Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Cuando EDR falla: La importancia de la contención en la seguridad de los puntos finales

Illumio Editorial
,
June 2, 2023
23 min. lectura

Las brechas ocurren y la detección fallará. Aceptar esto no significa que las herramientas de detección estén fallando. Para nada —son una de las herramientas más sofisticadas que tienen la desafortunada tarea de jugar al gato y al ratón con malos actores.

Mientras que herramientas como Endpoint Detection and Response (EDR) se han convertido en sinónimo de seguridad de punto final, la realidad es que confiar únicamente en un único enfoque puede dejar a las organizaciones vulnerables. Abrazando un Mentalidad de confianza cero, que supone que ocurrirá una brecha, requiere priorizar tanto la contención como la detección.

Incluso el agente EDR más endurecido no es inmune a ser manipulado. Hallazgos recientes de una persona en línea llamada”Spyboy” demostrar esto. Por tan poco como $300, un actor de amenazas puede terminar la mayoría de los EDR con el acceso correcto. Vulnerabilidades como estas son alarmantes pero no catastróficas si los equipos de seguridad se preparan para el momento en que falla EDR.

Cerrar la puerta en movimiento lateral

La contención consiste en detener y ralentizar a los atacantes. Con medidas de contención como Segmentación de confianza cero (ZTS), las organizaciones pueden detener proactivamente la propagación del atacante al evitar el movimiento lateral desde la carga de trabajo o punto final afectados. La mejor parte es que restringir el movimiento lateral ayuda a aumentar el tiempo que tienen otras herramientas de detección para detectar el incidente.

ZTS es una estrategia de contención comprobada. Al ser probados por la firma de seguridad ofensiva Bishop Fox, encontraron que con ZTS en su lugar, se llevó sus equipos rojos 9 veces más para ejecutar con éxito un ataque. Como beneficio adicional, también les ayudó a detectar ataques 4 veces más rápido, solo porque los atacantes tuvieron que crear más ruido tratando de moverse.

Existen múltiples áreas en las que la contención puede afectar inmediatamente cualquier estrategia de seguridad de punto final.

Obtenga visibilidad completa

Sesenta por ciento de las organizaciones luchan con una visibilidad inadecuada, lo que dificulta mejorar la postura de seguridad. Sin una visibilidad total sobre todos los activos, es casi imposible detener el movimiento lateral. Confiar únicamente en la detección deja a las organizaciones vulnerables a ataques que pueden eludir por completo las soluciones EDR. La contención juega un papel crítico al implementar medidas proactivas para aislar y neutralizar las amenazas, independientemente de su punto de entrada.

Contienen incluso las amenazas más sofisticadas

Exploits de día cero que pueden eludir fácilmente los mecanismos de detección son especialmente peligrosos. La detección de estas amenazas sofisticadas lleva tiempo. Al priorizar la contención, las organizaciones pueden minimizar el impacto de las amenazas aislando los sistemas comprometidos y previniendo el movimiento lateral, incluso en ausencia de detección inmediata.

Detenga las amenazas rápidamente

Incluso cuando se detecta una brecha rápidamente, todavía existe un riesgo. Sin una respuesta rápida, un atacante aún podría lograr su objetivo. Una respuesta retardada puede permitir que los atacantes penetren más profundamente en una red. No debe subestimarse la necesidad de una contención rápida. Al implementar estrategias de contención junto con EDR, las organizaciones pueden mitigar las amenazas rápidamente, minimizando los daños potenciales y reduciendo el tiempo necesario para restaurar las operaciones normales.

Alertas de red menos y más precisas

La fatiga alerta es real. Al reducir las vías para el movimiento lateral, las alertas de red que aún aparecen tienen el potencial de ser más precisas. Aislar endpoints sospechosos a través de estrategias de contención proporciona el espacio de respiración necesario para investigar y responder con precisión a amenazas genuinas.

Protección contra amenazas internas

Las soluciones EDR, que se centran en encontrar indicadores de compromiso, pueden no identificar acciones maliciosas por parte de personas privilegiadas o cuentas comprometidas. Las estrategias de contención, como ZTS, pueden ayudar a minimizar el daño causado por las amenazas internas. Al restringir el movimiento, la contención agrega una capa adicional de protección contra estas amenazas internas.

Mejor juntos: Illumio Endpoint y EDR

Para enfrentar los desafíos que enfrenta EDR, las organizaciones deben priorizar la contención junto con la detección. Al adoptar una mentalidad de confianza cero e implementar estrategias de contención como ZTS, las organizaciones pueden ralentizar proactivamente a los atacantes y evitar el movimiento lateral.

Endpoint de Illumio proporciona contención impuesta en el propio endpoint. Con Illumio, el movimiento lateral se detiene en el host, lo que reduce la dependencia de cualquier infraestructura de red para estas capacidades críticas que reducen el riesgo.

¿Listo para aprender más sobre Illumio Endpoint? Póngase en contacto con nosotros hoy para una consulta gratuita y una demostración.

Temas relacionados

Endpoint
Seguridad de Endpoint

Artículos relacionados

La seguridad de los contenedores está rota (y la confianza cero puede ayudar a solucionarlo)
Ciberresiliencia

La seguridad de los contenedores está rota (y la confianza cero puede ayudar a solucionarlo)

Descubra por qué los métodos de seguridad tradicionales se quedan cortos en entornos de contenedores y cómo una estrategia Zero Trust puede mejorar la visibilidad y detener a los atacantes antes de que se propaguen.

Leer más
Cuando EDR falla: La importancia de la contención en la seguridad de los puntos finales
Ciberresiliencia

Cuando EDR falla: La importancia de la contención en la seguridad de los puntos finales

Los proveedores de EDR deben adoptar la Segmentación de Confianza Cero para reducir el tiempo de permanencia de la ciberseguridad y cerrar la definición de brecha de confianza.

Leer más
Cyber Monday: ¿Están protegidas sus joyas de la corona situacionales en esta temporada navideña?
Ciberresiliencia

Cyber Monday: ¿Están protegidas sus joyas de la corona situacionales en esta temporada navideña?

La protección adecuada no es fugaz como el glosario de productos navideño de Starbucks. Una buena seguridad debe ser horneada y contabilizada durante todo el año.

Leer más
3 Mejores Prácticas para Implementar Illumio Endpoint
Productos Illumio

3 Mejores Prácticas para Implementar Illumio Endpoint

Obtenga tres pasos simples pero efectivos necesarios para asegurar sus endpoints con Illumio.

Leer más
Demostración de Illumio Endpoint: Obtener un ROI rápido de la segmentación de los puntos finales
Productos Illumio

Demostración de Illumio Endpoint: Obtener un ROI rápido de la segmentación de los puntos finales

Vea esta demostración de Illumio Endpoint para saber cómo la segmentación de puntos finales con Illumio ofrece un rápido retorno de la inversión.

Leer más
Por qué a los hackers les encantan los endpoints y cómo detener su propagación con Illumio Endpoint
Productos Illumio

Por qué a los hackers les encantan los endpoints y cómo detener su propagación con Illumio Endpoint

La seguridad tradicional deja los puntos finales abiertos a los hackers. Aprenda a prepararse proactivamente para las brechas con Illumio Endpoint.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información