloads themselves to make any real progress.

They can point out software vulnerabilities, malware, misplaced keys and other sensitive data in your cloud workloads. They introduce you to the world of artificial intelligence, machine analytics, and other behavioral analysis tools to “get into the mind of the criminal” who desperately wants to expose your intellectual property.

Again, these are all worthy goals, some of which you hadn’t thought of before. But you’re starting to pine for that pager-duty job you had back in 2004.  

Then, you decide to meet with this vendor you ran into at RSA Conference called Illumio. You couldn’t miss them after all, with their giant 20-foot, bright orange LED display. (All their employees had a solid tan by Friday from the luminescence).

Illumio suggests a different approach: Why don’t we start with something basic that can be implemented quickly and can avert 5 cyber disasters each year.   

That caught your attention. 

Their sales engineer said that a layered approach is needed for security, and that you should consider Zero Trust Segmentation as the base of the pyramid. Because, at the end of the day, somewhere, somehow one of your assets is going to be breached.

What’s important is what happens next: that you prevent it from spreading anywhere else in your network.

This avoids a catastrophic event due to an individual system being compromised. The sales engineer went on to describe that the majority of ransomware attacks utilize remote desktop protocol (RDP) as their primary vector (which you have open everywhere).

A Illumio fornece segmentação Zero Trust para sistemas locais baseados em agentes e aplicativos em nuvem.

• Illumio Core offers a simple agent-based approach that uses labels as the mechanism to identify, organize, and apply security policy across your data center environment.
• And Illumio CloudSecure complements this by expanding segmentation tools into your cloud-native environments to manage serverless compute functions and other cloud-native services.  

A opção Illumio: veja e proteja todos os ambientes em um

Depois que o desfile de fornecedores terminar e você voltar à reunião de equipe, é hora de discutir qual é a melhor opção.

Você conversa com suas equipes de operações sobre como elas lidam com alertas críticos atualmente e o que seria necessário para “limpar a janela de alerta” das notificações de médio e alto risco.

“Isso é fácil!” diz um dos trabalhadores noturnos: “Eu apenas destaco todos os alertas e clico em excluir. Honestamente, há muitos deles aos quais prestar atenção. E se algo ruim realmente acontecer, receberei um telefonema.” 

Essa não era exatamente a resposta que você queria ouvir, mas mesmo assim era uma boa informação.

Em seguida, fale com sua equipe de gerenciamento de software. Eles descrevem como a lista de vulnerabilidades e exposições comuns (CVE) não é muito útil porque não fornece muito contexto: “Muitas delas não se aplicam a nós porque não estão em sistemas expostos à Internet. Estamos trabalhando para corrigir os outros, mas vai levar algum tempo para testá-los todos antes de serem lançados em produção.” 

The Illumio option is starting to sound better as you remember the sales engineer mentioning a few things about Illumio CloudSecure for agentless, cloud-native applications: 

• Most of these CSPM/CWPP vendors don’t really look at the actual traffic flows in your network. Illumio CloudSecure looks at real-time traffic flows and compares them to your cloud-native security rules to provide an analysis of how over-exposed your rulesets are.
  
  (For example, there's no need to have a security rule allowing the entire Internet, or even a /16 address block, from accessing your Lambda functions if it’s only ever talking to an internal /24.)
  
  While they may be able to tell you who “can” talk, Illumio CloudSecure shows you who “did” talk and to what. Knowing the “can” is only beneficial if you already know what’s considered normal traffic. That requires real traffic flows.  
   
• Na demonstração do Illumio CloudSecure, o engenheiro de vendas mostrou seus aplicativos nativos da nuvem em um mapa, desde a assinatura da equipe de desenvolvimento do Azure até seus aplicativos de pedidos de produção na AWS.
  
  Mas o mais interessante foram os outros sistemas na AWS que você não sabia que existiam.
  
  (Quem sabia que a equipe de RH havia contratado um estagiário para criar um novo aplicativo de relatórios de folha de pagamento? E POR QUE está enviando tráfego para meu sistema de pedidos de produção?)
  
  Você percebe que não pode protegê-lo se não souber que está lá fora.
   
• You also realized none of those CSPP or CWPP vendors you brought in mentioned anything about your on-premise data center. While cloud may be the shiny new toy, you still have critical systems on-site that need the same level of protection. 

Comece com a Illumio, a empresa de segmentação Zero Trust

Seu prazo está se aproximando rapidamente. Então, o que você decide fazer? O dilema “Pick Two” mantém você acordado à noite. O tempo está passando.

Uma lâmpada pisca acima de sua cabeça, uma solução! 

Você retorna à equipe executiva e anuncia: “Olha, não há uma solução perfeita aqui. Somente compensações. Mas aqui está o que proponho que possamos fazer antes do bloqueio da web para que você possa relatar um progresso significativo ao conselho. "

Você explica seu plano: comece com a Illumio, a empresa de segmentação Zero Trust.

O Illumio pode:

• Evite 5 desastres cibernéticos anualmente e economize USD 20,1 milhões em tempo de inatividade de aplicativos.
• Ajude as equipes de segurança a identificar todos os aplicativos não autorizados na nuvem para que possam começar a reforçar as regras de segurança.
• Provide more time to implement a CNAPP tool which provides the “next layer” of protection against more sophisticated threats. (You cleverly smirk at your slight-of-hand there, combining projects #1 and #3 under Gartner's latest acronym, CNAPP, which combines CSPP and CWPP into one umbrella.)

“Escolha dois” foi alcançado — e você conseguiu obter todos os três.

Para saber mais sobre o Illumio e a segmentação Zero Trust:

• Veja como a Illumio ajudou um escritório de advocacia global a impedir a disseminação do ransomware.
• Learn why Illumio is a Leader in Forrester Wave reports on Zero Trust and microsegmentation.
• Read this guide on how Illumio makes Zero Trust Segmentation fast, simple and scalable.
• Contact us to find out how Illumio can help strengthen your organization's defenses against cybersecurity threats.