La mayoría de los proyectos de microsegmentación fallan antiguamente de que incluso despeguen, engorroso, demasiado premioso, demasiado perjudicial. Pero Andelyn Biosciences demostró que no tiene que ser así.
Microsegmation: la cuchitril faltante en cero fideicomiso de seguridad
Los equipos de seguridad de hoy están bajo presión constante para defenderse de amenazas cibernéticas cada vez más sofisticadas. Las defensas basadas en perímetro por sí solas ya no pueden proporcionar protección suficiente ya que los atacantes cambian su enfoque al movimiento adyacente internamente de las redes empresariales. Con más del 70% de las violaciones exitosas que involucran a los atacantes que se mueven lateralmente, las organizaciones están repensando cómo aseguran el tráfico interno.
La microsegmentación ha surgido como una logística secreto para alcanzar la seguridad de la confianza cero al restringir el entrada a activos críticos basados en la identidad en sitio de la ubicación de la red. Sin incautación, los enfoques tradicionales de microsegmentación, a menudo que involucran reconfiguraciones de VLAN, despliegues de agentes o reglas complejas de firewall, se dan cuenta de ser lentos, operacionalmente disruptivos y difíciles de esquilar.
Para Andelyn Biosciences, una ordenamiento de mejora y fabricación de contratos (CDMO) especializado en terapias genéticas, reforzar sus entornos de investigación y fabricación farmacéutica fue una prioridad. Pero con miles de dispositivos IoT y OT que operan en redes interconectadas, un enfoque de segmentación convencional habría introducido una complejidad y tiempo de inactividad inaceptable.
Inicialmente, Andelyn seleccionó una alternativa de control de entrada a red (NAC) para afrontar estos desafíos. Sin incautación, luego de casi dos abriles en una implementación con altos gastos generales y una incapacidad para esquilar efectivamente la segmentación, el equipo de seguridad se frustró con la yerro de progreso. La complejidad de la aplicación de agentes y la trámite de políticas manuales dificultó adaptar la alternativa al entorno en rápida desarrollo de Andelyn.
En última instancia, decidieron pivotar la alternativa de microsegmentación basada en la identidad de Elisity, lo que les permite aplicar rápidamente las políticas de entrada de último privilegio sin requerir cambios de hardware o rediseño de la red.
Mira la repetición del estudio de caso supuesto
Escuche a Bryan Holmes, vicepresidente de tecnología de la información en Andelyn Biosciences, y Pete Doolittle, director de clientes, elisidad para descubrir cómo un enfoque actual para la microsegmentación acelera la apadrinamiento de cero confianza de abriles a semanas.
Bryan comparte su alucinación desde la implementación original hasta la trámite de 2.700 políticas de seguridad activa, todo sin interrumpir las operaciones o requerir nuevas configuraciones de hardware o red.
Mira ahora para asimilar:
- Estrategias prácticas para implementar la microsegmentación en entornos de TI y OT sin interrumpir las operaciones críticas de fabricación farmacéutica e investigación.
- Cómo acelerar las iniciativas de fideicomiso cero aprovechando las políticas de seguridad basadas en la identidad que protegen la propiedad intelectual, garantizan el cumplimiento regulatorio y aseguran datos de ensayos clínicos.
- Cómo obtener información del mundo existente sobre la escalera de la prueba de concepto original hasta la implementación de toda la empresa utilizando el descubrimiento automatizado, el Elisity IdentityGraph ™ y la aplicación dinámica de políticas.
Mira el estudio de caso completo aquí
El desafío: reforzar un entorno engorroso de parada peligro
La industria farmacéutica enfrenta desafíos de seguridad únicos. Las instalaciones de investigación y fabricación albergan propiedad intelectual crítica y deben cumplir con requisitos regulatorios estrictos, incluidos NIST 800-207 e IEC 62443. En Andelyn, los líderes de seguridad estaban cada vez más preocupados por los riesgos que planteaba una bloque de red plana, donde los usuarios, los dispositivos y las cargas de trabajo compartían la misma infraestructura.
A pesar de las defensas perimetrales tradicionales, esta estructura dejó a Andelyn pasivo al entrada no acreditado y al movimiento adyacente. El equipo de seguridad enfrentó varios desafíos secreto:
- Desidia de visibilidad completa en todos los dispositivos conectados, incluidos los activos de IoT y OT no administrados.
- La requisito de segmentación sin interrumpir las operaciones en entornos de investigación en gran medida sensibles.
- Presiones de cumplimiento que requieren controles de entrada de espinilla fino sin aumentar la sobrecarga administrativa.
Bryan Holmes, vicepresidente de TI en Andelyn Biosciences, sabía que los modelos de segmentación tradicionales no funcionarían. La implementación de soluciones de control de entrada a la red (NAC) o VLAN de investigación habrían requerido un tiempo de inactividad significativo, afectando la investigación crítica y los plazos de producción.
“Necesitábamos una alternativa de microsegmentación que pudiera proporcionar visibilidad inmediata, hacer cumplir las políticas de seguridad granular y hacerlo sin requerir una revisión masiva de la red”, explicó Holmes.
El enfoque de elisidad: segmentación basada en identidad sin complejidad
A diferencia de las soluciones de segmentación heredada, el enfoque de Elisity no depende de VLAN, reglas de firewall o aplicación basada en agentes. En cambio, aplica dinámicamente las políticas de seguridad basadas en la identidad, utilizando la infraestructura de conmutación de red existente para hacer cumplir el entrada de menos privilegios.
En el núcleo de la plataforma de Elisity se encuentra el Elisity IdentityGraph ™, que correlaciona los metadatos de Active Directory, Solutiones de detección y respuesta de punto final (EDR) como CrowdStrike y Sistemas CMDB para crear un planisferio en tiempo existente de usuarios, cargas de trabajo y dispositivos. Esta visibilidad permite a las organizaciones hacer cumplir las políticas basadas en la identidad, el comportamiento y el peligro, en sitio de construcciones de redes estáticas.
Para Andelyn, esto significaba que podían alcanzar la visibilidad completa de la red e implementar la segmentación en semanas en sitio de meses o abriles, sin interrupciones operativas.
Despliegue: desde la visibilidad hasta la aplicación de políticas en semanas
El alucinación de segmentación de Andelyn comenzó con el descubrimiento integral de la red. La plataforma de Elisity identificó pasivamente a todos los usuarios, cargas de trabajo y dispositivos en entornos de TI y OT, incluidos los activos previamente no administrados. En cuestión de días, los equipos de seguridad tuvieron un inventario completo, enriquecido con metadatos para determinar en qué activos eran confiables, desconocidos o potencialmente rebeldes.
A continuación, Andelyn se trasladó al modelado y simulación de políticas, utilizando el motor de creación de políticas de “no falsos” de Elisity. En sitio de hacer cumplir las políticas de inmediato, los equipos de seguridad simularon reglas de segmentación para respaldar que no interrumpan los flujos de trabajo críticos.
Una vez validado, las políticas se activaron gradualmente, primero en entornos de último peligro y luego en los sistemas de producción. Correcto a que la plataforma de Elisidad no requiere reconfigurar la infraestructura de red, la aplicación fue perfecta.
“Pudimos producirse del modo de monitoreo a la activación de política completa en una fracción del tiempo que esperábamos”, señaló Holmes. “Y lo hicimos sin interrumpir la investigación o las operaciones de fabricación”.
Los resultados: seguridad más cachas sin complejidad adicional
Con 2.700 políticas de seguridad activas ahora en su sitio, Andelyn ha mejorado significativamente su vencimiento de la confianza cero al tiempo que garantiza el cumplimiento de las regulaciones de la industria.
Al aplicar la microsegmentación basada en la identidad, la compañía tiene:
- Evitó el movimiento adyacente no acreditado, reduciendo el radiodifusión potencial de crisis de una violación.
- Datos de investigación farmacéutica protegidos y propiedad intelectual de amenazas internas y ataques externos.
- La sobrecarga operativa pequeña, ya que las políticas de segmentación se aplican dinámicamente sin la requisito de actualizaciones manuales constantes.
- Informes de cumplimiento simplificados, alineándose con NIST 800-207 e IEC 62443.
A diferencia de los enfoques tradicionales que se basan en listas de entrada asombrado o requieren hardware de segmentación dedicado, la plataforma de Elisity se adapta continuamente a medida que los usuarios, las cargas de trabajo y los dispositivos se mueven a través de la red. Las políticas son administradas en la cirro y se actualizan dinámicamente en función de las ideas en tiempo existente de Elisity IdentityGraph ™, lo que garantiza que la seguridad siga siendo efectiva incluso a medida que evolucionan las amenazas.
El futuro: escalera de microsegmentación en toda la empresa
Tras el éxito de su implementación original, Andelyn ahora está expandiendo las políticas de microsegmentación a sitios y casos de uso adicionales. La capacidad de impulsar el entrada menos privilegiado dinámicamente, sin requerir cambios importantes en la red, ha hecho que la elisidad sea una parte esencial de la logística de seguridad de la empresa.
Para otras organizaciones que enfrentan desafíos similares, Holmes ofrece una recomendación clara:
“Comience con la visibilidad. No puedes proteger lo que no ves. A partir de ahí, concéntrese en modelar políticas antiguamente de la aplicación. La capacidad de afectar las políticas primero fue un cambio de conjunto para nosotros”.
La microsegmentación a menudo se considera una iniciativa compleja de varios abriles que requiere una inversión significativa e interrupción operativa. El caso de Andelyn Biosciences demuestra lo contrario: con el enfoque correcto, las organizaciones pueden alcanzar cero segmentación de confianza en semanas, no en abriles.
Si su tesina de segmentación se ha estancado, o peor, nunca comenzó, hay una mejor modo. Vea cómo la microsegmentación basada en la identidad puede acelerar la confianza cero en su ordenamiento. (Solicite una demostración aquí)
