Zero Trust per dispositivi non gestiti
Il modello di sicurezza Zero Trust è diventato un pilastro degli approcci alla sicurezza, ma i controlli Zero Trust tradizionali per lo più ignorano i dispositivi non gestiti e IoT.
Mai fidarsi, verificare sempre
Implementare il modello Zero Trust su computer gestiti può essere semplice, ma farlo su dispositivi non gestiti o IoT come smart TV, stampanti, telefoni VoIP, videocamere IP, dispositivi medici o industriali è tutta un’altra cosa. La maggior parte dei prodotti di sicurezza esistenti sono ciechi rispetto a questo tipo di dispositivi, che
- non supportano agenti di sicurezza
- non supportano la gestione di patch
- non tollerano la scansione della rete
- non generano registri di eventi
- spesso utilizzano i pericolosi protocolli Telnet o HTTP
Le funzionalità di Armis e i pilastri Zero Trust
Dispositivi
Armis fornisce il più completo inventario di risorse unificato e la più completa funzionalità di discovery di dispositivi conosciuti ad oggi. Per ciascun dispositivo puoi vedere di cosa si tratta (marca, modello, ubicazione e altri dettagli), i rischi a esso associati e le vulnerabilità del suo software. Armis condivide queste informazioni con gli altri tuoi sistemi Zero Trust per consentire loro di prendere decisioni migliori in merito al rischio e all’accesso alla rete.
Rete
Armis permette di segmentare la rete automaticamente fornendo una grande quantità di informazioni su ogni dispositivo presente nell’ambiente (tipo di dispositivo, produttore, vulnerabilità, esigenze di comunicazione). Queste informazioni possono essere condivise con l’infrastruttura di rete esistente (per es. firewall e sistemi NAC). Una volta determinata una segmentazione di rete, Armis monitora il traffico reale e genera avvisi in caso di creazione di bridge di rete non autorizzati.
Visibilità e analisi
Armis monitora il traffico di rete per rilevare anomalie comportamentali, come per esempio l’operatività di un dispositivo al di fuori dei parametri di “normalità”. La deviazione da tali parametri potrebbe essere causata da una configurazione errata, dalla violazione di una politica o da comportamenti anomali come, per esempio, una richiesta di connessione inappropriata o l’esecuzione di un software inatteso su un dispositivo. Oppure le informazioni sulle minacce hanno indicato che il dispositivo è stato compromesso.
Automazione e orchestrazione
Armis si integra con le tue soluzioni di rete, sicurezza e gestione esistenti per generare e automatizzare la risposta agli incidenti. Tra le integrazioni disponibili ci sono quelle con: infrastruttura di rete cablata (switch, router), controller LAN wireless, soluzioni cloud quali Palo Alto Networks Cortex e Cisco Meraki, firewall, network access control (NAC), SIEM, sistemi di valutazione delle vulnerabilità, ticketing e SOAR, CMDB e ITAM, e sistemi specializzati come il Check Point IoT Security Manager.
Dati
Armis monitora la trasmissione dei dati da parte di ciascun dispositivo e avvisa quando vengono trasferiti dati sensibili non criptati. Armis rileva e genera avvisi in caso di tentativi di trafugamento di dati.
Persone
Armis si integra con i fornitori dei servizi di identità esistenti e associa gli utenti ai dispositivi presenti nella tua rete. In questo modo aiuta i cacciatori di minacce e il personale del supporto IT a identificare gli utenti che si comportano in modo rischioso (per es. utilizzando software malevolo o visitando siti pericolosi).
Carichi di lavoro
Armis scopre, classifica e profila i server sia fisici che virtuali in locale e/o in ambienti cloud. Armis monitora il traffico tra i dispositivi e gli ambienti cloud alla caccia di comportamenti anomali o di schemi di traffico che potrebbero far pensare a una minaccia o a un trafugamento di dati.
Implementazione senza attrito
Scopri, identifica e analizza il rischio di ciascun dispositivo presente nel tuo ambiente senza dover ricorrere ad hardware aggiuntivo o ad agenti e mantenendo la tua infrastruttura di rete esistente. La piattaforma Armis raccoglie i dati servendosi di un appliance virtuale che risiede fuori dal path principale e monitora passivamente il traffico senza impattare negativamente sulle prestazioni di rete, sugli altri dispositivi o sugli utenti.
Sai quanti dispositivi sono presenti nel tuo ambiente?
EDR
Richiede l’installazione di un agente.
La visibilità è limitata ai soli dispositivi gestiti in circostanze di monitoraggio e risposta continui.
UEBA
Traccia il comportamento degli utenti, anziché quello dei dispositivi.
Non va a caccia di anomalie nel comportamento dei dispositivi, ma solo in quello degli utenti.
Non riesce a riconoscere i comportamenti sospetti dei dispositivi.
NAC
La discovery dei dispositivi è limitata alla rete aziendale.
Non traccia le minacce o i dispositivi compromessi.