¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
segmentación
Trevor Dearing
Director de Marketing de Soluciones Industriales
Illumio Editorial
29de abril de 2022
23 min. leer

Por qué necesita segmentación EDR y Zero Trust

A veces la gente nos pregunta si necesitan Illumio si ya tienen un producto de detección y respuesta de puntos finales (EDR). O preguntan si todavía necesitan EDR si ya tienen Illumio.

La respuesta es que necesita Zero Trust Segmentation y un producto EDR. Illumio y EDR se complementan entre sí, creando una defensa más estable contra los ciberataques.

He aquí por qué Illumio y EDR son herramientas de seguridad esenciales y por qué, juntas, fortalecerán aún más las ciberdefensas de su organización.

Diferentes productos para diferentes roles de ciberseguridad del NIST

La mejor manera de comparar Illumio y EDR es considerar el contexto más amplio de ciberseguridad.

Los productos Illumio y EDR cumplen diferentes funciones en el Marco de Ciberseguridad del NIST, el estándar oficial del gobierno de EE. UU. para herramientas y prácticas de ciberseguridad. El Marco de Ciberseguridad del NIST señala cinco funciones que, en su nivel más alto, organizan las operaciones de ciberseguridad. Estas cinco funciones son:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Los productos EDR, como su nombre indica, cubren las funciones de detección y respuesta. Detectan actividad sospechosa o un ataque directo a un endpoint. Luego responden a actividades sospechosas o ataques tomando medidas correctivas. Pueden enviar una alerta a su sistema de administración de eventos e información de seguridad (SIEM), iniciar un proceso para activar una herramienta antivirus, eliminar o poner en cuarentena archivos y realizar alguna combinación de estas u otras acciones.

La segmentación Illumio Zero Trust juega un papel diferente en la ciberseguridad. Illumio protege continuamente la red contra atacantes que se mueven de un punto final a otro. Si un ataque sutil logra penetrar un punto final (y eventualmente, debido a vulnerabilidades de software o ataques de día cero, un ataque logrará penetrar algún punto final en algún lugar), Illumio protege su organización denegando el acceso y evitando que se mueva lateralmente a través de la red de su organización.

Illumio restringe los movimientos de los atacantes al denegar todo el tráfico de red de forma predeterminada: ese es el modelo de seguridad Zero Trust. En cambio, Illumio solo permite el tráfico que los equipos de seguridad y operaciones consideraron necesario luego de revisar el mapa de dependencia de aplicaciones en tiempo real de Illumio. El mapa de dependencia de aplicaciones muestra las rutas de red de las que dependen las aplicaciones críticas para el negocio.

Además, Illumio facilita a los equipos de seguridad la aplicación de políticas que bloquean protocolos de red esenciales para muchos ataques de malware. Por ejemplo, casi la mitad de los ataques de ransomware en el tercer trimestre de 2021 se basaron en el protocolo RDP. RDP, que originalmente estaba diseñado para brindar a los agentes de la mesa de ayuda acceso a las computadoras de los empleados, terminó sirviendo como una red abierta de callejones traseros que los atacantes pueden atravesar dentro de las organizaciones. Illumio permite a los equipos de seguridad definir y aplicar políticas que restringen RDP y otros protocolos peligrosos en cuestión de minutos, lo que aumenta significativamente la protección contra ataques.

Cuando se viola un endpoint, Illumio evita que el ataque se propague más, manteniendo la disponibilidad de sus sistemas y del negocio. Cuando el sistema EDR detecta el ataque, un proceso automatizado puede apagar y poner en cuarentena las cargas de trabajo infectadas: 

  1. Los ataques se aíslan en el punto de ataque
  2. El ataque es detectado por el EDR o XDR
  3. Las cargas de trabajo infectadas se ponen en cuarentena
  4. Los protocolos apropiados están bloqueados en toda la infraestructura

Independientemente de las herramientas de seguridad de puntos finales que tenga implementadas, su organización también debe aprovechar la protección que brinda la segmentación de confianza cero. Por muy buenos que sean hoy los productos EDR y de Detección y Respuesta Extendida (XDR), no son infalibles. Y como la visibilidad se limita a los propios puntos finales, los productos EDR a veces pasan por alto ataques de múltiples etapas a medida que se desarrollan. En otras palabras, las herramientas EDR no proporcionan una protección completa e incluso su detección suele ser limitada.

EDR vs. XDR vs. Illumio

Los productos EDR, por definición, solo se ejecutan en puntos finales gestionados. No es sorprendente que proporcionen una visión de las amenazas centrada en los endpoints.

Los productos de detección y respuesta extendidas (XDR) amplían el alcance de la supervisión de la seguridad para incluir el email, los endpoints, los servidores, las cargas de trabajo en la nube y el tráfico de red. Al proporcionar a los equipos de seguridad una colección más amplia de datos correlacionados para analizar amenazas, los productos XDR facilitan la detección de ataques sigilosos. Por ejemplo, los productos XDR podrían detectar ataques de varias etapas que los productos EDR tradicionales podrían pasar por alto.

Pero si bien los productos XDR brindan una visión más amplia de la actividad de TI, su trabajo cae en las mismas funciones del marco de ciberseguridad del NIST que EDR: detectan y responden. Ninguna de las dos tecnologías satisface la necesidad de protección que proporciona la segmentación de confianza cero.

Ni EDR ni XDR proporcionan una forma sistemática de analizar todo el tráfico asociado con una aplicación. Para obtener esa vista, necesita el mapa de dependencia de aplicaciones de Illumio. Los productos EDR y XDR tampoco pueden generar instantáneamente reglas de firewall basadas en host para aplicar la segmentación de confianza cero a escala. Para generar esas reglas, necesitas las capacidades que se encuentran en Policy Compute Engine de Illumio.

Illumio complementa los productos EDR y XDR al reducir la superficie de ataque con políticas de segmentación de confianza cero que dejan a los atacantes poco espacio para maniobrar.

Mejor juntos: Illumio con EDR o XDR

Independientemente del producto EDR o XDR que implemente, aún necesita una forma rápida, flexible y escalable de segmentar la red, aplicar controles de confianza cero y evitar que los atacantes participen en movimientos laterales.

Para obtener más información sobre cómo Illumio, el líder en segmentación de confianza cero, puede ayudar:

Temas relacionados

Seguridad de endpoints

Artículos relacionados

El Programa de Socios de Capacidad de Servicios Certificados de Illumio nombra a sus primeros miembros
segmentación

El Programa de Socios de Capacidad de Servicios Certificados de Illumio nombra a sus primeros miembros

Aprenda cómo establecer y hacer crecer una práctica de Illumio con el nuevo Programa de Socios de Capacidad de Servicios Certificados de Ilumio.

Lee más
Qué definiciones de confianza cero se equivocan y cómo corregirlas
segmentación

Qué definiciones de confianza cero se equivocan y cómo corregirlas

Obtenga la definición correcta de Zero Trust aprendiendo por qué Zero Trust es un destino, pero el trabajo para lograr Zero Trust es un viaje.

Lee más
¿Asistes a Black Hat MEA 2023? Esto es lo que necesita saber
segmentación

¿Asistes a Black Hat MEA 2023? Esto es lo que necesita saber

Visite Illumio en Riad, Arabia Saudita, del 14 al 16 de noviembre en el stand H4. C31.

Lee más
No se encontraron artículos.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más