ギャップに注意:EDRにゼロトラストセグメンテーションが必要な理由

滞留時間は、侵害検出ギャップとも呼ばれ、最初に発生した侵害と検出される間の差分を表します。サイバーセキュリティの分野では、攻撃が害を及ぼす前に阻止するために滞留時間を短縮することに重点を置いています。検出機能の絶え間ない革新にもかかわらず、定義上、攻撃者が常に有利であるいたちごっこであることを認識しなければなりません。

擁護者として、私たちは現実世界の結果に追いつくために努力しています。ここ数か月で、 MediBank、 Uber、 Plex での侵害について読み上げてきました。これらの事件は、侵害は避けられず、特にメディバンクのケースではコストがかかることを思い出させます。

検出の未来

エンドポイント、検出、対応(EDR)ベンダーによる機械学習(ML)と人工知能(AI)へのイノベーションにより、過去10年間でブルーチームの能力が大幅に向上しましたが、このテクノロジーには限界があります。

検出は回避できます。

たとえば、マルウェア コード言語の変更、エージェントのテンパリング、ファイルレス マルウェアは、検出率に大きく影響します。私たちの防御ツールは、これらのギャップを解決するためにより賢くなりますが、これは攻撃者により創造的な回避策の開発を促すだけです。

EDRベンダーは、動作やコードが変更されるたびに適応する必要があり、その結果、平均検出時間(MTTD)が長くなります。

では、これは私たちをどこに残すのでしょうか?企業は、侵害が未だに検出されないまま、検出に重点を置いたエンドポイントセキュリティに 280億ドル 以上を投資しています。実際、 IBMの2022年データ侵害コストレポートによると、組織は侵害を特定して封じ込めるのに平均277日かかります。

滞留時間が長いと、攻撃者は検出されずにネットワークに拡散し、永続性を確立し、セカンダリ バックドアを作成し、最終的にはデータを盗み出したり、ランサムウェアを展開したりする機会が得られます。

これにこだわらない:EDRは脅威に対応するために必要です

しかし、弱点を指摘したからといって、EDR が効果を失うわけではありません。実際、XDRを使用してすべてのソースからのデータを1つのセキュリティプラットフォームに統合しようとしている今、EDRはこれまで以上に重要になっていると主張できます。

EDRの最後の文字である応答を呼び出すことも重要です。有能なEDRソリューションがなければ、脅威をハンティングすることはほぼ不可能です。

大規模なインシデントに対応する能力は、構成された環境から攻撃者を排除する唯一の方法であり、エンドポイントから脅威を排除するにはEDRに頼らなければなりません。

新しいパラダイム - 侵害封じ込め

多層防御、つまり独立したセキュリティ制御レイヤーを追加する慣行は、私たちが前進する最善の方法です。こうすることで、検出が不十分な場合に、他の防御層が整います。

これは、滞在時間の短縮に重点を置くのをやめるべきだという意味ではありません。ただ、ラットレースから逃れ、検出に依存しない新しい防御層を実装する必要があります。侵害封じ込めへの投資は、私たちの最も効果的な前進です。

Illumio Endpointを使用してすべてのエンドポイントにゼロトラストセグメンテーション(ZTS)を実装することで、将来の攻撃者が侵害された単一のエンドポイントからネットワーク全体に広がるのをプロアクティブに防ぐことができます。封じ込めに重点を置くことで、EDR ソリューションが災害に発展する前に侵害を検出するために割り当てられた時間を延長し、MTTD と滞留時間についての考え方を再構築します。

ピーナッツバターやゼリーのように

イルミオは、攻撃パターンにとらわれず、インシデントと検出の間のギャップを埋めます。

ZTS などのプロアクティブ テクノロジーと EDR などのリアクティブ テクノロジーをすべてのエンドポイントで組み合わせることで、滞留時間の弱点が軽減されると同時に、応答能力も大幅に向上します。実際、攻撃的なセキュリティ会社ビショップ・フォックスによると、検出と対応をイルミオと組み合わせることで、 攻撃者の拡散を根本的に減らし、検出速度が4倍速くなりました。

侵害はどこにも行かない。しかし、すべてのエンドポイントで侵害封じ込めを採用することで、組織は今後のあらゆる事態に対して回復力を確保できます。

EDRとゼロトラストセグメンテーションの両方が必要な理由の詳細をご覧ください。

お問い合わせ 今すぐ相談とデモンストレーションを予約してください。