Pourquoi avez-vous besoin à la fois de l'EDR et de la segmentation Zero Trust
Les gens nous demandent parfois s'ils ont besoin d'Illumio s'ils ont déjà un Détection et réponse des terminaux Produit (EDR). Ou ils demandent s'ils ont encore besoin de l'EDR s'ils en ont déjà Illumio.
La réponse est que vous avez besoin de Zero Trust Segmentation et un produit EDR. Illumio et EDR se complètent pour créer une défense plus robuste contre les cyberattaques.
Voici pourquoi Illumio et EDR sont tous deux des outils de sécurité essentiels et pourquoi, ensemble, ils renforceront encore les défenses cybernétiques de votre organisation.
Différents produits pour différents rôles du NIST en matière de cybersécurité
La meilleure façon de comparer Illumio et EDR est de prendre en compte le contexte le plus large de la cybersécurité.
Les produits Illumio et EDR jouent différents rôles dans Cadre de cybersécurité du NIST, la norme officielle du gouvernement américain pour les outils et les pratiques de cybersécurité. Le cadre de cybersécurité du NIST définit cinq fonctions qui, à leur plus haut niveau, organisent les opérations de cybersécurité. Ces cinq fonctions sont les suivantes :
- Identifier
- Protégez
- Détecter
- Répondez
- Récupérez
Les produits EDR, comme leur nom l'indique, couvrent les fonctions de détection et de réponse. Ils détecter une activité suspecte ou une attaque pure et simple contre un terminal. Puis ils répondre à des activités ou à des attaques suspectes en prenant des mesures correctives. Ils peuvent envoyer une alerte à votre système de gestion des informations et des événements de sécurité (SIEM), lancer un processus d'activation d'un outil antivirus, supprimer ou mettre en quarantaine des fichiers et effectuer une combinaison de ces actions ou d'autres.
Segmentation Zero Trust d'Illumio joue un rôle différent en matière de cybersécurité. Illumio en continu protège le réseau contre les attaquants se déplaçant d'un terminal à un autre. Si une attaque subtile touche un terminal, et éventuellement en raison de vulnérabilités logicielles ou Attaques Zero-Day, une attaque volonté accéder à un terminal quelconque : Illumio protège votre organisation en refusant l'accès et en l'empêchant de se déplacer latéralement sur le réseau de votre organisation.
Illumio limite les mouvements des attaquants en bloquant tout le trafic réseau par défaut. C'est le modèle de sécurité Zero Trust. Au lieu de cela, Illumio n'autorise que le trafic que les équipes de sécurité et d'exploitation ont jugé nécessaire après avoir examiné la carte de dépendance des applications en temps réel d'Illumio. Le carte des dépendances des applications indique les chemins réseau dont dépendent les applications critiques de l'entreprise.
En outre, Illumio permet aux équipes de sécurité d'appliquer facilement des politiques bloquant les protocoles réseau essentiels à de nombreuses attaques de logiciels malveillants. Par exemple, près de la moitié des attaques de rançongiciels au troisième trimestre 2021 reposaient sur le protocole RDP. Conçu à l'origine pour permettre aux agents du service d'assistance d'accéder aux ordinateurs des employés, le RDP a fini par servir de réseau ouvert de ruelles que les attaquants peuvent emprunter au sein des organisations. Illumio permet aux équipes de sécurité de définir et d'appliquer des politiques restreignant le RDP et d'autres protocoles dangereux en quelques minutes, augmentant ainsi considérablement la protection contre les attaques.
Lorsqu'un terminal est piraté, Illumio empêche l'attaque de se propager davantage, préservant ainsi la disponibilité de vos systèmes et de l'entreprise. Lorsque le système EDR détecte l'attaque, un processus automatisé peut arrêter et mettre en quarantaine toute charge de travail infectée :
- Les attaques sont isolées au point d'attaque
- L'attaque est détectée par l'EDR ou le XDR
- Les charges de travail infectées sont mises en quarantaine
- Les protocoles appropriés sont bloqués dans l'ensemble de l'infrastructure
Quels que soient les outils de sécurité des terminaux que vous avez mis en place, votre organisation doit également tirer parti de la protection fournie par Zero Trust Segmentation. Aussi bon que l'EDR et Détection et réponse étendues Les produits (XDR) le sont aujourd'hui, ils ne sont pas infaillibles. Et comme la visibilité est limitée aux terminaux eux-mêmes, les produits EDR passent parfois inaperçus des attaques en plusieurs étapes au fur et à mesure de leur déroulement. En d'autres termes, les outils EDR n'offrent pas une protection complète et même leur détection est souvent limitée.
EDR contre XDR contre Illumio
Par définition, les produits EDR s'exécutent uniquement sur des terminaux gérés. Il n'est donc pas surprenant qu'ils fournissent une vision des menaces centrée sur les terminaux.
Les produits Extended Detection and Response (XDR) étendent la portée de la surveillance de la sécurité pour inclure le courrier électronique, les terminaux, les serveurs, les charges de travail cloud et le trafic réseau. En fournissant aux équipes de sécurité une collection plus étendue de données corrélées pour analyser les menaces, les produits XDR facilitent la détection des attaques furtives. Par exemple, les produits XDR peuvent être en mesure de détecter des attaques en plusieurs étapes que les produits EDR traditionnels pourraient ne pas détecter.
Mais si les produits XDR offrent une vision plus large de l'activité informatique, leur travail s'inscrit dans les mêmes fonctions du cadre de cybersécurité du NIST que l'EDR : ils détectent et répondent. Aucune des deux technologies ne répond au besoin de protection fourni par Zero Trust Segmentation.
Ni l'EDR ni le XDR ne fournissent un moyen systématique d'analyser l'ensemble du trafic associé à une application. Pour obtenir cette vue, vous avez besoin d'Illumio carte des dépendances des applications. Les produits EDR et XDR ne peuvent pas non plus générer instantanément des règles de pare-feu basées sur l'hôte pour appliquer la segmentation Zero Trust à grande échelle. Pour générer ces règles, vous avez besoin des fonctionnalités d'Illumio Moteur de calcul des politiques.
Illumio complète les produits EDR et XDR en réduisant la surface d'attaque grâce à des politiques de segmentation Zero Trust qui laissent peu de marge de manœuvre aux attaquants.
Ensemble, c'est mieux : Illumio avec EDR ou XDR
Quel que soit le produit EDR ou XDR que vous déployez, vous avez toujours besoin d'un moyen rapide, flexible et évolutif pour segmenter le réseau, appliquer les contrôles Zero Trust et empêcher les attaquants de se déplacer latéralement.
Pour en savoir plus sur la façon dont Illumio, le leader de la segmentation Zero Trust, peut vous aider à :
- Lisez les dernières Rapports Forrester Wave sur le Zero Trust et la microsegmentation.
- Nous contacter aujourd'hui pour planifier une consultation et une démonstration.