Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação
Trevor Dearing
Diretor de marketing de soluções industriais
Illumio Editorial
29 de abril de 2022
23 minutos. ler

Por que você precisa da segmentação EDR e Zero Trust

Às vezes, as pessoas nos perguntam se precisam do Illumio caso já possuam um produto de Detecção e Resposta de Endpoint (EDR). Ou perguntam se ainda precisam de EDR caso já possuam o Illumio.

A resposta é que você precisa da Segmentação Zero Trust e de um produto EDR. O Illumio e o EDR se complementam, criando uma defesa mais robusta contra ataques cibernéticos.

Veja por que o Illumio e o EDR são ferramentas de segurança essenciais e por que, juntos, eles tornarão as defesas cibernéticas de sua organização ainda mais fortes.

Produtos diferentes para diferentes funções de segurança cibernética do NIST

A melhor maneira de comparar o Illumio e o EDR é considerar o maior contexto de segurança cibernética.

Os produtos Illumio e EDR desempenham funções diferentes no NIST Cybersecurity Framework, o padrão oficial do governo dos EUA para ferramentas e práticas de segurança cibernética. A Estrutura de Segurança Cibernética do NIST destaca cinco funções que, em seu nível mais alto, organizam as operações de segurança cibernética. Essas cinco funções são:

  • Identifique
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Os produtos EDR, como o nome sugere, abrangem as funções Detectar e Responder. Eles detectam atividades suspeitas ou um ataque direto a um endpoint. Em seguida, eles respondem a atividades ou ataques suspeitos tomando medidas corretivas. Eles podem enviar um alerta para seu sistema de gerenciamento de eventos e informações de segurança (SIEM), iniciar um processo para ativar uma ferramenta antivírus, excluir ou colocar arquivos em quarentena e realizar uma combinação dessas ou de outras ações.

A segmentação Zero Trust da Illumio desempenha um papel diferente na cibersegurança. A Illumio protege continuamente a rede contra ataques de invasores que se movem de um ponto final para outro. Se um ataque sutil conseguir penetrar em um endpoint — e, eventualmente, devido a vulnerabilidades de software ou ataques de dia zero, um ataque conseguirá penetrar em algum endpoint em algum lugar — o Illumio protege sua organização negando o acesso e impedindo que o ataque se propague lateralmente pela rede da sua organização.

A Illumio restringe os movimentos dos atacantes ao bloquear todo o tráfego de rede por padrão — esse é o modelo de segurança Zero Trust. Em vez disso, a Illumio permite apenas o tráfego que as equipes de segurança e operações consideraram necessário após analisarem o mapa de dependências de aplicativos em tempo real da Illumio. O mapa de dependências de aplicativos mostra os caminhos de rede dos quais os aplicativos essenciais para os negócios dependem.

Além disso, o Illumio facilita para as equipes de segurança a aplicação de políticas que bloqueiam protocolos de rede essenciais para muitos ataques de malware. Por exemplo, quase metade dos ataques de ransomware no terceiro trimestre de 2021 utilizou o protocolo RDP. Originalmente concebido para dar aos agentes de suporte técnico acesso aos computadores dos funcionários, o RDP acabou se tornando uma vasta rede de brechas para invasores explorarem dentro das organizações. O Illumio permite que as equipes de segurança definam e apliquem políticas que restringem o RDP e outros protocolos perigosos em apenas alguns minutos, aumentando significativamente a proteção contra ataques.

Quando um endpoint é violado, o Illumio evita que o ataque se espalhe ainda mais, mantendo a disponibilidade de seus sistemas e da empresa. Quando o sistema EDR detecta o ataque, um processo automatizado pode desligar e colocar em quarentena qualquer carga de trabalho infectada: 

  1. Os ataques são isolados no ponto de ataque
  2. O ataque é detectado pelo EDR ou XDR
  3. As cargas de trabalho infectadas são colocadas em quarentena
  4. Os protocolos apropriados são bloqueados em toda a infraestrutura

Independentemente das ferramentas de segurança de endpoints que sua organização já utiliza, ela também deve aproveitar a proteção oferecida pela Segmentação de Confiança Zero. Por melhores que sejam os produtos EDR e de Detecção e Resposta Estendida (XDR) atualmente, eles não são infalíveis. E, com a visibilidade limitada aos próprios endpoints, os produtos EDR às vezes não detectam ataques de várias etapas enquanto eles estão acontecendo. Em outras palavras, as ferramentas EDR não oferecem proteção completa e mesmo a sua detecção costuma ser limitada.

EDR versus XDR versus Illumio

Os produtos EDR, por definição, são executados somente em endpoints gerenciados. Não é de surpreender que eles forneçam uma visão das ameaças centrada em terminais.

Os produtos Extended Detection and Response (XDR) expandem o escopo do monitoramento de segurança para incluir e-mail, endpoints, servidores, cargas de trabalho na nuvem e tráfego de rede. Ao fornecer às equipes de segurança uma coleção mais ampla de dados correlacionados para analisar ameaças, os produtos XDR facilitam a detecção de ataques furtivos. Por exemplo, os produtos XDR podem detectar ataques em vários estágios que os produtos tradicionais de EDR podem perder.

Mas, embora os produtos XDR forneçam uma visão mais ampla da atividade de TI, seu trabalho se enquadra nas mesmas funções do NIST Cybersecurity Framework do EDR: eles detectam e respondem. Nenhuma das tecnologias atende à necessidade de proteção fornecida pela Segmentação Zero Trust.

Nem o EDR nem o XDR fornecem uma maneira sistemática de analisar todo o tráfego associado a uma aplicação. Para obter essa visualização, você precisa do mapa de dependências de aplicativos do Illumio. Os produtos EDR e XDR também não conseguem gerar instantaneamente regras de firewall baseadas em host para impor a segmentação Zero Trust em grande escala. Para gerar essas regras, você precisa dos recursos encontrados no Policy Compute Engine do Illumio.

A Illumio complementa os produtos EDR e XDR reduzindo a superfície de ataque com políticas de segmentação Zero Trust que deixam pouco espaço de manobra para os atacantes.

Melhor em conjunto: Illumio com EDR ou XDR

Independentemente do produto EDR ou XDR que você implemente, você ainda precisa de uma maneira rápida, flexível e escalável de segmentar a rede, aplicar os controles Zero Trust e impedir que os invasores se envolvam em movimentos laterais.

Para saber mais sobre como a Illumio, líder em segmentação Zero Trust, pode ajudar:

Tópicos relacionados

Segurança de terminais

Artigos relacionados

O programa de parceiros certificados de prestação de serviços da Illumio nomeia seus primeiros membros
segmentação

O programa de parceiros certificados de prestação de serviços da Illumio nomeia seus primeiros membros

Saiba como estabelecer e desenvolver uma prática da Illumio com o novo Programa de Parceiros de Prestação de Serviços Certificados da Illumio.

Leia mais
Quais definições de Zero Trust erram — e como corrigi-las
segmentação

Quais definições de Zero Trust erram — e como corrigi-las

Obtenha a definição correta de Zero Trust aprendendo por que o Zero Trust é um destino, mas o trabalho para alcançar o Zero Trust é uma jornada.

Leia mais
Participando do Black Hat MEA 2023? Aqui está o que você precisa saber
segmentação

Participando do Black Hat MEA 2023? Aqui está o que você precisa saber

Visite a Illumio em Riade, Arábia Saudita, de 14 a 16 de novembro, no estande H4.C31.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais