EDR が失敗した場合: エンドポイントセキュリティにおける封じ込めの重要性

6月 2日、 2023

23分読む

侵害が発生し、検出は失敗します。これを受け入れたからといって、検出ツールが失敗しているわけではありません。まったくそうではありません – これらは最も洗練されたツールの 1 つですが、悪質な行為者といたちごっこをするという不幸な任務を負っています。

エンドポイント検出と対応 (EDR) などのツールはエンドポイントセキュリティの代名詞となっていますが、現実には、単一のアプローチのみに依存すると組織が脆弱になる可能性があります。侵害が発生することを想定するゼロトラストの考え方を採用するには、検出と同じくらい封じ込めを優先する必要があります。

最も硬化したEDRエージェントでさえ、改ざんされないわけではありません。「スパイボーイ」という名前のオンラインペルソナからの最近の調査結果は、これを証明しています。脅威アクターは、わずか 300 ドルで、適切なアクセス権があればほとんどの EDR を終了できます。このような脆弱性は憂慮すべきものですが、セキュリティチームがEDRが失敗する瞬間に備えれば壊滅的なものではありません。

横方向の移動でドアを閉める

封じ込めとは、攻撃者を阻止し、速度を落とすことです。ゼロトラストセグメンテーション(ZTS)などの封じ込め対策により、組織は影響を受けるワークロードやエンドポイントからのラテラルムーブメントを防ぐことで、攻撃者の拡散をプロアクティブに阻止できます。最も良い点は、横方向の動きを制限することで、他の検出ツールがインシデントを検出する時間が長くなることです。

ZTSは実証済みの封じ込め戦略です。攻撃的なセキュリティ会社であるBishop Foxがテストしたところ、ZTSを導入すると、レッドチームが攻撃を成功させるまでに 9倍の時間がかかることがわかりました。追加の利点として、攻撃者が動き回ろうとしてより多くのノイズを発生させる必要があったため、攻撃を 4 倍速く検出するのにも役立ちました。

封じ込めがエンドポイントセキュリティ戦略に即座に影響を与える可能性がある領域は複数あります。

完全な可視性を獲得

組織の60%が不十分な可視性に悩まされており、セキュリティ体制の改善が困難になっています。すべての資産を完全に可視化しなければ、ラテラルムーブメントを止めることはほとんど不可能です。検出のみに依存すると、組織はEDRソリューションを完全にバイパスできる攻撃に対して脆弱になります。封じ込めは、侵入ポイントに関係なく、脅威を隔離して無力化するための事前対策を実施することで重要な役割を果たします。

最も高度な脅威も封じ込める

検出メカニズムを簡単に回避できるゼロデイエクスプロイトは特に危険です。これらの高度な脅威の検出には時間がかかります。封じ込めを優先することで、組織は、すぐに検出されない場合でも、侵害されたシステムを隔離し、ラテラルムーブメントを防止することで、脅威の影響を最小限に抑えることができます。

脅威を迅速に阻止

侵害を迅速に検出したとしても、リスクは依然として存在します。迅速な対応がなければ、攻撃者は目的を達成する可能性があります。応答が遅れると、攻撃者はネットワークの奥深くまで侵入する可能性があります。迅速な封じ込めの必要性を過小評価すべきではありません。EDR と並行して封じ込め戦略を実装することで、組織は脅威を迅速に軽減し、潜在的な損害を最小限に抑え、通常の運用の復旧にかかる時間を短縮できます。

ネットワークアラートの削減と精度の向上

警戒疲労は現実のものです。ラテラルムーブメントの経路を減らすことで、ポップアップするネットワークアラートがより正確になる可能性があります。封じ込め戦略を通じて疑わしいエンドポイントを隔離することで、真の脅威を調査して正確に対応するために必要な息抜きの余地が得られます。

内部脅威からの保護

侵害の兆候を見つけることに重点を置いたEDRソリューションは、特権的な内部関係者や侵害されたアカウントによる悪意のあるアクションを特定できない可能性があります。ZTS などの封じ込め戦略は、内部脅威による被害を最小限に抑えるのに役立ちます。移動を制限することで、封じ込めはこれらの内部脅威に対する保護層を追加します。