/
Cyber-Resilienz

Wenn EDR fehlschlägt: Die Bedeutung von Containment in der Endpunktsicherheit

Es kommt zu Sicherheitsverletzungen, und die Erkennung schlägt fehl. Dies zu akzeptieren, bedeutet nicht, dass Erkennungstools versagen. Überhaupt nicht – sie sind eines der ausgefeiltesten Werkzeuge, die die unglückliche Aufgabe haben, Katz und Maus mit schlechten Schauspielern zu spielen.

Während Tools wie Endpoint Detection and Response (EDR) zum Synonym für Endpunktsicherheit geworden sind, ist die Realität, dass Unternehmen verwundbar sein können, wenn sie sich nur auf einen einzigen Ansatz verlassen. Eine Zero-Trust-Mentalität, die davon ausgeht, dass es zu einer Sicherheitsverletzung kommen wird, erfordert eine ebenso hohe Priorisierung der Eindämmung wie der Erkennung.

Selbst das härteste EDR-Mittel ist nicht immun gegen Manipulationen. Jüngste Erkenntnisse einer Online-Persona namens "Spyboy" zeigen dies. Für nur 300 US-Dollar kann ein Bedrohungsakteur die meisten EDRs mit dem richtigen Zugriff beenden . Schwachstellen wie diese sind alarmierend, aber nicht katastrophal, wenn sich Sicherheitsteams auf den Moment vorbereiten, in dem EDR ausfällt.

Schließen der Tür bei seitlicher Bewegung

Bei der Eindämmung geht es darum, Angreifer zu stoppen und zu verlangsamen. Mit Eindämmungsmaßnahmen wie Zero Trust Segmentation (ZTS) können Unternehmen die Ausbreitung von Angreifern proaktiv stoppen, indem sie laterale Bewegungen von der betroffenen Workload oder dem betroffenen Endpunkt verhindern. Das Beste daran ist, dass die Einschränkung der lateralen Bewegung dazu beiträgt, die Zeit zu verlängern, die andere Erkennungstools haben, um den Vorfall zu erkennen.

ZTS ist eine bewährte Eindämmungsstrategie. Bei einem Test durch die offensive Sicherheitsfirma Bishop Fox stellten sie fest, dass ihre Red Teams mit aktiviertem ZTS 9-mal länger brauchten, um einen Angriff erfolgreich auszuführen. Ein zusätzlicher Vorteil war auch, dass sie Angriffe 4-mal schneller erkennen konnten, nur weil die Angreifer mehr Lärm verursachen mussten, wenn sie versuchten, sich zu bewegen.

Es gibt mehrere Bereiche, in denen sich die Eindämmung sofort auf jede Endpunktsicherheitsstrategie auswirken kann.

Volle Transparenz

Sechzig Prozent der Unternehmen haben mit unzureichender Transparenz zu kämpfen, was es schwierig macht, die Sicherheitslage zu verbessern. Ohne vollständige Transparenz über alle Assets ist es fast unmöglich, laterale Bewegungen zu stoppen. Wenn sich Unternehmen ausschließlich auf die Erkennung verlassen, sind sie anfällig für Angriffe, die EDR-Lösungen vollständig umgehen können. Die Eindämmung spielt eine entscheidende Rolle, indem proaktive Maßnahmen zur Isolierung und Neutralisierung von Bedrohungen implementiert werden, unabhängig von ihrem Eintrittspunkt.

Dämmen Sie selbst die raffiniertesten Bedrohungen ein

Besonders gefährlich sind Zero-Day-Exploits, die Erkennungsmechanismen leicht umgehen können. Die Erkennung dieser ausgeklügelten Bedrohungen braucht Zeit. Durch die Priorisierung der Eindämmung können Unternehmen die Auswirkungen von Bedrohungen minimieren, indem sie kompromittierte Systeme isolieren und laterale Bewegungen verhindern, selbst wenn sie nicht sofort erkannt werden.

Stoppen Sie Bedrohungen schnell

Selbst wenn eine Sicherheitsverletzung schnell erkannt wird, besteht immer noch ein Risiko. Ohne eine schnelle Reaktion kann ein Angreifer sein Ziel dennoch erreichen. Eine verzögerte Reaktion kann es Angreifern ermöglichen, tiefer in ein Netzwerk einzudringen. Die Notwendigkeit einer schnellen Eindämmung sollte nicht unterschätzt werden. Durch die Implementierung von Eindämmungsstrategien neben EDR können Unternehmen Bedrohungen schnell entschärfen, potenzielle Schäden minimieren und die Zeit für die Wiederherstellung des normalen Betriebs verkürzen.

