Tenga en cuenta la brecha: por qué EDR necesita segmentación de confianza cero

El tiempo de permanencia, también conocido como brecha de detección de brechas, describe el delta entre la brecha inicial que ocurre y la que se detecta. Dentro de la ciberseguridad, estamos enfocados en reducir el tiempo de permanencia para frustrar los ataques antes de que puedan causar algún daño. A pesar de la innovación implacable en las capacidades de detección, tenemos que reconocer que, por definición, es un juego del gato y el ratón donde el atacante siempre tiene la ventaja.

Como defensores, estamos jugando a ponernos al día con las consecuencias del mundo real. Solo en los últimos meses hemos estado leyendo sobre brechas en MediBank, Uber, y Plex. Estos incidentes nos recuerdan que una brecha es inevitable y, sobre todo en el caso de MediBank, costosa.

El futuro de la detección

La innovación en aprendizaje automático (ML) e inteligencia artificial (IA) por parte de los proveedores de Endpoint, Detection & Response (EDR) ha dado a los equipos azules un salto significativo en capacidades en la última década, pero esta tecnología tiene un límite.

La detección aún puede ser evadida.

Por ejemplo, un cambio en el lenguaje del código de malware, el templado del agente o el malware sin archivos afectan significativamente la tasa de detección. Nuestras herramientas defensivas serán más inteligentes para resolver estas brechas, pero esto solo empujará a los atacantes a desarrollar soluciones alternativas más creativas.

Con cada cambio en el comportamiento o el código, los proveedores de EDR necesitan adaptarse, lo que resulta en un mayor tiempo medio de detección (MTTD).

Entonces, ¿dónde nos deja esto? Las empresas han invertido más de $28 mil millones hacia la seguridad de los puntos finales con un enfoque en la detección mientras que las brechas siguen sin detectarse. De hecho, en promedio, una organización tarda 277 días en identificar y contener una violación de acuerdo con el Informe de IBM sobre el costo de una violación de datos 2022.

Un tiempo de permanencia prolongado brinda a los atacantes la oportunidad de propagarse a través de la red sin ser detectados, establecer persistencia, crear puertas traseras secundarias y, finalmente, exfiltrar datos o implementar ransomware.

No se detenga en ello: se necesita EDR para responder a las amenazas

Pero señalar una debilidad no hace que EDR sea tan ineficaz. De hecho, podemos argumentar que EDR es más importante que nunca ahora que estamos tratando de consolidar datos de todas las fuentes en una única plataforma de seguridad con XDR.

También es importante llamar la última letra en EDR - respuesta. La búsqueda de amenazas sin una solución EDR capaz en su lugar es casi imposible.

La capacidad de responder a un incidente a escala es la única manera de eliminar a un atacante de un entorno compuesto, y aquí es donde tenemos que confiar en EDR cuando se trata de eliminar amenazas de nuestros endpoints.

Un nuevo paradigma: contención de brechas

La defensa en profundidad, la práctica de agregar capas independientes de controles de seguridad, es nuestro mejor avance. De esta manera, cuando la detección se queda corta, tenemos otras capas de defensa en su lugar.

Esto no significa que debamos dejar de enfocarnos en reducir el tiempo de permanencia; solo necesitamos escapar de la raza de ratas e implementar nuevas capas de defensa que no dependan de la detección. Invertir en la contención de brechas es nuestro avance más efectivo.

Al implementar la Segmentación de Confianza Cero (ZTS) en todos nuestros endpoints con Endpoint de Illumio, podemos evitar de manera proactiva que los futuros atacantes se propaguen desde un único punto de conexión comprometido a toda la red. Al centrarnos en la contención, extendemos el tiempo asignado que tiene nuestra solución EDR para detectar una brecha antes de que se convierta en un desastre, replanteando la forma en que pensamos sobre MTTD y el tiempo de permanencia.

‍

Como mantequilla de maní y jalea

Illumio llena el vacío entre incidente y detección, agnóstico del patrón de ataque.

La combinación de tecnología proactiva como ZTS con tecnología reactiva como EDR en cada endpoint disminuye la debilidad del tiempo de permanencia, al tiempo que aumenta significativamente las capacidades de respuesta. De hecho, según la firma de seguridad ofensiva Bishop Fox, combinando la detección y respuesta con Illumio de manera radical redujo la propagación de un atacante mientras detectaba 4 veces más rápido.

Las brechas no van a ninguna parte. Pero al adoptar la contención de brechas en cada endpoint, su organización puede ser resistente a todo lo que queda por venir.

Más información sobre por qué necesita tanto EDR como Segmentación de Confianza Cero.

Contáctanos hoy para agendar una consulta y demostración.