ブログ
/
サイバー・レジリエンス

EDRが失敗したとき:エンドポイントセキュリティにおける封じ込めの重要性

マールテン・ブイス
プロダクトマーケティングマネージャー
June 2, 2023
23 最小読取り

侵害が発生しても、検出は失敗します。これを受け入れたからといって、検知ツールが失敗するわけではありません。まったくそうではありません。悪役とネズミをいじりまわすという不幸な課題を抱える、最も洗練されたツールの 1 つです。

エンドポイント検出/対応(EDR)のようなツールは同義語になりましたが エンドポイントセキュリティ、現実には、単一のアプローチのみに依存すると、組織が脆弱になる可能性があります。を採用すること ゼロトラスト・マインドセットは、侵害が発生することを前提としているため、検出と同じくらい封じ込めを優先する必要があります。

最も硬度の高いEDR剤でさえ、改ざんされないわけではありません。「」という名前のオンラインペルソナによる最近の調査結果スパイボーイ」これを実証してください。脅威アクターはわずか300ドルで、 終わらせる ほとんどのEDRには適切なアクセス権があります。このような脆弱性は警戒すべきものですが、セキュリティチームが EDR に障害が発生した瞬間に備えていれば壊滅的な事態にはなりません。

横方向に動くとドアを閉じる

封じ込めとは、攻撃者を阻止し、速度を落とすことです。次のような封じ込め対策が必要です。 ゼロトラストセグメンテーション (ZTS)、組織は、影響を受けるワークロードまたはエンドポイントからのラテラルムーブメントを防ぐことで、攻撃者の拡散を積極的に阻止できます。最大の利点は、横方向の動きを制限することで、他の検出ツールがインシデントを検出する時間が長くなることです。

ZTS は実証済みの封じ込め戦略です。攻撃的なセキュリティ企業であるビショップ・フォックスがテストしたところ、ZTSを導入したからといって、レッドチームが必要になったことが分かりました。 9 倍長い 攻撃を正常に実行します。また、攻撃を検知するのにも役立ったという利点もあります。 4 倍高速攻撃者が動き回ろうとしてより多くの音を出さなければならなかったからです。

封じ込めがエンドポイントのセキュリティ戦略に直ちに影響を与える可能性がある領域は複数あります。

完全な可視性を実現

六十パーセント の組織が可視化が不十分で、それが困難になっている セキュリティ体制の向上。すべての資産を完全に可視化できなければ、横方向の動きを止めることはほとんど不可能です。検出だけに頼っていると、組織は EDR ソリューションを完全に回避できる攻撃に対して脆弱になります。封じ込めは、侵入地点に関係なく、脅威を切り分けて無力化するための積極的な対策を講じることで重要な役割を果たします。

最も高度な脅威も封じ込める

ゼロデイエクスプロイト 検出メカニズムを簡単に回避できるものは特に危険です。このような高度な脅威の検出には時間がかかります。組織は封じ込めを優先することで、侵害されたシステムを隔離し、すぐに検出されない場合でもラテラルムーブメントを防止することで、脅威の影響を最小限に抑えることができます。

脅威を迅速に阻止

侵害を迅速に検出したとしても、リスクはあります。迅速な対応がなければ、攻撃者は依然として目的を達成する可能性があります。対応が遅れると、攻撃者はネットワークの奥深くまで侵入する可能性があります。迅速な封じ込めの必要性を過小評価してはなりません。EDRと並行して封じ込め戦略を実施することで、組織は脅威を迅速に軽減し、潜在的な被害を最小限に抑え、通常の運用を回復するのにかかる時間を短縮できます。

ネットワークアラートをより少なく、より正確に

アラート疲労は現実のものです。ラテラルムーブメントの経路を減らすことで、まだポップアップしているネットワークアラートの精度が高まる可能性があります。封じ込め戦略によって疑わしいエンドポイントを隔離することで、真の脅威を調査して的確に対応するために必要な余裕が生まれます。

内部脅威からの保護

EDRソリューションは、侵害の兆候を見つけることに重点を置いていますが、特権的な内部関係者や侵害されたアカウントによる悪意のある行為を特定できない場合があります。ZTS のような封じ込め戦略は、内部関係者の脅威による被害を最小限に抑えるのに役立ちます。コンテインメントは移動を制限することで、こうした内部の脅威に対する保護をさらに強化します。

一緒により良くなる:イルミオエンドポイントと EDR

EDRが直面する課題に対処するには、組織は検出よりも封じ込めを優先する必要があります。ゼロトラストの考え方を取り入れ、ZTS などの封じ込め戦略を実施することで、組織は攻撃者の動きを積極的に阻止し、ラテラルムーブメントを防ぐことができます。

イルミオエンドポイント エンドポイント自体に強制的に封じ込めを行います。Illumio では、ホスト側でのラテラルムーブメントが停止されるため、これらの重要でリスクを軽減する機能をネットワークインフラに依存する必要がなくなります。

イルミオエンドポイントについて詳しく知る準備はできましたか? 今すぐお問い合わせ 無料の相談とデモをご覧ください。

関連トピック

終点
エンドポイントセキュリティ

関連記事

ゼロトラストの運用 — ステップ 4: 必要なデータを指定する
サイバー・レジリエンス

ゼロトラストの運用 — ステップ 4: 必要なデータを指定する

組織のゼロトラストへの道のりにおける重要なステップ、つまり必要なデータの定義について学びましょう。

もっと読む
マルウェアペイロードとビーコン:悪意のある通信の開始方法
サイバー・レジリエンス

マルウェアペイロードとビーコン:悪意のある通信の開始方法

マルウェアビーコンは、攻撃者がスクリプトを通じてマルウェアを実行する方法です。それらを認識することは、検出および封じ込め戦略の策定に役立ちます。

もっと読む
EU コンプライアンス義務の理解:オペレーショナルテクノロジーとクリティカルシステム
サイバー・レジリエンス

EU コンプライアンス義務の理解:オペレーショナルテクノロジーとクリティカルシステム

A discussion of the operational technical regulations and security controls specific to Critical Systems and Operational Technology.

もっと読む
Illumio エンドポイントを実装するための 3 つのベストプラクティス
イルミオ製品

Illumio エンドポイントを実装するための 3 つのベストプラクティス

Illumioでエンドポイントを保護するために必要な、シンプルで効果的な3つのステップをご紹介します。

もっと読む
Illumio エンドポイントデモ:エンドポイントセグメンテーションのROIを迅速に取得
イルミオ製品

Illumio エンドポイントデモ:エンドポイントセグメンテーションのROIを迅速に取得

このIllumioエンドポイントデモを見て、Illumioによるエンドポイントのセグメンテーションがどのようにして迅速なROIを実現するかを学びましょう。

もっと読む
ハッカーがエンドポイントを愛する理由と、Illumio Endpointでハッカーの拡散を阻止する方法
イルミオ製品

ハッカーがエンドポイントを愛する理由と、Illumio Endpointでハッカーの拡散を阻止する方法

従来のセキュリティでは、エンドポイントはハッカーに広くさらされています。Illumio Endpoint で侵害に積極的に備える方法を学びましょう。

もっと読む

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく