Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

Por que você precisa da segmentação EDR e Zero Trust

Trevor Dearing
,
Diretor de marketing de soluções industriais
April 29, 2022
23 leitura mínima

Às vezes, as pessoas nos perguntam se precisam do Illumio se já têm um Detecção e resposta de terminais produto (EDR). Ou perguntam se ainda precisam de EDR, caso já tenham Illumio.

A resposta é que você precisa de segmentação Zero Trust e um produto EDR. O Illumio e o EDR se complementam, criando uma defesa mais robusta contra ataques cibernéticos.

Veja por que o Illumio e o EDR são ferramentas de segurança essenciais e por que, juntos, eles tornarão as defesas cibernéticas de sua organização ainda mais fortes.

Produtos diferentes para diferentes funções de segurança cibernética do NIST

A melhor maneira de comparar o Illumio e o EDR é considerar o maior contexto de segurança cibernética.

Os produtos Illumio e EDR cumprem diferentes funções na Estrutura de segurança cibernética do NIST, o padrão oficial do governo dos EUA para ferramentas e práticas de segurança cibernética. A Estrutura de Cibersegurança do NIST destaca cinco funções que, em seu nível mais alto, organizam as operações de segurança cibernética. Essas cinco funções são:

  • Identifique
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Os produtos EDR, como o nome sugere, abrangem as funções Detectar e Responder. Eles detectam atividade suspeita ou um ataque direto a um endpoint. Em seguida, eles respondem a atividades ou ataques suspeitos, tomando medidas corretivas. Eles podem enviar um alerta para seu sistema de gerenciamento de eventos e informações de segurança (SIEM), iniciar um processo para ativar uma ferramenta antivírus, excluir ou colocar arquivos em quarentena e realizar uma combinação dessas ou de outras ações.

Segmentação Illumio Zero Trust desempenha um papel diferente na segurança cibernética. Illumio continuamente protege a rede contra invasores que se deslocam de um terminal para outro. Se um ataque sutil ocorrer em um endpoint — e, eventualmente, por causa de vulnerabilidades de software ou Ataques de dia zero, um ataque vai entre em algum endpoint em algum lugar — o Illumio protege sua organização negando acesso e impedindo que ela se mova lateralmente pela rede da sua organização.

O Illumio restringe os movimentos dos atacantes ao negar todo o tráfego de rede por padrão — esse é o modelo de segurança Zero Trust. Em vez disso, a Illumio permite somente o tráfego que as equipes de segurança e operações consideraram necessário após analisarem o mapa de dependência de aplicativos em tempo real da Illumio. O mapa de dependência de aplicativos mostra os caminhos de rede dos quais os aplicativos essenciais para os negócios dependem.

Além disso, o Illumio facilita que as equipes de segurança apliquem políticas que bloqueiam protocolos de rede essenciais para muitos ataques de malware. Por exemplo, quase metade dos ataques de ransomware no terceiro trimestre de 2021 dependiam do protocolo RDP. Originalmente projetado para dar aos agentes de suporte técnico acesso aos computadores dos funcionários, o RDP acabou servindo como uma rede aberta de becos para os atacantes atravessarem as organizações. O Illumio permite que as equipes de segurança definam e apliquem políticas que restringem o RDP e outros protocolos perigosos em apenas alguns minutos, aumentando significativamente a proteção contra ataques.

Quando um endpoint é violado, o Illumio evita que o ataque se espalhe ainda mais, mantendo a disponibilidade de seus sistemas e da empresa. Quando o sistema EDR detecta o ataque, um processo automatizado pode desligar e colocar em quarentena qualquer carga de trabalho infectada:

  1. Os ataques são isolados no ponto de ataque
  2. O ataque é detectado pelo EDR ou XDR
  3. As cargas de trabalho infectadas são colocadas em quarentena
  4. Os protocolos apropriados são bloqueados em toda a infraestrutura

Quaisquer que sejam as ferramentas de segurança de terminais que você tenha, sua organização também deve aproveitar a proteção fornecida pela Segmentação Zero Trust. Tão bom quanto EDR e Detecção e resposta estendidas Hoje em dia, os produtos (XDR) não são infalíveis. E com a visibilidade limitada aos próprios endpoints, os produtos EDR às vezes perdem ataques em vários estágios à medida que se desenvolvem. Em outras palavras, as ferramentas de EDR não oferecem proteção total e até mesmo sua detecção geralmente é limitada.

EDR versus XDR versus Illumio

Os produtos EDR, por definição, são executados somente em endpoints gerenciados. Não é de surpreender que eles forneçam uma visão das ameaças centrada em terminais.

Os produtos Extended Detection and Response (XDR) expandem o escopo do monitoramento de segurança para incluir e-mail, endpoints, servidores, cargas de trabalho na nuvem e tráfego de rede. Ao fornecer às equipes de segurança uma coleção mais ampla de dados correlacionados para analisar ameaças, os produtos XDR facilitam a detecção de ataques furtivos. Por exemplo, os produtos XDR podem detectar ataques em vários estágios que os produtos tradicionais de EDR podem não detectar.

Mas, embora os produtos XDR forneçam uma visão mais ampla da atividade de TI, seu trabalho se enquadra nas mesmas funções do NIST Cybersecurity Framework do EDR: eles detectam e respondem. Nenhuma das tecnologias atende à necessidade de proteção fornecida pela Segmentação Zero Trust.

Nem o EDR nem o XDR fornecem uma forma sistemática de analisar todo o tráfego associado a um aplicativo. Para obter essa visão, você precisa do Illumio mapa de dependência de aplicativos. Os produtos EDR e XDR também não podem gerar instantaneamente regras de firewall baseadas em host para impor a segmentação Zero Trust em grande escala. Para gerar essas regras, você precisa dos recursos encontrados no Illumio Policy Compute Engine.

A Illumio complementa os produtos EDR e XDR reduzindo a superfície de ataque com políticas de segmentação Zero Trust que deixam pouco espaço de manobra para os atacantes.

Melhor em conjunto: Illumio com EDR ou XDR

Independentemente do produto EDR ou XDR que você implemente, você ainda precisa de uma maneira rápida, flexível e escalável de segmentar a rede, aplicar os controles Zero Trust e impedir que os invasores se envolvam em movimentos laterais.

Para saber mais sobre como a Illumio, líder em segmentação Zero Trust, pode ajudar:

Tópicos relacionados

Segurança de terminais

Artigos relacionados

Melhorando o ROI de segurança, ZTS para endpoints e desafios federais de segurança
Segmentação Zero Trust

Melhorando o ROI de segurança, ZTS para endpoints e desafios federais de segurança

À medida que o ransomware e outros ataques cibernéticos crescem em sofisticação, a construção da resiliência cibernética por meio da contenção está mostrando um melhor ROI de segurança.

Leia mais
Por que não há confiança zero sem microsegmentação
Segmentação Zero Trust

Por que não há confiança zero sem microsegmentação

Obtenha informações do criador do Zero Trust, John Kindervag, sobre por que a microssegmentação é essencial para seu projeto Zero Trust.

Leia mais
Simplifique as implantações de SDN e firewall com microssegmentação baseada em host
Segmentação Zero Trust

Simplifique as implantações de SDN e firewall com microssegmentação baseada em host

A rede definida por software (SDN) e a segmentação geralmente são discutidas simultaneamente porque ambas priorizam a automação.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais