La maggior parte dei progetti di microsegmentazione fallisce prima ancora di decollare: complesso, troppo lento, troppo dirompente. Ma le bioscienze di Andelyn hanno dimostrato che non deve essere così.
Microsegmentation: il pezzo mancante in zero fiducia della fiducia
Oggi le squadre di sicurezza sono costantemente sotto pressione per difendersi da minacce informatiche sempre più sofisticate. Le sole difese basate su perimetro non possono più fornire una protezione sufficiente poiché gli aggressori spostano la loro attenzione sul movimento laterale all’interno delle reti aziendali. Con oltre il 70% delle violazioni di successo che coinvolgono gli aggressori che si muovono lateralmente, le organizzazioni stanno ripensando il modo in cui garantiscono il traffico interno.
La microsegmentazione è emersa come una strategia chiave per raggiungere la sicurezza del belief zero limitando l’accesso a risorse critiche in base all’identità piuttosto che alla posizione della rete. Tuttavia, gli approcci di microsegmentazione tradizionali – spesso coinvolgendo riconfigurazioni VLAN, distribuzioni di agenti o regole di firewall complesse – tendono a essere lenti, operativamente dirompenti e difficili da ridimensionare.
Per le bioscienze di Andelyn, un’organizzazione per lo sviluppo e la produzione di contratti (CDMO) specializzato in terapie geniche, garantire la sua ricerca farmaceutica e ambienti di produzione è stata una priorità assoluta. Ma con migliaia di dispositivi, IoT e OT che operano su reti interconnesse, un approccio di segmentazione convenzionale avrebbe introdotto complessità e downtime inaccettabili.
Inizialmente, Andelyn ha selezionato una soluzione NAC (Community Entry Management) per affrontare queste sfide. Tuttavia, dopo quasi due anni in un’implementazione con spese generali operative elevate e l’incapacità di ridimensionare efficacemente la segmentazione, il staff di sicurezza è diventato frustrato dalla mancanza di progressi. La complessità dell’applicazione basata su agenti e della gestione delle politiche manuali ha reso difficile adattare la soluzione all’ambiente in rapida evoluzione di Andelyn.
In definitiva, hanno deciso di ruotare nella soluzione di microsegmentazione basata sull’identità di Elisity, consentendo loro di far rispettare rapidamente le politiche di accesso al minimo privilegio senza richiedere modifiche {hardware} o riprogettazione della rete.
Guarda il replay del case examine virtuale
Ascolta da Bryan Holmes, vicepresidente della tecnologia dell’informazione di Andelyn Biosciences e Pete Doolittle, Chief Buyer Officer, Elisity per scoprire come un approccio moderno alla microsegmentazione accelera l’adozione di zero fiducia da anni a settimane.
Bryan condivide il loro viaggio dalla distribuzione iniziale alla gestione di 2.700 politiche di sicurezza attiva, tutto senza interrompere le operazioni o richiedere nuove configurazioni {hardware} o di rete.
Guarda ora per imparare:
- Strategie pratiche per l’implementazione di microsegmentazione sugli ambienti IT e OT senza interrompere le operazioni di produzione e ricerca farmaceutica critiche.
- Come accelerare le iniziative di fiducia zero sfruttando le politiche di sicurezza basate sull’identità che proteggono la proprietà intellettuale, garantiscono la conformità normativa e garantiscono dati di sperimentazione clinica.
- Come ottenere approfondimenti sul mondo reale sul ridimensionamento dalla prova iniziale al dispiegamento a livello aziendale utilizzando Discovery automatizzato, Elisity IdentityGraph ™ e applicazione della politica dinamica.
Guarda il case examine completo qui
La sfida: garantire un ambiente complesso e alto
L’industria farmaceutica deve affrontare sfide di sicurezza uniche. Le strutture di ricerca e produzione ospitano la proprietà intellettuale critica e devono soddisfare i rigidi requisiti normativi, tra cui NIST 800-207 e IEC 62443. In Andelyn, i chief della sicurezza erano sempre più preoccupati per i rischi posti da un’architettura di rete piatta, in cui utenti, dispositivi e carichi di lavoro condividevano la stessa infrastruttura.
Nonostante le tradizionali difese perimetrali, questa struttura ha lasciato Andelyn vulnerabile all’accesso non autorizzato e al movimento laterale. Il staff di sicurezza ha affrontato numerous sfide chiave:
- Mancanza di completa visibilità in tutti i dispositivi connessi, tra cui asset IoT e OT non gestiti.
- La necessità di segmentazione senza interrompere le operazioni in ambienti di ricerca altamente sensibili.
- Pressioni di conformità che richiedono controlli di accesso a grana fantastic senza aumentare le spese generali amministrative.
Bryan Holmes, vicepresidente di Alelyn Biosciences, sapeva che i modelli di segmentazione tradizionali non avrebbero funzionato. La distribuzione di soluzioni NAC (Community Entry Management) o RECHITECT di VLAN avrebbe richiesto tempi di inattività significativi, incidendo sui tempi di ricerca critica e le tempistiche di produzione.
“Avevamo bisogno di una soluzione di microsegmentazione che potesse fornire una visibilità immediata, far rispettare le politiche di sicurezza granulare e farlo senza richiedere un’enorme revisione della rete”, ha spiegato Holmes.
L’approccio dell’elisità: segmentazione basata sull’identità senza complessità
A differenza delle soluzioni di segmentazione legacy, l’approccio di Elisity non si basa su VLAN, regole di firewall o applicazione basata su agenti. Invece, applica in modo dinamico le politiche di sicurezza basate sull’identità, utilizzando l’infrastruttura di commutazione della rete esistente per far rispettare l’accesso al minimo privilegio.
Al centro della piattaforma di Elisity c’è l’Elisity IdentityGraph ™, che correla i metadati da Energetic Listing, soluzioni di rilevamento e risposta endpoint (EDR) come Crowdstrike e Methods CMDB per creare una mappa in tempo reale di utenti, carichi di lavoro e dispositivi. Questa visibilità consente alle organizzazioni di far rispettare le politiche basate su identità, comportamento e rischio, piuttosto che costrutti statici di rete.
Per Andelyn, ciò significava che potevano ottenere la piena visibilità della rete e implementare la segmentazione in settimane anziché mesi o anni, senza interruzioni operative.
Distribuzione: dalla visibilità all’esecuzione delle politiche in settimane
Il viaggio di segmentazione di Andelyn è iniziato con una scoperta completa della rete. La piattaforma di Elisity ha identificato passivamente tutti gli utenti, i carichi di lavoro e i dispositivi negli ambienti di esso e OT, comprese le risorse precedentemente non gestite. In pochi giorni, i staff di sicurezza avevano un inventario completo, arricchito con metadati per determinare quali attività erano affidabili, sconosciute o potenzialmente canaglia.
Successivamente, Andelyn è passato alla modellazione e alla simulazione delle politiche, utilizzando il motore di creazione di politiche dinamiche “no-fear” di Elisity. Invece di far rispettare immediatamente le politiche, i staff di sicurezza hanno simulato le regole di segmentazione per garantire che non avrebbero interrotto i flussi di lavoro critici.
Una volta convalidate, le politiche sono state gradualmente attivate, prima in ambienti a basso rischio e successivamente attraverso i sistemi di produzione. Poiché la piattaforma di Elisity non richiede la riconfigurazione dell’infrastruttura di rete, l’applicazione period senza soluzione di continuità.
“Siamo stati in grado di passare dalla modalità di monitoraggio all’attivazione della politica completa in una frazione del tempo che ci aspettavamo”, ha osservato Holmes. “E l’abbiamo fatto senza interrompere le ricerche o le operazioni di produzione.”
I risultati: sicurezza più forte senza maggiore complessità
Con 2.700 politiche di sicurezza attive ora in atto, Andelyn ha migliorato significativamente il suo Zero Belief Maturity garantendo il rispetto delle normative del settore.
Applicando la microsegmentazione basata sull’identità, la società ha:
- Ha impedito il movimento laterale non autorizzato, riducendo il potenziale raggio di esplosione di una violazione.
- Dati di ricerca farmaceutica protetta e proprietà intellettuale da minacce interne e attacchi esterni.
- Riduzione delle spese generali operative, poiché le politiche di segmentazione vengono applicate dinamicamente senza la necessità di aggiornamenti manuali costanti.
- Reporting di conformità semplificati, allineamento con NIST 800-207 e IEC 62443.
A differenza degli approcci tradizionali che si basano su elenchi di accesso statico o richiedono {hardware} di segmentazione dedicato, la piattaforma di Elisity si adatta continuamente mentre gli utenti, i carichi di lavoro e i dispositivi si muovono attraverso la rete. Le politiche sono gestite da cloud e aggiornate dinamicamente in base a approfondimenti in tempo reale dell’Elisità Identitygraph ™, garantendo che la sicurezza rimane efficace anche se le minacce si evolvono.
Il futuro: ridimensionare la microsegmentazione attraverso l’impresa
A seguito del successo della sua distribuzione iniziale, Andelyn ora sta espandendo le politiche di microsegmentazione in siti e casi d’uso aggiuntivi. La capacità di applicare l’accesso al minimo privilegio in modo dinamico, senza richiedere importanti cambiamenti di rete, ha reso l’elisità una parte essenziale della strategia di sicurezza dell’azienda.
Per altre organizzazioni che affrontano sfide simili, Holmes offre una chiara raccomandazione:
“Inizia con la visibilità. Non puoi proteggere ciò che non vedi. Da lì, concentrati sulle politiche di modellazione prima dell’applicazione. La capacità di simulare le politiche per primo è stata un punto di svolta per noi.”
La microsegmentazione è spesso vista come un’iniziativa complessa e pluriennale che richiede investimenti significativi e interruzioni operative. Il caso di Alelyn Biosciences si rivela diversamente: con il giusto approccio, le organizzazioni possono ottenere una segmentazione di fiducia zero in settimane, non anni.
Se il tuo progetto di segmentazione si è bloccato – o peggio, non è mai stato veramente iniziato – c’è un modo migliore. Scopri come la microsegmentazione basata sull’identità può accelerare la fiducia zero nella tua organizzazione. (Richiedere una demo qui)