Por que você precisa da segmentação EDR e Zero Trust

People sometimes ask us if they need Illumio if they already have an Endpoint Detection and Response (EDR) product. Or they ask if they still need EDR if they already have Illumio.

A resposta é que você precisa da Segmentação Zero Trust e de um produto EDR. O Illumio e o EDR se complementam, criando uma defesa mais robusta contra ataques cibernéticos.

Veja por que o Illumio e o EDR são ferramentas de segurança essenciais e por que, juntos, eles tornarão as defesas cibernéticas de sua organização ainda mais fortes.

Produtos diferentes para diferentes funções de segurança cibernética do NIST

A melhor maneira de comparar o Illumio e o EDR é considerar o maior contexto de segurança cibernética.

Illumio and EDR products fulfill different roles in the NIST Cybersecurity Framework, the US government’s official standard for cybersecurity tools and practices. The NIST Cybersecurity Framework calls out five functions that, at their highest level, organize cybersecurity operations. These five functions are:

• Identifique
• Proteger
• Detectar
• Responder
• Recuperar

Os produtos EDR, como o nome sugere, abrangem as funções Detectar e Responder. Eles detectam atividades suspeitas ou um ataque direto a um endpoint. Em seguida, eles respondem a atividades ou ataques suspeitos tomando medidas corretivas. Eles podem enviar um alerta para seu sistema de gerenciamento de eventos e informações de segurança (SIEM), iniciar um processo para ativar uma ferramenta antivírus, excluir ou colocar arquivos em quarentena e realizar uma combinação dessas ou de outras ações.

Illumio Zero Trust Segmentation plays a different role in cybersecurity. Illumio continuously protects the network against attackers moving from one endpoint to another. If a subtle attack gets through on an endpoint — and eventually, because of software vulnerabilities or Zero-Day attacks, an attack will get through on some endpoint somewhere — Illumio protects your organization by denying access and preventing it from moving laterally across your organization’s network.

Illumio restricts attackers’ movements by denying all network traffic by default — that’s the Zero Trust security model. Instead, Illumio allows only the traffic that security and operations teams have deemed necessary after reviewing Illumio’s real-time application dependency map. The application dependency map shows the network paths that business-critical applications depend on.

In addition, Illumio makes it easy for security teams to enforce policies that block network protocols essential to many malware attacks. For example, nearly half of ransomware attacks in Q3 2021 relied on the RDP protocol. Originally designed to give help desk agents access to employees’ computers, RDP has ended up serving as a wide-open network of back alleys for attackers to traverse inside organizations. Illumio lets security teams define and enforce policies restricting RDP and other dangerous protocols in just minutes, significantly increasing protection against attacks.

Quando um endpoint é violado, o Illumio evita que o ataque se espalhe ainda mais, mantendo a disponibilidade de seus sistemas e da empresa. Quando o sistema EDR detecta o ataque, um processo automatizado pode desligar e colocar em quarentena qualquer carga de trabalho infectada: 

1. Os ataques são isolados no ponto de ataque
2. O ataque é detectado pelo EDR ou XDR
3. As cargas de trabalho infectadas são colocadas em quarentena
4. Os protocolos apropriados são bloqueados em toda a infraestrutura

Whatever endpoint security tools you have in place, your organization should also take advantage of the protection provided by Zero Trust Segmentation. As good as EDR and Extended Detection and Response (XDR) products are today, they’re not foolproof. And with visibility limited to endpoints themselves, EDR products sometimes miss multi-stage attacks as they unfold. In other words, EDR tools don’t provide full protection and even their detection is often limited.

EDR versus XDR versus Illumio

Os produtos EDR, por definição, são executados somente em endpoints gerenciados. Não é de surpreender que eles forneçam uma visão das ameaças centrada em terminais.

Os produtos Extended Detection and Response (XDR) expandem o escopo do monitoramento de segurança para incluir e-mail, endpoints, servidores, cargas de trabalho na nuvem e tráfego de rede. Ao fornecer às equipes de segurança uma coleção mais ampla de dados correlacionados para analisar ameaças, os produtos XDR facilitam a detecção de ataques furtivos. Por exemplo, os produtos XDR podem detectar ataques em vários estágios que os produtos tradicionais de EDR podem perder.

Mas, embora os produtos XDR forneçam uma visão mais ampla da atividade de TI, seu trabalho se enquadra nas mesmas funções do NIST Cybersecurity Framework do EDR: eles detectam e respondem. Nenhuma das tecnologias atende à necessidade de proteção fornecida pela Segmentação Zero Trust.

Neither EDR nor XDR provide a systematic way of analyzing all the traffic associated with an application. To get that view, you need Illumio's application dependency map. Nor can EDR and XDR products instantly generate host-based firewall rules for enforcing Zero Trust Segmentation at scale. To generate those rules, you need the capabilities found in Illumio’s Policy Compute Engine.

A Illumio complementa os produtos EDR e XDR reduzindo a superfície de ataque com políticas de segmentação Zero Trust que deixam pouco espaço de manobra para os atacantes.

Melhor em conjunto: Illumio com EDR ou XDR

Independentemente do produto EDR ou XDR que você implemente, você ainda precisa de uma maneira rápida, flexível e escalável de segmentar a rede, aplicar os controles Zero Trust e impedir que os invasores se envolvam em movimentos laterais.

Para saber mais sobre como a Illumio, líder em segmentação Zero Trust, pode ajudar:

• Read the latest Forrester Wave reports on Zero Trust and microsegmentation.
• Contact us today to schedule a consultation and demonstration.