Por qué necesita la segmentación EDR y Zero Trust
La gente a veces nos pregunta si necesitan Illumio si ya tienen un Detección y respuesta de puntos finales (EDR) producto. O preguntan si aún necesitan EDR si ya tienen Illumio.
La respuesta es que necesita Segmentación de Confianza Cero y un producto EDR. Illumio y EDR se complementan entre sí, creando una defensa más robusta contra los ciberataques.
He aquí por qué Illumio y EDR son herramientas de seguridad esenciales y por qué, en conjunto, harán que las defensas cibernéticas de su organización sean aún más fuertes.
Diferentes productos para diferentes roles de ciberseguridad del NIST
La mejor manera de comparar Illumio y EDR es considerar el mayor contexto de ciberseguridad.
Los productos Illumio y EDR cumplen diferentes funciones en el Marco de Ciberseguridad del NIST, el estándar oficial del gobierno de Estados Unidos para las herramientas y prácticas de ciberseguridad. El Marco de Ciberseguridad del NIST destaca cinco funciones que, en su nivel más alto, organizan las operaciones de ciberseguridad. Estas cinco funciones son:
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
Los productos EDR, como su nombre indica, cubren las funciones Detectar y Responder. Ellos detectar actividad sospechosa o un ataque directo a un endpoint. Entonces ellos responder a actividades sospechosas o ataques mediante la adopción de medidas correctivas. Podrían enviar una alerta a su sistema de información de seguridad y administración de eventos (SIEM), iniciar un proceso para activar una herramienta antivirus, eliminar o poner en cuarentena archivos y realizar alguna combinación de estas u otras acciones.
Segmentación de confianza cero de Illumio juega un papel diferente en la ciberseguridad. Illumio continuamente protege la red contra atacantes que se mueven de un punto final a otro. Si un ataque sutil llega a un punto final y, eventualmente, debido a vulnerabilidades de software o Ataques de día cero, un ataque voluntad llegar a algún punto final en algún lugar: Illumio protege a su organización al denegar el acceso y evitar que se mueva lateralmente a través de la red de su organización.
Illumio restringe los movimientos de los atacantes al negar todo el tráfico de red de forma predeterminada, ese es el modelo de seguridad Zero Trust. En cambio, Illumio solo permite el tráfico que los equipos de seguridad y operaciones han considerado necesario después de revisar el mapa de dependencia de aplicaciones en tiempo real de Illumio. El mapa de dependencia de aplicaciones muestra los paths de red de los que dependen las aplicaciones críticas para el negocio.
Además, Illumio facilita que los equipos de seguridad hagan cumplir políticas que bloquean protocolos de red esenciales para muchos ataques de malware. Por ejemplo, casi la mitad de los ataques de ransomware en el tercer trimestre de 2021 se basaron en el protocolo RDP. Originalmente diseñado para dar acceso a los agentes de la mesa de ayuda a las computadoras de los empleados, RDP ha terminado sirviendo como una red abierta de callejones traseros para que los atacantes atraviesan dentro de las organizaciones. Illumio permite que los equipos de seguridad definan y hagan cumplir políticas que restrinjan RDP y otros protocolos peligrosos en cuestión de minutos, lo que aumenta significativamente la protección contra ataques.
Cuando se rompe un endpoint, Illumio evita que el ataque se extienda aún más, manteniendo la disponibilidad de sus sistemas y del negocio. Cuando el sistema EDR detecta el ataque, un proceso automatizado puede apagar y poner en cuarentena cualquier carga de trabajo infectada:
- Los ataques se aíslan en el punto de ataque
- El ataque es detectado por el EDR o XDR
- Las cargas de trabajo infectadas se ponen en cuarentena
- Los protocolos apropiados están bloqueados en toda la infraestructura
Independientemente de las herramientas de seguridad de punto final que tenga implementadas, su organización también debe aprovechar la protección que brinda la Segmentación de Confianza Cero. Tan bueno como EDR y Detección y respuesta ampliadas Los productos (XDR) son hoy en día, no son infalibles. Y con una visibilidad limitada a los propios endpoints, los productos EDR a veces pierden ataques en varias etapas a medida que se desarrollan. En otras palabras, las herramientas EDR no proporcionan protección completa e incluso su detección suele ser limitada.
EDR frente a XDR contra Illumio
Los productos EDR, por definición, se ejecutan únicamente en endpoints administrados. No es sorprendente que proporcionen una visión centrada en el punto final de las amenazas.
Los productos Extended Detection and Response (XDR) amplían el alcance del monitoreo de seguridad para incluir correo electrónico, endpoints, servidores, cargas de trabajo en la nube y tráfico de red. Al proporcionar a los equipos de seguridad una colección más amplia de datos correlacionados para analizar amenazas, los productos XDR facilitan la detección de ataques sigilosos. Por ejemplo, los productos XDR podrían detectar ataques de varias etapas que los productos EDR tradicionales podrían pasar por alto.
Pero si bien los productos XDR proporcionan una visión más amplia de la actividad de TI, su trabajo cae en las mismas funciones del marco de ciberseguridad NIST que EDR: detectan y responden. Ninguna de las dos tecnologías satisface la necesidad de protección que proporciona la Segmentación de Confianza Cero.
Ni EDR ni XDR proporcionan una manera sistemática de analizar todo el tráfico asociado a una aplicación. Para obtener esa vista, necesitas Illumio mapa de dependencia de aplicaciones. Los productos EDR y XDR tampoco pueden generar instantáneamente reglas de firewall basadas en host para hacer cumplir la Segmentación de Confianza Cero a escala. Para generar esas reglas, necesita las capacidades que se encuentran en Illumio Motor de computación de políticas.
Illumio complementa los productos EDR y XDR al reducir la superficie de ataque con políticas de Segmentación de Confianza Cero que dejan poco margen de maniobra a los atacantes.
Mejor juntos: Illumio con EDR o XDR
Independientemente del producto EDR o XDR que implemente, aún necesita una forma rápida, flexible y escalable de segmentar la red, hacer cumplir los controles de Zero Trust y evitar que los atacantes se involucen en movimientos laterales.
Para obtener más información sobre cómo Illumio, el líder en Segmentación de Confianza Cero, puede ayudar:
- Leer lo último Informes de Forrester Wave en Zero Trust y microsegmentación.
- Contáctanos hoy para agendar una consulta y demostración.