サイバーセキュリティのROIを高める方法:ZTSとEDRの組み合わせ

Illumio Editorial

1月 18日、 2023

23分読む

組織がますます複雑化する脅威の状況に直面し続ける中、従来のセキュリティアプローチでは高度な脅威から保護するにはもはや十分ではありません。

これは、1 回の侵害がネットワーク全体に急速に広がり、危険にさらされる可能性があるエンドポイントセキュリティに関しては特に当てはまります。

ゼロトラスト:流行語ではなく、不可欠な考え方です

ゼロトラストの概念は近年注目を集めています。

流行語であることは別として、その中心となる概念は、あらゆるデバイスまたはユーザーが侵害されることを想定することです。この概念は理論的には単純ですが、この概念は人間の脳の仕組みに反していることを認識する必要があります。

リスクに直面したとき(つまり、侵害が発生する)、私たちはこのようなことは自分には起こらないと考えたがります。しかし、宝くじを買うとき、私たちは自分が勝者になれるかもしれないと考えるのが好きです。

それでも、私たちは予防策を講じています。エンドポイントでは、最新のパッチがタイムリーに適用され、デバイスアクセスがIDに基づいて制限されていることを確認し、重要なことに、ラップトップやワークステーションにエンドポイントセキュリティツール、最も一般的にはエンドポイント検出と応答(EDR)をインストールしています。

これらはすべてエンドポイントセキュリティ戦略に不可欠ですが、避けられない侵害が発生した場合には必ずしも役立つとは限りません。

その場合は、攻撃者やランサムウェアが他のデバイスにピボットしてネットワーク全体に拡散できないように、封じ込め対策に頼る必要があります。

レベルアップ:EDRへの投資をさらに活用する

ゼロトラストアプローチの重要な要素の1つは、ゼロトラストセグメンテーション(ZTS)とも呼ばれるセグメンテーションです。これには、ネットワークをより小さく分離されたセグメントに分割し、それらの間の通信を厳密に制御することが含まれます。その結果、攻撃者はネットワークを介して拡散することがはるかに困難になり、侵害による潜在的な被害が制限されます。

ゼロトラストセグメンテーションの詳細については、こちらをご覧ください。

エンドポイントでは、これは、トラブルシューティング中にデバイスを制御する必要がある可能性のあるIT外部のピアツーピア通信を防ぐことを意味します。さらに良いことに、サーバーワークロードへのアクセスを、そのアプリケーションを使用するユーザーのみに制限します。

エンドポイントセキュリティは従来、検出ベースのシステムに過度に依存しており、検出を回避できる高度な脅威に対して脆弱になる可能性があります。または、資格情報が盗まれた場合、そもそも検出すべき最初の侵害はありません。セグメンテーションによって攻撃対象領域を制限することで、検出が遅れるリスクを大幅に制限できます。

ネットワークが必要なものへのアクセスのみを提供し、デフォルトで拒否ルールを適用する場合、脅威アクターが拡散して気づかれないことははるかに困難になります。

侵害の封じ込めに重点を置くことで、EDR やその他の検出ツールは、異常を検出して適切なアクションを実行するのに十分な時間を得ることができます。

EDR に ZTS が必要な理由の詳細については、こちらをご覧ください。