.png)
Quand l'EDR échoue : L'importance du confinement dans la sécurité des points finaux
Des brèches se produisent et la détection échoue. Accepter cela ne signifie pas que les outils de détection sont défaillants. Pas du tout - il s'agit d'un des outils les plus sophistiqués qui a la malheureuse tâche de jouer au chat et à la souris avec les mauvais acteurs.
Alors que des outils tels que la détection et la réponse aux points d'accès (EDR) sont devenus synonymes de sécurité des points d'accès, la réalité est que le fait de s'appuyer uniquement sur une approche unique peut rendre les organisations vulnérables. L'adoption d'un état d'esprit de confiance zéro, qui suppose qu'une violation se produira, exige de donner la priorité à l'endiguement autant qu'à la détection.
Même l'agent EDR le plus endurci n'est pas à l'abri d'une manipulation. C'est ce que démontrent les récentes découvertes d'un personnage en ligne nommé "spyboy". Pour seulement 300 dollars, un acteur de la menace peut mettre fin à la plupart des EDR s'il dispose de l'accès adéquat. Les vulnérabilités de ce type sont alarmantes mais pas catastrophiques si les équipes de sécurité se préparent à l'éventualité d'une défaillance de l'EDR.
Fermer la porte au mouvement latéral
Le confinement consiste à arrêter et à ralentir les attaquants. Grâce à des mesures de confinement telles que la segmentation zéro confiance (ZTS), les entreprises peuvent stopper de manière proactive la propagation des attaquants en empêchant les mouvements latéraux à partir de la charge de travail ou du point d'extrémité touché. Le plus intéressant est que la limitation des mouvements latéraux permet d'augmenter le temps dont disposent les autres outils de détection pour repérer l'incident.
Le ZTS est une stratégie de confinement qui a fait ses preuves. Lors d'un test effectué par la société de sécurité offensive Bishop Fox, celle-ci a constaté qu'avec le ZTS en place, ses équipes rouges mettaient 9 fois plus de temps à exécuter une attaque avec succès. En outre, il leur a permis de détecter les attaques quatre fois plus rapidement, simplement parce que les attaquants devaient créer plus de bruit en essayant de se déplacer.
Il existe de nombreux domaines dans lesquels le confinement peut avoir un impact immédiat sur toute stratégie de sécurité des points finaux.
Obtenir une visibilité totale
Soixante pour cent des organisations sont confrontées à une visibilité insuffisante, ce qui rend difficile l'amélioration de la sécurité. Sans une visibilité totale de tous les actifs, il est presque impossible d'arrêter les mouvements latéraux. En s'appuyant uniquement sur la détection, les organisations sont vulnérables aux attaques qui peuvent contourner les solutions EDR. Le confinement joue un rôle essentiel en mettant en œuvre des mesures proactives pour isoler et neutraliser les menaces, quel que soit leur point d'entrée.
Contenir les menaces les plus sophistiquées
Les exploits du jour zéro qui peuvent facilement contourner les mécanismes de détection sont particulièrement dangereux. La détection de ces menaces sophistiquées prend du temps. En donnant la priorité au confinement, les organisations peuvent minimiser l'impact des menaces en isolant les systèmes compromis et en empêchant les mouvements latéraux, même en l'absence de détection immédiate.
Mettez fin aux menaces rapidement
Même en cas de détection rapide d'une brèche, le risque subsiste. Sans réponse rapide, un attaquant peut encore atteindre son objectif. Une réponse tardive peut permettre aux attaquants de pénétrer plus profondément dans un réseau. La nécessité d'un confinement rapide ne doit pas être sous-estimée. En mettant en œuvre des stratégies de confinement parallèlement à l'EDR, les organisations peuvent atténuer rapidement les menaces, minimiser les dommages potentiels et réduire le temps nécessaire au rétablissement des opérations normales.
Des alertes réseau moins nombreuses et plus précises
La fatigue des alertes est réelle. En réduisant les voies d'accès pour les mouvements latéraux, les alertes réseau qui continuent à apparaître ont le potentiel d'être plus précises. L'isolement des points d'extrémité suspects par le biais de stratégies de confinement offre l'espace de liberté nécessaire pour enquêter sur les menaces réelles et y répondre avec précision.
Protection contre les menaces internes
Les solutions EDR, qui sont axées sur la recherche d'indicateurs de compromission, peuvent ne pas identifier les actions malveillantes d'initiés privilégiés ou les comptes compromis. Les stratégies de confinement, telles que les ZTS, peuvent contribuer à minimiser les dommages causés par les menaces internes. En limitant les mouvements, le confinement ajoute une couche supplémentaire de protection contre ces menaces internes.
Mieux ensemble : Illumio Endpoint et EDR
Pour relever les défis posés par l'EDR, les organisations doivent donner la priorité à l'endiguement et à la détection. En adoptant un état d'esprit de confiance zéro et en mettant en œuvre des stratégies de confinement telles que le ZTS, les organisations peuvent ralentir de manière proactive les attaquants et empêcher les mouvements latéraux.
Illumio Endpoint fournit un confinement appliqué au point d'extrémité lui-même. Avec Illumio, le mouvement latéral est arrêté sur l'hôte, ce qui réduit la dépendance à l'égard de toute infrastructure de réseau pour ces capacités critiques de réduction des risques.
Vous voulez en savoir plus sur Illumio Endpoint ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.
.webp)
