Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Por qué necesita segmentación EDR y Zero Trust

Trevor Dearing
Director de Marketing de Soluciones Industriales
Illumio Editorial
29de abril de 2022
23 min. leer

La gente a veces nos pregunta si necesita Illumio si ya tiene un producto de detección y respuesta de endpoints (EDR). O preguntan si todavía necesitan EDR si ya tienen Illumio.

La respuesta es que necesita Zero Trust Segmentation y un producto EDR. Illumio y EDR se complementan entre sí, creando una defensa más estable contra los ciberataques.

He aquí por qué Illumio y EDR son herramientas de seguridad esenciales y por qué, juntas, fortalecerán aún más las ciberdefensas de su organización.

Diferentes productos para diferentes roles de ciberseguridad del NIST

La mejor manera de comparar Illumio y EDR es considerar el contexto más amplio de ciberseguridad.

Los productos Illumio y EDR cumplen diferentes funciones en el Marco de Ciberseguridad del NIST, el estándar oficial del gobierno de EE. UU. para herramientas y prácticas de ciberseguridad. El Marco de Ciberseguridad del NIST menciona cinco funciones que, en su nivel más alto, organizan las operaciones de ciberseguridad. Estas cinco funciones son:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Los productos EDR, como su nombre indica, cubren las funciones de detección y respuesta. Detectan actividad sospechosa o un ataque directo a un endpoint. Luego responden a actividades sospechosas o ataques tomando medidas correctivas. Pueden enviar una alerta a su sistema de administración de eventos e información de seguridad (SIEM), iniciar un proceso para activar una herramienta antivirus, eliminar o poner en cuarentena archivos y realizar alguna combinación de estas u otras acciones.

La segmentación de confianza cero de Illumio juega un papel diferente en la ciberseguridad. Illumio protege continuamente la red contra los atacantes que se mueven de un punto final a otro. Si un ataque sutil se filtra en un endpoint y, finalmente, debido a vulnerabilidades de software o ataques de día cero, un ataque se filtrará en algún endpoint en algún lugar, Illumio protege a su organización denegando el acceso y evitando que se mueva lateralmente a través de la red de su organización.

Illumio restringe los movimientos de los atacantes al negar todo el tráfico de red de forma predeterminada: ese es el modelo de seguridad Zero Trust. En cambio, Illumio permite solo el tráfico que los equipos de seguridad y operaciones consideraron necesario luego de revisar el mapa de dependencia de aplicaciones en tiempo real de Illumio. El mapa de dependencias de aplicaciones muestra las rutas de acceso de red de las que dependen las aplicaciones críticas para la compañía.

Además, Illumio facilita a los equipos de seguridad la aplicación de políticas que bloquean los protocolos de red esenciales para muchos ataques de malware. Por ejemplo, casi la mitad de los ataques de ransomware en el tercer trimestre de 2021 se basaron en el protocolo RDP. Originalmente diseñado para dar a los agentes de la mesa de ayuda acceso a las computadoras de los empleados, RDP terminó sirviendo como una red abierta de callejones traseros para que los atacantes atraviesen dentro de las organizaciones. Illumio permite a los equipos de seguridad definir y hacer cumplir políticas que restringen RDP y otros protocolos peligrosos en solo minutos, lo que aumenta significativamente la protección contra ataques.

Cuando se viola un endpoint, Illumio evita que el ataque se propague más, manteniendo la disponibilidad de sus sistemas y del negocio. Cuando el sistema EDR detecta el ataque, un proceso automatizado puede apagar y poner en cuarentena las cargas de trabajo infectadas: 

  1. Los ataques se aíslan en el punto de ataque
  2. El ataque es detectado por el EDR o XDR
  3. Las cargas de trabajo infectadas se ponen en cuarentena
  4. Los protocolos apropiados están bloqueados en toda la infraestructura

Independientemente de las herramientas de seguridad de endpoints que tenga, su organización también debe aprovechar la protección proporcionada por Zero Trust Segmentation. A pesar de lo buenos que son los productos EDR y de detección y respuesta extendida (XDR) hoy en día, no son infalibles. Y con la visibilidad limitada a los propios endpoints, los productos EDR a veces pasan por alto los ataques de varias etapas a medida que se desarrollan. En otras palabras, las herramientas EDR no brindan una protección completa e incluso su detección suele ser limitada.

EDR vs. XDR vs. Illumio

Los productos EDR, por definición, solo se ejecutan en puntos finales gestionados. No es sorprendente que proporcionen una visión de las amenazas centrada en los endpoints.

Los productos de detección y respuesta extendidas (XDR) amplían el alcance de la supervisión de la seguridad para incluir el email, los endpoints, los servidores, las cargas de trabajo en la nube y el tráfico de red. Al proporcionar a los equipos de seguridad una colección más amplia de datos correlacionados para analizar amenazas, los productos XDR facilitan la detección de ataques sigilosos. Por ejemplo, los productos XDR podrían detectar ataques de varias etapas que los productos EDR tradicionales podrían pasar por alto.

Pero si bien los productos XDR brindan una visión más amplia de la actividad de TI, su trabajo cae en las mismas funciones del marco de ciberseguridad del NIST que EDR: detectan y responden. Ninguna de las dos tecnologías satisface la necesidad de protección que proporciona la segmentación de confianza cero.

Ni EDR ni XDR proporcionan una forma sistemática de analizar todo el tráfico asociado con una aplicación. Para obtener esa vista, necesita el mapa de dependencias de aplicaciones de Illumio. Los productos EDR y XDR tampoco pueden generar instantáneamente reglas de firewall basadas en host para aplicar la segmentación de confianza cero a escala. Para generar esas reglas, necesita las capacidades que se encuentran en Policy Compute Engine de Illumio.

Illumio complementa los productos EDR y XDR al reducir la superficie de ataque con políticas de segmentación de confianza cero que dejan a los atacantes poco espacio para maniobrar.

Mejor juntos: Illumio con EDR o XDR

Independientemente del producto EDR o XDR que implemente, aún necesita una forma rápida, flexible y escalable de segmentar la red, aplicar controles de confianza cero y evitar que los atacantes participen en movimientos laterales.

Para obtener más información sobre cómo Illumio, el líder en segmentación de confianza cero, puede ayudar:

Temas relacionados

Seguridad de endpoints

Artículos relacionados

Cómo garantizar el éxito de los proyectos de microsegmentación: elegir las herramientas adecuadas
Segmentación de confianza cero

Cómo garantizar el éxito de los proyectos de microsegmentación: elegir las herramientas adecuadas

Descubra qué buscar al evaluar las herramientas de microsegmentación y por qué los enfoques heredados no logran ofrecer microsegmentación en entornos modernos.

Read more
3 aspectos destacados de Illumio en Black Hat 2023
Segmentación de confianza cero

3 aspectos destacados de Illumio en Black Hat 2023

Obtenga las conclusiones clave de la conferencia Black Hat de este año, incluidas fotos y videos del evento.

Read more
Segmentación de red frente a seguridad
Segmentación de confianza cero

Segmentación de red frente a seguridad

En este episodio de The Tailgating Security Podcast, Alan Cohen y Matt Glenn analizan el mundo de la diferencia entre la segmentación de la red y la seguridad.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more