.png)
Pourquoi vous avez besoin à la fois de l'EDR et de la segmentation zéro confiance ?
Les gens nous demandent parfois s'ils ont besoin d'Illumio s'ils ont déjà un produit de détection et de réponse des points finaux (EDR). Ou ils demandent s'ils ont encore besoin de la CED s'ils ont déjà Illumio.
La réponse est que vous avez besoin d'une segmentation zéro confiance et d' un produit EDR. Illumio et EDR se complètent, créant une défense plus solide contre les cyberattaques.
Voici pourquoi Illumio et EDR sont tous deux des outils de sécurité essentiels et pourquoi, ensemble, ils rendront les cyberdéfenses de votre organisation encore plus fortes.
Différents produits pour différents rôles en matière de cybersécurité selon le NIST
La meilleure façon de comparer Illumio et EDR est de considérer le contexte plus large de la cybersécurité.
Les produits Illumio et EDR remplissent différents rôles dans le NIST Cybersecurity Framework, la norme officielle du gouvernement américain pour les outils et les pratiques de cybersécurité. Le cadre de cybersécurité du NIST définit cinq fonctions qui, au plus haut niveau, organisent les opérations de cybersécurité. Ces cinq fonctions sont les suivantes
- Identifier
- Protéger
- Détecter
- Répondre
- Récupérer
Les produits EDR, comme leur nom l'indique, couvrent les fonctions de détection et de réponse. Ils détectent une activité suspecte ou une attaque pure et simple sur un point d'accès. Ils réagissent ensuite aux activités suspectes ou aux attaques en prenant des mesures correctives. Ils peuvent envoyer une alerte à votre système de gestion des informations et des événements de sécurité (SIEM), lancer un processus d'activation d'un outil antivirus, supprimer ou mettre en quarantaine des fichiers, et effectuer une combinaison de ces actions ou d'autres.
La segmentation zéro confiance d'Illumio joue un rôle différent dans la cybersécurité. Illumio protège continuellement le réseau contre les attaquants qui se déplacent d'un point d'extrémité à un autre. Si une attaque subtile parvient à atteindre un point d'extrémité - et éventuellement, en raison de vulnérabilités logicielles ou d'attaques Zero-Day, une attaque parviendra à atteindre un point d'extrémité quelque part - Illumio protège votre organisation en refusant l'accès et en l'empêchant de se déplacer latéralement à travers le réseau de votre organisation.
Illumio limite les mouvements des attaquants en refusant tout trafic réseau par défaut - c'est le modèle de sécurité Zero Trust. Au lieu de cela, Illumio n'autorise que le trafic que les équipes de sécurité et d'exploitation ont jugé nécessaire après avoir examiné la carte de dépendance des applications en temps réel d'Illumio. La carte de dépendance des applications montre les chemins du réseau dont dépendent les applications critiques.
De plus, Illumio permet aux équipes de sécurité d'appliquer facilement des politiques qui bloquent les protocoles réseau essentiels à de nombreuses attaques de logiciels malveillants. Par exemple, près de la moitié des attaques de ransomware au troisième trimestre 2021 reposaient sur le protocole RDP. Conçu à l'origine pour permettre aux agents du service d'assistance d'accéder aux ordinateurs des employés, RDP a fini par servir de réseau ouvert de ruelles que les attaquants peuvent emprunter à l'intérieur des organisations. Illumio permet aux équipes de sécurité de définir et d'appliquer des politiques restreignant RDP et d'autres protocoles dangereux en quelques minutes seulement, augmentant ainsi considérablement la protection contre les attaques.
Lorsqu'un point d'accès est violé, Illumio empêche l'attaque de se propager davantage, maintenant ainsi la disponibilité de vos systèmes et de votre entreprise. Lorsque le système EDR détecte l'attaque, un processus automatisé peut arrêter et mettre en quarantaine les charges de travail infectées :
- Les attaques sont isolées au point d'attaque
- L'attaque est détectée par l'EDR ou l'XDR
- Les charges de travail infectées sont mises en quarantaine
- Les protocoles appropriés sont bloqués dans toute l'infrastructure
Quels que soient les outils de sécurité des terminaux que vous avez mis en place, votre organisation devrait également tirer parti de la protection offerte par la segmentation zéro confiance. Les produits EDR et XDR ( Extended Detection and Response ), aussi performants soient-ils aujourd'hui, ne sont pas infaillibles. De plus, la visibilité étant limitée aux terminaux eux-mêmes, les produits EDR passent parfois à côté d'attaques en plusieurs étapes au fur et à mesure de leur déroulement. En d'autres termes, les outils EDR n'offrent pas une protection totale et leur détection est souvent limitée.
EDR vs. XDR vs. Illumio
Les produits EDR, par définition, ne fonctionnent que sur des terminaux gérés. Il n'est pas surprenant qu'ils offrent une vision des menaces centrée sur les points d'extrémité.
Les produits XDR (Extended Detection and Response) élargissent la portée de la surveillance de la sécurité pour inclure le courrier électronique, les terminaux, les serveurs, les charges de travail en nuage et le trafic réseau. En fournissant aux équipes de sécurité un ensemble plus large de données corrélées pour analyser les menaces, les produits XDR facilitent la détection des attaques furtives. Par exemple, les produits XDR peuvent être en mesure de détecter des attaques en plusieurs étapes que les produits EDR traditionnels risquent de manquer.
Mais si les produits XDR offrent une vision plus large de l'activité informatique, leur travail relève des mêmes fonctions du cadre de cybersécurité du NIST que l'EDR : ils détectent et réagissent. Aucune de ces deux technologies ne répond au besoin de protection qu'offre la segmentation zéro confiance.
Ni l'EDR ni le XDR ne permettent d'analyser systématiquement l'ensemble du trafic associé à une application. Pour obtenir cette vue, vous avez besoin de la carte des dépendances d'Illumio. Les produits EDR et XDR ne peuvent pas non plus générer instantanément des règles de pare-feu basées sur l'hôte pour appliquer la segmentation zéro confiance à grande échelle. Pour générer ces règles, vous avez besoin des capacités du moteur de calcul des politiques d'Illumio.
Illumio complète les produits EDR et XDR en réduisant la surface d'attaque grâce à des politiques de segmentation sans confiance qui laissent peu de marge de manœuvre aux attaquants.
Mieux ensemble : Illumio avec EDR ou XDR
Quel que soit le produit EDR ou XDR que vous déployez, vous avez toujours besoin d'un moyen rapide, flexible et évolutif de segmenter le réseau, d'appliquer des contrôles de confiance zéro et d'empêcher les attaquants de s'engager dans un mouvement latéral.
Pour en savoir plus sur la façon dont Illumio, le leader de la segmentation sans confiance, peut vous aider :
- Lisez les derniers rapports Forrester Wave sur la confiance zéro et la microsegmentation.
- Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.
.webp)
