Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Wenn EDR fehlschlägt: Die Bedeutung von Containment in der Endpunktsicherheit

Illumio Editorial
Illumio Editorial
2Juni 2023
23 min. lesen

Es kommt zu Sicherheitsverletzungen, und die Erkennung schlägt fehl. Dies zu akzeptieren, bedeutet nicht, dass Erkennungstools versagen. Überhaupt nicht – sie sind eines der ausgefeiltesten Werkzeuge, die die unglückliche Aufgabe haben, Katz und Maus mit schlechten Schauspielern zu spielen.

Während Tools wie Endpoint Detection and Response (EDR) zum Synonym für Endpunktsicherheit geworden sind, ist die Realität, dass Unternehmen verwundbar sein können, wenn sie sich nur auf einen einzigen Ansatz verlassen. Eine Zero-Trust-Mentalität, die davon ausgeht, dass es zu einer Sicherheitsverletzung kommen wird, erfordert eine ebenso hohe Priorisierung der Eindämmung wie der Erkennung.

Selbst das härteste EDR-Mittel ist nicht immun gegen Manipulationen. Jüngste Erkenntnisse einer Online-Persona namens "Spyboy" zeigen dies. Für nur 300 US-Dollar kann ein Bedrohungsakteur die meisten EDRs mit dem richtigen Zugriff beenden . Schwachstellen wie diese sind alarmierend, aber nicht katastrophal, wenn sich Sicherheitsteams auf den Moment vorbereiten, in dem EDR ausfällt.

Schließen der Tür bei seitlicher Bewegung

Bei der Eindämmung geht es darum, Angreifer zu stoppen und zu verlangsamen. Mit Eindämmungsmaßnahmen wie Zero Trust Segmentation (ZTS) können Unternehmen die Ausbreitung von Angreifern proaktiv stoppen, indem sie laterale Bewegungen von der betroffenen Workload oder dem betroffenen Endpunkt verhindern. Das Beste daran ist, dass die Einschränkung der lateralen Bewegung dazu beiträgt, die Zeit zu verlängern, die andere Erkennungstools haben, um den Vorfall zu erkennen.

ZTS ist eine bewährte Eindämmungsstrategie. Bei einem Test durch die offensive Sicherheitsfirma Bishop Fox stellten sie fest, dass ihre Red Teams mit aktiviertem ZTS 9-mal länger brauchten, um einen Angriff erfolgreich auszuführen. Ein zusätzlicher Vorteil war auch, dass sie Angriffe 4-mal schneller erkennen konnten, nur weil die Angreifer mehr Lärm verursachen mussten, wenn sie versuchten, sich zu bewegen.

Es gibt mehrere Bereiche, in denen sich die Eindämmung sofort auf jede Endpunktsicherheitsstrategie auswirken kann.

Volle Transparenz

Sechzig Prozent der Unternehmen haben mit unzureichender Transparenz zu kämpfen, was es schwierig macht, die Sicherheitslage zu verbessern. Ohne vollständige Transparenz über alle Assets ist es fast unmöglich, laterale Bewegungen zu stoppen. Wenn sich Unternehmen ausschließlich auf die Erkennung verlassen, sind sie anfällig für Angriffe, die EDR-Lösungen vollständig umgehen können. Die Eindämmung spielt eine entscheidende Rolle, indem proaktive Maßnahmen zur Isolierung und Neutralisierung von Bedrohungen implementiert werden, unabhängig von ihrem Eintrittspunkt.

Dämmen Sie selbst die raffiniertesten Bedrohungen ein

Besonders gefährlich sind Zero-Day-Exploits, die Erkennungsmechanismen leicht umgehen können. Die Erkennung dieser ausgeklügelten Bedrohungen braucht Zeit. Durch die Priorisierung der Eindämmung können Unternehmen die Auswirkungen von Bedrohungen minimieren, indem sie kompromittierte Systeme isolieren und laterale Bewegungen verhindern, selbst wenn sie nicht sofort erkannt werden.

Stoppen Sie Bedrohungen schnell

Selbst wenn eine Sicherheitsverletzung schnell erkannt wird, besteht immer noch ein Risiko. Ohne eine schnelle Reaktion kann ein Angreifer sein Ziel dennoch erreichen. Eine verzögerte Reaktion kann es Angreifern ermöglichen, tiefer in ein Netzwerk einzudringen. Die Notwendigkeit einer schnellen Eindämmung sollte nicht unterschätzt werden. Durch die Implementierung von Eindämmungsstrategien neben EDR können Unternehmen Bedrohungen schnell entschärfen, potenzielle Schäden minimieren und die Zeit für die Wiederherstellung des normalen Betriebs verkürzen.

