Blogue
/
Cyber-résilience

En cas d'échec de l'EDR : l'importance du confinement pour la sécurité des terminaux

Maarten Buis
,
Directeur du marketing des produits
June 2, 2023
23 min. de lecture

Des violations se produisent et la détection échouera. Accepter cela ne signifie pas que les outils de détection sont défaillants. Pas du tout. C'est l'un des outils les plus sophistiqués qui ont la malheureuse tâche de jouer au chat et à la souris avec de mauvais acteurs.

Alors que des outils tels que Endpoint Detection and Response (EDR) sont devenus synonymes de sécurité des terminaux, la réalité est que le fait de se fier uniquement à une approche unique peut rendre les organisations vulnérables. Embrasser un État d'esprit Zero Trust, qui suppose qu'une violation va se produire, nécessite de donner la priorité au confinement plutôt qu'à la détection.

Même l'agent EDR le plus endurci n'est pas à l'abri d'une manipulation. Découvertes récentes d'un personnage en ligne nommé »espion» démontrez cela. Pour seulement 300$, un acteur de la menace peut résilier la plupart des EDR avec le bon accès. De telles vulnérabilités sont alarmantes mais ne sont pas catastrophiques si les équipes de sécurité se préparent au moment où l'EDR échouera.

Fermeture de la porte en cas de mouvement latéral

Le confinement consiste à arrêter et à ralentir les attaquants. Avec des mesures de confinement telles que Segmentation Zero Trust (ZTS), les entreprises peuvent stopper de manière proactive la propagation des attaquants en empêchant les mouvements latéraux de la charge de travail ou du terminal concerné. Le meilleur, c'est que la restriction des mouvements latéraux permet d'augmenter le temps dont disposent les autres outils de détection pour détecter l'incident.

Le ZTS est une stratégie de confinement qui a fait ses preuves. Lorsqu'ils ont été testés par la société de sécurité offensive Bishop Fox, ils ont découvert qu'avec le ZTS en place, il leur fallait une équipe rouge 9 fois plus longtemps pour exécuter une attaque avec succès. Comme avantage supplémentaire, cela les a également aidés à détecter les attaques 4 fois plus rapide, simplement parce que les attaquants ont dû créer plus de bruit en essayant de se déplacer.

Dans de nombreux domaines, le confinement peut avoir un impact immédiat sur toute stratégie de sécurité des terminaux.

Bénéficiez d'une visibilité totale

Soixante pour cent des organisations sont confrontées à une visibilité insuffisante, ce qui rend difficile améliorer la posture de sécurité. Sans une visibilité complète de tous les actifs, il est presque impossible d'arrêter les mouvements latéraux. En s'appuyant uniquement sur la détection, les entreprises sont vulnérables aux attaques qui peuvent contourner complètement les solutions EDR. Le confinement joue un rôle essentiel en mettant en œuvre des mesures proactives pour isoler et neutraliser les menaces, quel que soit leur point d'entrée.

Maîtriser les menaces les plus sophistiquées

Exploits Zero Day qui peuvent facilement contourner les mécanismes de détection sont particulièrement dangereux. La détection de ces menaces sophistiquées prend du temps. En donnant la priorité au confinement, les entreprises peuvent minimiser l'impact des menaces en isolant les systèmes compromis et en empêchant les mouvements latéraux, même en l'absence de détection immédiate.

Bloquez rapidement les menaces

Même en cas de détection rapide d'une faille, il existe toujours un risque. Sans réponse rapide, un attaquant peut tout de même atteindre son objectif. Une réponse différée peut permettre aux attaquants de pénétrer plus profondément dans un réseau. La nécessité d'un confinement rapide ne doit pas être sous-estimée. En mettant en œuvre des stratégies de confinement parallèlement à l'EDR, les organisations peuvent atténuer rapidement les menaces, minimiser les dommages potentiels et réduire le temps nécessaire pour rétablir les opérations normales.

