Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Quando o EDR falha: a importância da contenção na segurança dos terminais

Editorial Illumio
,
June 2, 2023
23 leitura mínima

As violações acontecem e a deteção falhará. Aceitar isso não significa que as ferramentas de deteção estejam falhando. De jeito nenhum — elas são uma das ferramentas mais sofisticadas que têm a infeliz tarefa de brincar de gato e rato com malfeitores.

Embora ferramentas como Endpoint Detection and Response (EDR) tenham se tornado sinônimo de segurança de terminais, a realidade é que confiar apenas em uma única abordagem pode deixar as organizações vulneráveis. Abraçando um Mentalidade de Zero Trust, que pressupõe que uma violação acontecerá, exige priorizar a contenção tanto quanto a detecção.

Mesmo o agente EDR mais endurecido não está imune a ser adulterado. Descobertas recentes de uma pessoa on-line chamada”espião” demonstramos isso. Por apenas $300, um agente de ameaças pode terminam a maioria dos EDRs com o acesso correto. Vulnerabilidades como essas são alarmantes, mas não catastróficas se as equipes de segurança se prepararem para o momento em que o EDR falhar.

Fechando a porta em movimento lateral

A contenção tem tudo a ver com parar e desacelerar os atacantes. Com medidas de contenção como Segmentação Zero Trust (ZTS), as organizações podem impedir proativamente a propagação de invasores impedindo o movimento lateral da carga de trabalho ou do endpoint afetado. A melhor parte é que restringir o movimento lateral ajuda a aumentar o tempo que outras ferramentas de detecção têm para detectar o incidente.

A ZTS é uma estratégia de contenção comprovada. Quando testados pela empresa de segurança ofensiva Bishop Fox, eles descobriram que, com o ZTS instalado, eram necessárias suas equipes vermelhas 9 veces más para executar um ataque com sucesso. Como benefício adicional, também os ajudou a detectar ataques 4 vezes mais rápido, só porque os atacantes precisavam criar mais ruído tentando se mover.

Há várias áreas em que a contenção pode impactar imediatamente qualquer estratégia de segurança de terminais.

Obtenha visibilidade total

Sessenta por cento das organizações lutam com uma visibilidade inadequada, dificultando a melhorar a postura de segurança. Sem visibilidade total de todos os ativos, é quase impossível interromper o movimento lateral. Confiar apenas na detecção deixa as organizações vulneráveis a ataques que podem contornar totalmente as soluções de EDR. A contenção desempenha um papel fundamental ao implementar medidas proativas para isolar e neutralizar ameaças, independentemente de seu ponto de entrada.

Contenha até as ameaças mais sofisticadas

Explorações do dia zero que podem facilmente contornar os mecanismos de detecção são especialmente perigosos. A detecção dessas ameaças sofisticadas leva tempo. Ao priorizar a contenção, as organizações podem minimizar o impacto das ameaças isolando os sistemas comprometidos e evitando movimentos laterais, mesmo na ausência de detecção imediata.

Pare as ameaças rapidamente

Mesmo ao detectar uma violação rapidamente, ainda há um risco. Sem uma resposta imediata, um atacante ainda pode atingir seu objetivo. Uma resposta atrasada pode permitir que os invasores penetrem mais profundamente na rede. A necessidade de contenção rápida não deve ser subestimada. Ao implementar estratégias de contenção junto com o EDR, as organizações podem mitigar ameaças rapidamente, minimizando possíveis danos e reduzindo o tempo necessário para restaurar as operações normais.

Menos — e mais precisos — alertas de rede

A fadiga de alerta é real. Ao reduzir os caminhos para o movimento lateral, os alertas de rede que ainda aparecem têm o potencial de serem mais precisos. Isolar terminais suspeitos por meio de estratégias de contenção fornece o espaço necessário para investigar e responder com precisão às ameaças genuínas.

Proteção contra ameaças internas

As soluções de EDR, que se concentram em encontrar indicadores de comprometimento, podem não identificar ações maliciosas de pessoas privilegiadas ou contas comprometidas. Estratégias de contenção, como a ZTS, podem ajudar a minimizar os danos causados por ameaças internas. Ao restringir o movimento, a contenção adiciona uma camada adicional de proteção contra essas ameaças internas.

Melhores juntos: Illumio Endpoint e EDR

Para enfrentar os desafios enfrentados pelo EDR, as organizações devem priorizar a contenção ao lado da deteção. Ao adotar uma mentalidade de Zero Trust e implementar estratégias de contenção como a ZTS, as organizações podem retardar proativamente os atacantes e impedir movimentos laterais.

Endpoint Illumio fornece conteúdo definido no próprio endpoint. Com o Illumio, o movimento lateral é interrompido no host, reduzindo a dependência de qualquer infraestrutura de rede para esses recursos críticos de redução de riscos.

Pronto para saber mais sobre o Illumio Endpoint? Entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Endpoint
Segurança de terminais

Artigos relacionados

Obtenha 5 insights de Zero Trust de Ann Johnson, da Microsoft
Resiliência cibernética

Obtenha 5 insights de Zero Trust de Ann Johnson, da Microsoft

Ouça o que Ann Johnson, vice-presidente corporativa de desenvolvimento de negócios de segurança da Microsoft, tem a dizer sobre resiliência cibernética, IA e por onde começar com Zero Trust.

Leia mais
Nossas histórias favoritas de Zero Trust de novembro de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de novembro de 2023

Obtenha informações dos especialistas da Zero Trust sobre por que as festas de fim de ano são uma temporada aberta para agentes mal-intencionados.

Leia mais
Os 4 itens essenciais para a resiliência ao ransomware no setor de saúde
Resiliência cibernética

Os 4 itens essenciais para a resiliência ao ransomware no setor de saúde

Aprenda com os especialistas em segurança da Illumio e da AWS sobre como a segmentação Zero Trust pode impedir a disseminação de ransomware em organizações de saúde.

Leia mais
Três melhores práticas para implementar o Illumio Endpoint
Produtos Illumio

Três melhores práticas para implementar o Illumio Endpoint

Obtenha três etapas simples, mas eficazes, necessárias para proteger seus endpoints com o Illumio.

Leia mais
Demonstração do Illumio Endpoint: Como obter um ROI rápido da segmentação de endpoints
Produtos Illumio

Demonstração do Illumio Endpoint: Como obter um ROI rápido da segmentação de endpoints

Assista a esta demonstração do Illumio Endpoint para saber como a segmentação de endpoints com o Illumio oferece um ROI rápido.

Leia mais
Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint
Produtos Illumio

Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint

A segurança tradicional deixa os endpoints abertos aos hackers. Saiba como se preparar proativamente para violações com o Illumio Endpoint.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais