Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Quando o EDR falha: a importância da contenção na segurança de terminais

Illumio Editorial
Illumio Editorial
2 de junho de 2023
23 minutos. ler

As violações acontecem e a detecção falhará. Aceitar isso não significa que as ferramentas de detecção estejam falhando. De jeito nenhum — elas são uma das ferramentas mais sofisticadas que têm a infeliz tarefa de brincar de gato e rato com malfeitores.

Embora ferramentas como Endpoint Detection and Response (EDR) tenham se tornado sinônimo de segurança de terminais, a realidade é que confiar apenas em uma única abordagem pode deixar as organizações vulneráveis. Adotar uma mentalidade de Zero Trust, que pressupõe que uma violação acontecerá, exige priorizar a contenção tanto quanto a detecção.

Mesmo o agente EDR mais endurecido não está imune a ser adulterado. Descobertas recentes de uma pessoa on-line chamada “spyboy” demonstram isso. Por apenas $300, um agente de ameaças pode encerrar a maioria dos EDRs com o acesso correto. Vulnerabilidades como essas são alarmantes, mas não catastróficas se as equipes de segurança se prepararem para o momento em que o EDR falhar.

Fechando a porta em movimento lateral

A contenção tem tudo a ver com parar e desacelerar os atacantes. Com medidas de contenção como a Zero Trust Segmentation (ZTS), as organizações podem impedir proativamente a propagação de invasores, impedindo o movimento lateral da carga de trabalho ou do terminal afetado. A melhor parte é que restringir o movimento lateral ajuda a aumentar o tempo que outras ferramentas de detecção têm para detectar o incidente.

A ZTS é uma estratégia de contenção comprovada. Quando testados pela empresa de segurança ofensiva Bishop Fox, eles descobriram que, com o ZTS instalado, suas equipes vermelhas demoravam 9 vezes mais para executar um ataque com sucesso. Como benefício adicional, também os ajudou a detectar ataques 4 vezes mais rápido, apenas porque os atacantes precisavam criar mais ruído tentando se movimentar.

Há várias áreas em que a contenção pode impactar imediatamente qualquer estratégia de segurança de terminais.

Obtenha visibilidade total

Sessenta por cento das organizações enfrentam dificuldades com a visibilidade inadequada, o que dificulta a melhoria da postura de segurança. Sem visibilidade total de todos os ativos, é quase impossível interromper o movimento lateral. Confiar apenas na detecção deixa as organizações vulneráveis a ataques que podem contornar totalmente as soluções de EDR. A contenção desempenha um papel fundamental ao implementar medidas proativas para isolar e neutralizar ameaças, independentemente de seu ponto de entrada.

Contenha até as ameaças mais sofisticadas

Explorações de dia zero que podem facilmente contornar os mecanismos de detecção são especialmente perigosas. A detecção dessas ameaças sofisticadas leva tempo. Ao priorizar a contenção, as organizações podem minimizar o impacto das ameaças isolando os sistemas comprometidos e evitando movimentos laterais, mesmo na ausência de detecção imediata.

Pare as ameaças rapidamente

Mesmo ao detectar uma violação rapidamente, ainda há um risco. Sem uma resposta imediata, um atacante ainda pode atingir seu objetivo. Uma resposta atrasada pode permitir que os invasores penetrem mais profundamente na rede. A necessidade de contenção rápida não deve ser subestimada. Ao implementar estratégias de contenção junto com o EDR, as organizações podem mitigar ameaças rapidamente, minimizando possíveis danos e reduzindo o tempo necessário para restaurar as operações normais.

Menos — e mais precisos — alertas de rede

A fadiga de alerta é real. Ao reduzir os caminhos para o movimento lateral, os alertas de rede que ainda aparecem têm o potencial de serem mais precisos. Isolar terminais suspeitos por meio de estratégias de contenção fornece o espaço necessário para investigar e responder com precisão às ameaças genuínas.

Proteção contra ameaças internas

As soluções de EDR, que se concentram em encontrar indicadores de comprometimento, podem não identificar ações maliciosas de pessoas privilegiadas ou contas comprometidas. Estratégias de contenção, como a ZTS, podem ajudar a minimizar os danos causados por ameaças internas. Ao restringir o movimento, a contenção adiciona uma camada adicional de proteção contra essas ameaças internas.

Melhor juntos: Illumio Endpoint e EDR

Para enfrentar os desafios enfrentados pelo EDR, as organizações devem priorizar a contenção ao lado da detecção. Ao adotar uma mentalidade de Zero Trust e implementar estratégias de contenção como a ZTS, as organizações podem retardar proativamente os atacantes e impedir movimentos laterais.

O Illumio Endpoint fornece contenção imposta no próprio endpoint. Com o Illumio, o movimento lateral é interrompido no host, reduzindo a dependência de qualquer infraestrutura de rede para esses recursos críticos de redução de riscos.

Pronto para saber mais sobre o Illumio Endpoint? Entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

ponto final
Segurança de terminais

Artigos relacionados

Como a Illumio fecha as lacunas de visibilidade em ambientes de contêineres
Cyber Resilience

Como a Illumio fecha as lacunas de visibilidade em ambientes de contêineres

Saiba como o Illumio fornece visibilidade completa dentro e fora dos clusters Kubernetes e OpenShift, elimina pontos cegos e contém violações.

Read more
O braço longo do escritório de advocacia e o futuro da segurança cibernética
Cyber Resilience

O braço longo do escritório de advocacia e o futuro da segurança cibernética

Para um profissional de segurança em um escritório de advocacia, você deve fazer duas coisas: (1) proteger os dados do seu escritório e (2) fazer isso sem interromper o trabalho diário dos sócios e associados do escritório.

Read more
Qual é a base para a resiliência cibernética?
Cyber Resilience

Qual é a base para a resiliência cibernética?

Descubra como uma estratégia Zero Trust, baseada na microssegmentação, pode aumentar a resiliência nas organizações durante e após um incidente cibernético.

Read more
Três melhores práticas para implementar o Illumio Endpoint
IL L U M IO P R O D U T O S

Três melhores práticas para implementar o Illumio Endpoint

Obtenha três etapas simples, mas eficazes, necessárias para proteger seus endpoints com o Illumio.

Read more
Demonstração do Illumio Endpoint: Obtendo um ROI rápido da segmentação de endpoints
IL L U M IO P R O D U T O S

Demonstração do Illumio Endpoint: Obtendo um ROI rápido da segmentação de endpoints

Assista a esta demonstração do Illumio Endpoint para saber como a segmentação de endpoints com o Illumio oferece um ROI rápido.

Read more
Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint
IL L U M IO P R O D U T O S

Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint

A segurança tradicional deixa os endpoints abertos aos hackers. Saiba como se preparar proativamente para violações com o Illumio Endpoint.

Read more

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Learn more