Weniger – und genauere – Netzwerkwarnungen

Alarmmüdigkeit ist real. Durch die Reduzierung der Wege für laterale Bewegungen haben die Netzwerkwarnungen, die immer noch auftauchen, das Potenzial, genauer zu sein. Die Isolierung verdächtiger Endpunkte durch Eindämmungsstrategien verschafft den nötigen Spielraum, um echte Bedrohungen zu untersuchen und genau darauf zu reagieren.

Schutz vor Insider-Bedrohungen

EDR-Lösungen, die sich auf die Suche nach Indikatoren für eine Kompromittierung konzentrieren, können böswillige Aktionen von privilegierten Insidern oder kompromittierten Konten möglicherweise nicht erkennen. Eindämmungsstrategien wie ZTS können dazu beitragen, den durch Insider-Bedrohungen verursachten Schaden zu minimieren. Durch die Einschränkung der Bewegungsfreiheit bietet die Eindämmung eine zusätzliche Schutzschicht gegen diese internen Bedrohungen.

Gemeinsam besser: Illumio Endpoint und EDR

Um die Herausforderungen zu bewältigen, mit denen EDR konfrontiert ist, müssen Unternehmen neben der Erkennung auch die Eindämmung priorisieren. Durch eine Zero-Trust-Denkweise und die Implementierung von Eindämmungsstrategien wie ZTS können Unternehmen Angreifer proaktiv verlangsamen und laterale Bewegungen verhindern.

Illumio Endpoint bietet Containment, das auf dem Endpunkt selbst erzwungen wird. Mit Illumio wird die laterale Bewegung auf dem Host gestoppt, wodurch die Abhängigkeit von jeglicher Netzwerkinfrastruktur für diese kritischen, risikoreduzierenden Funktionen verringert wird.

Sind Sie bereit, mehr über Illumio Endpoint zu erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Verwandte Artikel

Wie Illumio Transparenzlücken in Container-Umgebungen schließt
Cyber-Resilienz

Wie Illumio Transparenzlücken in Container-Umgebungen schließt

Erfahren Sie, wie Illumio vollständige Transparenz innerhalb und außerhalb von Kubernetes- und OpenShift-Clustern bietet, blinde Flecken beseitigt und Sicherheitsverletzungen eindämmt.

Branchenexperten über die 3 wichtigsten Best Practices für Cybersicherheit
Cyber-Resilienz

Branchenexperten über die 3 wichtigsten Best Practices für Cybersicherheit

Holen Sie sich die besten Cybersicherheitstipps, die Sie jetzt umsetzen müssen, von Führungskräften bei Microsoft, IBM, Cylera, AWS und anderen.

3 Wege, wie Illumio im September 2023 bei der Innovation im Bereich Cybersicherheit führend war
Cyber-Resilienz

3 Wege, wie Illumio im September 2023 bei der Innovation im Bereich Cybersicherheit führend war

Erfahren Sie, was die Führungskräfte und Top-Sicherheitsexperten von Illumio in diesem Monat über Firewall, Cloud-Sicherheit und KI-Innovationen von Illumio zu sagen hatten.

3 Best Practices für die Implementierung von Illumio Endpoint
IL L U M IO P R O D U K T E

3 Best Practices für die Implementierung von Illumio Endpoint

Holen Sie sich drei einfache, aber effektive Schritte, die erforderlich sind, um Ihre Endpunkte mit Illumio zu sichern.

Illumio Endpoint Demo: Schneller ROI für die Endpunktsegmentierung
IL L U M IO P R O D U K T E

Illumio Endpoint Demo: Schneller ROI für die Endpunktsegmentierung

Sehen Sie sich diese Illumio Endpoint-Demo an, um zu erfahren, wie die Endpunktsegmentierung mit Illumio einen schnellen ROI bietet.

Warum Hacker Endpunkte lieben – und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können
IL L U M IO P R O D U K T E

Warum Hacker Endpunkte lieben – und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können

Herkömmliche Sicherheit macht Endpunkte für Hacker weit offen. Erfahren Sie, wie Sie sich mit Illumio Endpoint proaktiv auf Sicherheitsverletzungen vorbereiten können.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?