Alertes réseau moins nombreuses et plus précises

La fatigue d'alerte est bien réelle. En réduisant les voies de déplacement latéral, les alertes réseau qui s'affichent encore ont le potentiel d'être plus précises. L'isolation des terminaux suspects grâce à des stratégies de confinement fournit la marge de manœuvre nécessaire pour enquêter sur les menaces réelles et y répondre avec précision.

Protection contre les menaces internes

Les solutions EDR, qui visent à identifier des indicateurs de compromission, peuvent ne pas identifier les actions malveillantes commises par des initiés privilégiés ou des comptes compromis. Les stratégies de confinement, telles que le ZTS, peuvent contribuer à minimiser les dommages causés par les menaces internes. En limitant les déplacements, le confinement ajoute une couche de protection supplémentaire contre ces menaces internes.

Mieux ensemble : Illumio Endpoint et EDR

Pour relever les défis auxquels est confrontée l'EDR, les organisations doivent donner la priorité au confinement plutôt qu'à la détection. En adoptant un état d'esprit Zero Trust et en mettant en œuvre des stratégies de confinement telles que le ZTS, les organisations peuvent ralentir les attaquants de manière proactive et empêcher les mouvements latéraux.

Point de terminaison Illumio fournit un confinement imposé sur le terminal lui-même. Avec Illumio, les mouvements latéraux sont stoppés sur l'hôte, ce qui réduit la dépendance à l'égard de toute infrastructure réseau pour ces fonctionnalités critiques et de réduction des risques.

Prêt à en savoir plus sur Illumio Endpoint ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.

Sujets connexes

Point final
Sécurité des terminaux

Articles connexes

3 manières dont Illumio a dirigé l'innovation en matière de cybersécurité en septembre 2023
Cyber-résilience

3 manières dont Illumio a dirigé l'innovation en matière de cybersécurité en septembre 2023

Découvrez ce que les chefs d'entreprise et les meilleurs experts en sécurité d'Illumio ont à dire à propos des pare-feu, de la sécurité du cloud et de l'innovation en matière d'IA par Illumio ce mois-ci.

En savoir plus
Comment renforcer votre posture de sécurité
Cyber-résilience

Comment renforcer votre posture de sécurité

Les entreprises adoptent rapidement une stratégie de sécurité Zero Trust, en agissant comme si elles avaient déjà été piratées et en prenant des mesures pour empêcher les acteurs malveillants de se propager sur leur réseau.

En savoir plus
Pourquoi les cybercatastrophes se produisent toujours et comment y remédier
Cyber-résilience

Pourquoi les cybercatastrophes se produisent toujours et comment y remédier

Gary Barlet, directeur technique fédéral d'Illumio, explique pourquoi des décennies passées à essayer de prévenir et de détecter les attaques directes des adversaires, sans succès, signifient qu'il est temps de se concentrer sur l'endiguement.

En savoir plus
3 bonnes pratiques pour la mise en œuvre d'Illumio Endpoint
Produits Illumio

3 bonnes pratiques pour la mise en œuvre d'Illumio Endpoint

Suivez trois étapes simples mais efficaces pour sécuriser vos terminaux avec Illumio.

En savoir plus
Démo d'Illumio Endpoint : obtenir un retour sur investissement rapide pour la segmentation des terminaux
Produits Illumio

Démo d'Illumio Endpoint : obtenir un retour sur investissement rapide pour la segmentation des terminaux

Regardez cette démonstration d'Illumio Endpoint pour découvrir comment la segmentation des terminaux avec Illumio permet un retour sur investissement rapide.

En savoir plus
Pourquoi les pirates informatiques adorent les terminaux et comment stopper leur propagation avec Illumio Endpoint
Produits Illumio

Pourquoi les pirates informatiques adorent les terminaux et comment stopper leur propagation avec Illumio Endpoint

La sécurité traditionnelle laisse les terminaux largement ouverts aux pirates informatiques. Découvrez comment vous préparer de manière proactive aux violations avec Illumio Endpoint.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus