[ÉDRが失敗したとき:エンドポイントセキュリティにおける封じ込めの重要性]

[、]

[Júñé~ 2, 2023]

[23 最小読取り]

[侵害が発生しても、検出は失敗します。これを受け入れたからといって、検知ツールが失敗するわけではありません。まったくそうではありません。悪役とネズミをいじりまわすという不幸な課題を抱える、最も洗練されたツールの 1 つです。]

[エンドポイント検出/対応（ÉDR）のようなツールは同義語になりましたがエンドポイントセキュリティ、現実には、単一のアプローチのみに依存すると、組織が脆弱になる可能性があります。を採用することゼロトラスト・マインドセットは、侵害が発生することを前提としているため、検出と同じくらい封じ込めを優先する必要があります。]

[最も硬度の高いÉDR剤でさえ、改ざんされないわけではありません。「」という名前のオンラインペルソナによる最近の調査結果スパイボーイ」これを実証してください。脅威アクターはわずか300ドルで、終わらせるほとんどのÉ~DRには適切なアクセス権があります。このような脆弱性は警戒すべきものですが、セキュリティチームが ÉD~R に障害が発生した瞬間に備えていれば壊滅的な事態にはなりません。
]

[横方向に動くとドアを閉じる]

[封じ込めとは、攻撃者を阻止し、速度を落とすことです。次のような封じ込め対策が必要です。ゼロトラストセグメンテーション (ZTS)、組織は、影響を受けるワークロードまたはエンドポイントからのラテラルムーブメントを防ぐことで、攻撃者の拡散を積極的に阻止できます。最大の利点は、横方向の動きを制限することで、他の検出ツールがインシデントを検出する時間が長くなることです。]

[ZTS は実証済みの封じ込め戦略です。攻撃的なセキュリティ企業であるビショップ・フォックスがテストしたところ、Z~TSを導入したからといって、レッドチームが必要になったことが分かりました。 9 倍長い攻撃を正常に実行します。また、攻撃を検知するのにも役立ったという利点もあります。 4 倍高速攻撃者が動き回ろうとしてより多くの音を出さなければならなかったからです。]

[封じ込めがエンドポイントのセキュリティ戦略に直ちに影響を与える可能性がある領域は複数あります。]

[完全な可視性を実現]

[六十パーセントの組織が可視化が不十分で、それが困難になっているセキュリティ体制の向上。すべての資産を完全に可視化できなければ、横方向の動きを止めることはほとんど不可能です。検出だけに頼っていると、組織は ÉDR ソリューションを完全に回避できる攻撃に対して脆弱になります。封じ込めは、侵入地点に関係なく、脅威を切り分けて無力化するための積極的な対策を講じることで重要な役割を果たします。]

[最も高度な脅威も封じ込める]

[ゼロデイエクスプロイト検出メカニズムを簡単に回避できるものは特に危険です。このような高度な脅威の検出には時間がかかります。組織は封じ込めを優先することで、侵害されたシステムを隔離し、すぐに検出されない場合でもラテラルムーブメントを防止することで、脅威の影響を最小限に抑えることができます。]

[脅威を迅速に阻止]

[侵害を迅速に検出したとしても、リスクはあります。迅速な対応がなければ、攻撃者は依然として目的を達成する可能性があります。対応が遅れると、攻撃者はネットワークの奥深くまで侵入する可能性があります。迅速な封じ込めの必要性を過小評価してはなりません。ÉDRと並行して封じ込め戦略を実施することで、組織は脅威を迅速に軽減し、潜在的な被害を最小限に抑え、通常の運用を回復するのにかかる時間を短縮できます。]

[ネットワークアラートをより少なく、より正確に]

[アラート疲労は現実のものです。ラテラルムーブメントの経路を減らすことで、まだポップアップしているネットワークアラートの精度が高まる可能性があります。封じ込め戦略によって疑わしいエンドポイントを隔離することで、真の脅威を調査して的確に対応するために必要な余裕が生まれます。]

[内部脅威からの保護]

[ÉDRソリューションは、侵害の兆候を見つけることに重点を置いていますが、特権的な内部関係者や侵害されたアカウントによる悪意のある行為を特定できない場合があります。Z~TS のような封じ込め戦略は、内部関係者の脅威による被害を最小限に抑えるのに役立ちます。コンテインメントは移動を制限することで、こうした内部の脅威に対する保護をさらに強化します。]