Achten Sie auf die Lücke: Warum EDR eine Zero-Trust-Segmentierung benötigt

Die Verweildauer, auch bekannt als Lücke bei der Erkennung von Sicherheitsverletzungen, beschreibt den Unterschied zwischen dem ersten Eintreten des Verstoßes und seiner Erkennung. Im Bereich Cybersicherheit konzentrieren wir uns voll und ganz darauf, die Verweildauer zu verkürzen, um Angriffe abzuwehren, bevor sie Schaden anrichten können. Trotz unermüdlicher Innovationen bei den Erkennungsfunktionen müssen wir anerkennen, dass es sich per Definition um ein Katz-und-Maus-Spiel handelt, bei dem der Angreifer immer im Vorteil ist.

Als Verteidiger sind wir dabei, mit den Konsequenzen aus der realen Welt Schritt zu halten. Erst in den letzten Monaten haben wir über Sicherheitslücken gelesen unter Medibank, Uber, und Plex. Diese Vorfälle erinnern uns daran, dass ein Verstoß unvermeidlich und, insbesondere im Fall MediBank, kostspielig ist.

Die Zukunft der Erkennung

Innovationen in den Bereichen maschinelles Lernen (ML) und künstliche Intelligenz (KI) durch Anbieter von Endpoint, Detection & Response (EDR) haben Blue Teams in den letzten zehn Jahren einen deutlichen Leistungssprung beschert, aber dieser Technologie sind Grenzen gesetzt.

Die Erkennung kann immer noch umgangen werden.

Beispielsweise wirkt sich eine Änderung der Malware-Codesprache, die Agententemperierung oder dateilose Malware erheblich auf die Erkennungsrate aus. Unsere Abwehrtools werden intelligenter werden, um diese Lücken zu schließen, aber das wird die Angreifer nur dazu drängen, kreativere Problemumgehungen zu entwickeln.

Bei jeder Verhaltens- oder Codeänderung müssen sich EDR-Anbieter anpassen, was zu einer erhöhten Mean Time to Detection (MTTD) führt.

Also, wo führt uns das hin? Unternehmen haben über investiert 28 Milliarden $ in die Endpunktsicherheit, wobei der Schwerpunkt auf der Erkennung liegt, ohne dass Sicherheitslücken entdeckt werden. Tatsächlich benötigt ein Unternehmen im Durchschnitt 277 Tage, um eine Sicherheitsverletzung zu erkennen und einzudämmen, wie aus den Bericht über die Kosten einer Datenschutzverletzung 2022 von IBM.

Eine lange Verweildauer gibt Angreifern die Möglichkeit, sich unentdeckt im Netzwerk auszubreiten, Persistenz aufzubauen, sekundäre Hintertüren zu schaffen und schließlich Daten zu exfiltrieren oder Ransomware einzusetzen.

Machen Sie sich nicht zu viele Gedanken: EDR wird benötigt, um auf Bedrohungen zu reagieren

Das Aufrufen einer Schwäche macht EDR jedoch nicht als unwirksam. Tatsächlich können wir argumentieren, dass EDR jetzt, da wir versuchen, Daten aus allen Quellen mit XDR auf einer einzigen Sicherheitsplattform zu konsolidieren, wichtiger denn je ist.

Es ist auch wichtig, den letzten Buchstaben in der EDR-Antwort auszurufen. Ohne eine leistungsfähige EDR-Lösung nach Bedrohungen zu suchen, ist nahezu unmöglich.

Die Fähigkeit, auf einen Vorfall in großem Umfang zu reagieren, ist die einzige Möglichkeit, einen Angreifer aus einer umfassenden Umgebung zu vertreiben, und hier müssen wir uns auf EDR verlassen, wenn es darum geht, Bedrohungen von unseren Endpunkten abzuwehren.

Ein neues Paradigma — Eindämmung von Sicherheitsverletzungen

Eine tiefgreifende Verteidigung, die Praxis, unabhängige Sicherheitskontrollen hinzuzufügen, ist unser bester Schritt. Auf diese Weise verfügen wir über andere Verteidigungsebenen, wenn die Erkennung unzureichend ist.

Das heißt nicht, dass wir aufhören sollten, uns darauf zu konzentrieren, die Verweildauer zu reduzieren; wir müssen nur dem Rattenrennen entkommen und neue Abwehrmechanismen implementieren, die nicht von der Erkennung abhängig sind. In die Eindämmung von Sicherheitsverletzungen zu investieren, ist unser wirksamster Schritt.

Durch die Implementierung der Zero-Trust-Segmentierung (ZTS) auf allen unseren Endpunkten mit Illumio Endpunkt, können wir proaktiv verhindern, dass sich zukünftige Angreifer von einem einzigen kompromittierten Endpunkt auf das gesamte Netzwerk ausbreiten. Indem wir uns auf die Eindämmung konzentrieren, verlängern wir die Zeit, die unserer EDR-Lösung zur Erkennung einer Sicherheitslücke zur Verfügung steht, bevor sie zu einer Katastrophe wird, und überdenken neu, wie wir über MTTD und Verweildauer denken.

Wie Erdnussbutter und Gelee

Illumio füllt unabhängig vom Angriffsmuster die Lücke zwischen Vorfall und Erkennung.

Die Kombination von proaktiver Technologie wie ZTS mit reaktiver Technologie wie EDR an jedem Endpunkt verringert die Schwäche der Verweilzeit und erhöht gleichzeitig die Reaktionsfähigkeit erheblich. Laut der Sicherheitsfirma Bishop Fox, die auf offensiven Angriffen spezialisiert ist, werden Erkennung und Reaktion sogar radikal mit Illumio kombiniert hat verhindert, dass sich ein Angreifer ausbreitet, während er viermal schneller erkannt hat.

Verstöße führen nirgendwohin. Doch die Eindämmung von Sicherheitsverletzungen an jedem Endpunkt stellt sicher, dass Ihr Unternehmen gegen alles gewappnet ist, was noch bevorsteht.

Erfahre mehr über warum Sie sowohl EDR als auch Zero-Trust-Segmentierung benötigen.

Kontaktiere uns heute, um eine Beratung und Demonstration zu vereinbaren.