Weniger – und genauere – Netzwerkwarnungen

Alarmmüdigkeit ist real. Durch die Reduzierung der Wege für laterale Bewegungen haben die Netzwerkwarnungen, die immer noch auftauchen, das Potenzial, genauer zu sein. Die Isolierung verdächtiger Endpunkte durch Eindämmungsstrategien verschafft den nötigen Spielraum, um echte Bedrohungen zu untersuchen und genau darauf zu reagieren.

Schutz vor Insider-Bedrohungen

EDR-Lösungen, die sich auf die Suche nach Indikatoren für eine Kompromittierung konzentrieren, können böswillige Aktionen von privilegierten Insidern oder kompromittierten Konten möglicherweise nicht erkennen. Eindämmungsstrategien wie ZTS können dazu beitragen, den durch Insider-Bedrohungen verursachten Schaden zu minimieren. Durch die Einschränkung der Bewegungsfreiheit bietet die Eindämmung eine zusätzliche Schutzschicht gegen diese internen Bedrohungen.

Gemeinsam besser: Illumio Endpoint und EDR

Um die Herausforderungen zu bewältigen, mit denen EDR konfrontiert ist, müssen Unternehmen neben der Erkennung auch die Eindämmung priorisieren. Durch eine Zero-Trust-Denkweise und die Implementierung von Eindämmungsstrategien wie ZTS können Unternehmen Angreifer proaktiv verlangsamen und laterale Bewegungen verhindern.

Illumio Endpoint bietet Containment, das auf dem Endpunkt selbst erzwungen wird. Mit Illumio wird die laterale Bewegung auf dem Host gestoppt, wodurch die Abhängigkeit von jeglicher Netzwerkinfrastruktur für diese kritischen, risikoreduzierenden Funktionen verringert wird.

Sind Sie bereit, mehr über Illumio Endpoint zu erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Endpunkt
Endpunkt-Sicherheit

Verwandte Artikel

Wie Illumio Transparenzlücken in Container-Umgebungen schließt
Cyber Resilience

Wie Illumio Transparenzlücken in Container-Umgebungen schließt

Erfahren Sie, wie Illumio vollständige Transparenz innerhalb und außerhalb von Kubernetes- und OpenShift-Clustern bietet, blinde Flecken beseitigt und Sicherheitsverletzungen eindämmt.

Read more
Der lange Arm der Kanzlei und die Zukunft der Cybersicherheit
Cyber Resilience

Der lange Arm der Kanzlei und die Zukunft der Cybersicherheit

Als Sicherheitsexperte in einer Anwaltskanzlei geht es Ihnen um zwei Dinge: (1) Sichern Sie die Daten Ihrer Kanzlei und (2) tun Sie dies, ohne die tägliche Arbeit der Partner und Mitarbeiter der Kanzlei zu stören.

Read more
Was ist die Grundlage für Cyber-Resilienz?
Cyber Resilience

Was ist die Grundlage für Cyber-Resilienz?

Erfahren Sie, wie eine Zero-Trust-Strategie, die auf Mikrosegmentierung basiert, die Resilienz von Unternehmen während und nach einem Cybervorfall stärken kann.

Read more
3 Best Practices für die Implementierung von Illumio Endpoint
IL L U M IO P R O D U K T E

3 Best Practices für die Implementierung von Illumio Endpoint

Holen Sie sich drei einfache, aber effektive Schritte, die erforderlich sind, um Ihre Endpunkte mit Illumio zu sichern.

Read more
Illumio Endpoint Demo: Schneller ROI für die Endpunktsegmentierung
IL L U M IO P R O D U K T E

Illumio Endpoint Demo: Schneller ROI für die Endpunktsegmentierung

Sehen Sie sich diese Illumio Endpoint-Demo an, um zu erfahren, wie die Endpunktsegmentierung mit Illumio einen schnellen ROI bietet.

Read more
Warum Hacker Endpunkte lieben – und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können
IL L U M IO P R O D U K T E

Warum Hacker Endpunkte lieben – und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können

Herkömmliche Sicherheit macht Endpunkte für Hacker weit offen. Erfahren Sie, wie Sie sich mit Illumio Endpoint proaktiv auf Sicherheitsverletzungen vorbereiten können.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more