.png)
Cuando falla EDR: la importancia de la contención en la seguridad de los endpoints
Las infracciones ocurren y la detección fallará. Aceptar esto no significa que las herramientas de detección estén fallando. En absoluto, son una de las herramientas más sofisticadas que tienen la desafortunada tarea de jugar al gato y al mouse con los malos actores.
Si bien herramientas como Endpoint Detection and Response (EDR) se convirtieron en sinónimo de seguridad de endpoints, la realidad es que confiar únicamente en un solo enfoque puede dejar a las organizaciones vulnerables. Adoptar una mentalidad de confianza cero, que asume que ocurrirá una infracción, requiere priorizar la contención tanto como la detección.
Incluso el agente EDR más endurecido no es inmune a ser manipulado. Los hallazgos recientes de un personaje en línea llamado "spyboy" lo demuestran. Por tan solo $ 300, un actor de amenazas puede terminar la mayoría de los EDR con el acceso adecuado. Vulnerabilidades como estas son alarmantes pero no catastróficas si los equipos de seguridad se preparan para el momento en que falla EDR.
Cerrar la puerta en el movimiento lateral
La contención se trata de detener y ralentizar a los atacantes. Con medidas de contención como la segmentación de confianza cero (ZTS), las organizaciones pueden detener de forma proactiva la propagación de los atacantes evitando el movimiento lateral de la carga de trabajo o el punto final afectados. La mejor parte es que restringir el movimiento lateral ayuda a aumentar el tiempo que tienen otras herramientas de detección para detectar el incidente.
ZTS es una estrategia de contención comprobada. Cuando la firma de seguridad ofensiva Bishop Fox lo probó, descubrieron que con ZTS en su lugar, sus equipos rojos tardaron 9 veces más en ejecutar con éxito un ataque. Como beneficio adicional, también los ayudó a detectar ataques 4 veces más rápido, solo porque los atacantes tenían que crear más ruido tratando de mover.
Hay múltiples áreas en las que la contención puede afectar cualquier estrategia de seguridad de endpoints de inmediato.
Obtenga visibilidad completa
El sesenta por ciento de las organizaciones luchan con una visibilidad inadecuada, lo que dificulta la mejora de la postura de seguridad. Sin una visibilidad completa de todos los activos, es casi imposible detener el movimiento lateral. Confiar únicamente en la detección deja a las organizaciones vulnerables a ataques que pueden eludir por completo las soluciones EDR. La contención juega un papel fundamental al implementar medidas proactivas para aislar y neutralizar las amenazas, independientemente de su punto de entrada.
Contenga incluso las amenazas más sofisticadas
Los exploits de día cero que pueden eludir fácilmente los mecanismos de detección son especialmente peligrosos. La detección de estas amenazas sofisticadas lleva tiempo. Al priorizar la contención, las organizaciones pueden minimizar el impacto de las amenazas al aislar los sistemas comprometidos y evitar el movimiento lateral, incluso en ausencia de una detección inmediata.
Detenga las amenazas rápidamente
Incluso cuando se detecta una violación rápidamente, todavía existe un riesgo. Sin una respuesta rápida, un atacante aún podría lograr su objetivo. Una respuesta tardía puede permitir a los atacantes penetrar más profundamente en una red. No debe subestimarse la necesidad de una contención rápida. Al implementar estrategias de contención junto con EDR, las organizaciones pueden mitigar las amenazas rápidamente, minimizando los daños potenciales y reduciendo el tiempo necesario para restaurar las operaciones normales.
Menos alertas de red y más precisas
La fatiga de alerta es real. Al reducir las vías para el movimiento lateral, las alertas de red que aún aparecen tienen el potencial de ser más precisas. El aislamiento de endpoints sospechosos a través de estrategias de contención proporciona el respiro necesario para investigar y responder con precisión a amenazas genuinas.
Protección contra amenazas internas
Las soluciones EDR, que se centran en encontrar indicadores de compromiso, pueden no identificar acciones maliciosas por parte de personas privilegiadas o cuentas comprometidas. Las estrategias de contención, como ZTS, pueden ayudar a minimizar el daño causado por las amenazas internas. Al restringir el movimiento, la contención agrega una capa adicional de protección contra estas amenazas internas.
Mejor juntos: Illumio Endpoint y EDR
Para abordar los desafíos que enfrenta EDR, las organizaciones deben priorizar la contención junto con la detección. Al adoptar una mentalidad de confianza cero e implementar estrategias de contención como ZTS, las organizaciones pueden ralentizar de manera proactiva a los atacantes y evitar el movimiento lateral.
Illumio Endpoint proporciona contención aplicada en el propio endpoint. Con Illumio, el movimiento lateral se detiene en el host, lo que reduce la dependencia de cualquier infraestructura de red para estas capacidades críticas que reducen el riesgo.
¿Listo para obtener más información sobre Illumio Endpoint? Contáctenos hoy para una consulta y demostración gratis.
.webp)
