Wenn EDR versagt: Die Bedeutung von Containment in der Endpunktsicherheit
Verstöße passieren und die Erkennung schlägt fehl. Dies zu akzeptieren bedeutet nicht, dass die Erkennungstools versagen. Ganz und gar nicht — sie sind eines der ausgefeiltesten Tools, die die unglückliche Aufgabe haben, Katz und Maus mit schlechten Schauspielern zu spielen.
Tools wie Endpoint Detection and Response (EDR) sind zwar zum Synonym für Endpunktsicherheit, die Realität ist, dass Unternehmen verwundbar sein können, wenn sie sich ausschließlich auf einen einzigen Ansatz verlassen. Umarmen Sie einen Zero-Trust-Mentalität, bei dem davon ausgegangen wird, dass es zu einer Sicherheitsverletzung kommt, muss der Eindämmung ebenso viel Priorität eingeräumt werden wie der Erkennung.
Selbst das härteste EDR-Mittel ist nicht davor gefeit, manipuliert zu werden. Aktuelle Erkenntnisse einer Online-Person namens“Spionagejunge“ zeige das. Für nur 300$ kann ein Bedrohungsakteur abbrechen die meisten EDRs mit dem richtigen Zugang. Sicherheitslücken wie diese sind alarmierend, aber nicht katastrophal, wenn sich die Sicherheitsteams auf den Moment vorbereiten, in dem EDR ausfällt.
Tür bei seitlicher Bewegung schließen
Bei der Eindämmung geht es vor allem darum, Angreifer zu stoppen und zu verlangsamen. Mit Eindämmungsmaßnahmen wie Zero-Trust-Segmentierung (ZTS), können Unternehmen die Ausbreitung von Angreifern proaktiv stoppen, indem sie verhindern, dass sich die betroffene Workload oder der betroffene Endpunkt von der Seite bewegen. Das Beste daran ist, dass die Einschränkung lateraler Bewegungen dazu beiträgt, die Zeit zu verlängern, die anderen Erkennungstools zur Erkennung des Vorfalls zur Verfügung haben.
ZTS ist eine bewährte Eindämmungsstrategie. Als sie von der Offensivsicherheitsfirma Bishop Fox getestet wurden, stellten sie fest, dass mit ZTS ihre roten Teams benötigt wurden 9 mal länger um einen Angriff erfolgreich auszuführen. Als zusätzlichen Vorteil half es ihnen auch, Angriffe zu erkennen 4 mal schneller, nur weil die Angreifer beim Versuch, sich fortzubewegen, mehr Lärm machen mussten.
Es gibt mehrere Bereiche, in denen sich die Eindämmung sofort auf jede Endpunkt-Sicherheitsstrategie auswirken kann.
Verschaffen Sie sich einen vollständigen Überblick
Sechzig Prozent der Unternehmen haben mit unzureichender Sichtbarkeit zu kämpfen, was es schwierig macht Verbesserung der Sicherheitslage. Ohne einen vollständigen Überblick über alle Anlagen ist es fast unmöglich, seitliche Bewegungen zu stoppen. Wenn Unternehmen sich ausschließlich auf die Erkennung verlassen, sind sie anfällig für Angriffe, die EDR-Lösungen vollständig umgehen können. Die Eindämmung spielt eine entscheidende Rolle, indem proaktive Maßnahmen ergriffen werden, um Bedrohungen unabhängig von ihrem Eintrittspunkt zu isolieren und zu neutralisieren.
Selbst die raffiniertesten Bedrohungen eindämmen
Zero-Day-Exploits die Erkennungsmechanismen leicht umgehen können, sind besonders gefährlich. Die Erkennung dieser ausgeklügelten Bedrohungen braucht Zeit. Indem Unternehmen der Eindämmung Priorität einräumen, können sie die Auswirkungen von Bedrohungen minimieren, indem sie gefährdete Systeme isolieren und laterale Bewegungen verhindern, selbst wenn sie nicht sofort erkannt werden.
Stoppen Sie Bedrohungen schnell
Selbst wenn ein Verstoß schnell erkannt wird, besteht immer noch ein Risiko. Ohne eine schnelle Reaktion könnte ein Angreifer sein Ziel dennoch erreichen. Eine verzögerte Reaktion kann es Angreifern ermöglichen, tiefer in ein Netzwerk einzudringen. Die Notwendigkeit einer schnellen Eindämmung sollte nicht unterschätzt werden. Durch die Implementierung von Eindämmungsstrategien zusammen mit EDR können Unternehmen Bedrohungen schnell abwehren, potenzielle Schäden minimieren und den Zeitaufwand für die Wiederherstellung des normalen Betriebs reduzieren.
Weniger — und genauere — Netzwerkwarnungen
Alarmmüdigkeit ist real. Durch die Reduzierung der Pfade für seitliche Bewegungen haben die Netzwerkwarnungen, die immer noch auftauchen, das Potenzial, genauer zu sein. Die Isolierung verdächtiger Endpunkte durch Eindämmungsstrategien verschafft die nötige Atempause, um echte Bedrohungen zu untersuchen und präzise darauf zu reagieren.
Schutz vor Insider-Bedrohungen
EDR-Lösungen, die sich auf die Suche nach Anzeichen für eine Gefährdung konzentrieren, können böswillige Aktionen von privilegierten Insidern oder kompromittierten Konten möglicherweise nicht erkennen. Eindämmungsstrategien wie ZTS können dazu beitragen, den durch interne Bedrohungen verursachten Schaden zu minimieren. Durch die Einschränkung der Bewegungsfreiheit bietet die Eindämmung eine zusätzliche Schutzebene vor diesen internen Bedrohungen.
Besser zusammen: Illumio Endpoint und EDR
Um die Herausforderungen zu bewältigen, mit denen EDR konfrontiert ist, müssen Unternehmen neben der Erkennung auch der Eindämmung Priorität einräumen. Indem Unternehmen eine Zero-Trust-Mentalität verfolgen und Eindämmungsstrategien wie ZTS implementieren, können sie Angreifer proaktiv bremsen und laterale Bewegungen verhindern.
Illumio Endpunkt bietet Eindämmung, die am Endpunkt selbst durchgesetzt wird. Mit Illumio wird die seitliche Bewegung auf dem Host gestoppt, wodurch die Abhängigkeit von einer Netzwerkinfrastruktur für diese wichtigen, risikomindernden Funktionen reduziert wird.
Sind Sie bereit, mehr über Illumio Endpoint zu erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.