.png)
EDR とゼロトラストセグメンテーションの両方が必要な理由
すでにイルミオを持っているのに、イルミオが必要かどうか尋ねられることがあります エンドポイントの検出と対応 (EDR) プロダクト。また、すでに EDR が必要なのかどうかを尋ねる場合もあります。 イルミオ。
その答えは、ゼロトラストセグメンテーションが必要だということです。 そして EDR プロダクトです。IllumioとEDRは互いに補完し合い、サイバー攻撃に対するより強固な防御を実現します。
IllumioとEDRがどちらも不可欠なセキュリティツールである理由と、これらが一緒になって組織のサイバー防御をさらに強化する理由は次のとおりです。
NIST サイバーセキュリティのさまざまな役割に対応するさまざまな製品
IllumioとEDRを比較する最良の方法は、サイバーセキュリティの最大のコンテキストを検討することです。
イルミオとEDR製品は、さまざまな役割を果たします NIST サイバーセキュリティフレームワークは、サイバーセキュリティのツールと慣行に関する米国政府の公式標準です。NIST サイバーセキュリティフレームワークは、サイバーセキュリティ業務を組織する最高レベルの 5 つの機能を挙げています。これらの 5 つの機能は以下のとおりです。
- 識別
- 保護
- 検出
- 応答
- リカバリ
EDR製品は、その名前が示すように、検出機能と応答機能をカバーしています。彼らは 検出します エンドポイントに対する不審なアクティビティまたはあからさまな攻撃そして、彼らは 応じる 是正措置を取ることにより、不審な活動や攻撃を受ける。セキュリティ情報およびイベント管理 (SIEM) システムにアラートを送信したり、ウイルス対策ツールを有効にするプロセスを開始したり、ファイルを削除または隔離したり、これらのアクションやその他のアクションを組み合わせて実行したりする場合があります。
イルミオゼロトラストセグメンテーション サイバーセキュリティでは別の役割を果たします。イルミオは絶えず 保護します あるエンドポイントから別のエンドポイントに移動する攻撃者に対するネットワーク。エンドポイントに微妙な攻撃が仕掛けられた場合、そして最終的にはソフトウェアの脆弱性が原因だったり、 ゼロデイ攻撃、攻撃 だろう どこかのエンドポイントを通過 — Illumioはアクセスを拒否し、それが組織のネットワーク上を横方向に移動するのを防ぐことで組織を保護します。
Illumioは、デフォルトですべてのネットワークトラフィックを拒否することで攻撃者の動きを制限しています。これがゼロトラストセキュリティモデルです。代わりに、Illumio は Illumio のリアルタイムアプリケーション依存関係マップを確認した結果、セキュリティチームと運用チームが必要と判断したトラフィックのみを許可しています。は アプリケーション依存関係マップ は、ビジネスクリティカルなアプリケーションが依存するネットワークパスを示しています。
さらに、Illumioを使用すると、セキュリティチームは多くのマルウェア攻撃に不可欠なネットワークプロトコルをブロックするポリシーを簡単に適用できます。たとえば、 2021年第3四半期のランサムウェア攻撃のほぼ半分はRDPプロトコルに依存していました。RDPは当初、ヘルプデスクのエージェントが従業員のコンピューターにアクセスできるようにするために設計されていましたが、最終的には攻撃者が組織内をすり抜けるための広く開かれた裏口のネットワークとして機能するようになりました。Illumioでは、セキュリティチームがRDPやその他の危険なプロトコルを制限するポリシーをわずか数分で定義して適用できるようになり、攻撃に対する保護が大幅に強化されました。
エンドポイントが侵害された場合、Illumioは攻撃がそれ以上広がるのを防ぎ、システムとビジネスの可用性を維持します。EDR システムが攻撃を検出すると、自動プロセスにより感染したワークロードをシャットダウンして隔離することができます。
- 攻撃は攻撃地点から切り離される
- 攻撃は EDR または XDR によって検出されます
- 感染したワークロードは隔離されます
- 適切なプロトコルがインフラストラクチャ全体でブロックされている
どのようなエンドポイントセキュリティツールを導入していても、組織はゼロトラストセグメンテーションが提供する保護を活用する必要があります。EDRと同じくらい優れており、 検出と対応の拡張 (XDR) 製品は今日のものですが、絶対確実というわけではありません。また、可視性はエンドポイント自体に限られているため、EDR製品は多段階の攻撃が展開しても見落とすことがあります。言い換えると、EDRツールは完全な保護を提供しておらず、検出さえ制限されている場合が多いということです。
EDR 対 XDR 対イルミオ
EDR製品は、定義上、管理対象エンドポイントでのみ動作します。当然のことながら、エンドポイントを中心とした脅威の捉え方ができます。
Extended Detection and Response(XDR)製品は、セキュリティ監視の範囲を電子メール、エンドポイント、サーバー、クラウドワークロード、ネットワークトラフィックにまで拡大します。XDR 製品は、脅威を分析するための相関データの幅広いコレクションをセキュリティチームに提供することで、ステルス攻撃の検出を容易にします。たとえば、XDR 製品は、従来の EDR 製品では見落としがちな多段階の攻撃を検出できる可能性があります。
しかし、XDR製品はITアクティビティのより広い視野を提供しますが、その作業はEDRと同じNISTサイバーセキュリティフレームワークの機能に分類されます。つまり、検出して応答します。どちらのテクノロジーも、ゼロトラストセグメンテーションが提供する保護の必要性を満たすことはできません。
EDRもXDRも、アプリケーションに関連するすべてのトラフィックを体系的に分析する方法を提供していません。そのビューを得るには、Illumioのビューが必要です。アプリケーション依存関係マップ。また、EDRおよびXDR製品では、ゼロトラストセグメンテーションを大規模に適用するためのホストベースのファイアウォールルールを即座に生成することもできません。このようなルールを生成するには、Illumio の機能が必要です。 ポリシーコンピュートエンジン。
Illumioは、攻撃者が操作する余地がほとんどないゼロトラストセグメンテーションポリシーで攻撃対象領域を減らすことで、EDRおよびXDR製品を補完します。
併用するとより効果的:EDRまたはXDR搭載のイルミオ
導入するEDRまたはXDR製品に関係なく、ネットワークをセグメント化し、ゼロトラスト制御を実施し、攻撃者がラテラルムーブメントに関与するのを防ぐには、高速で柔軟かつスケーラブルな方法が依然として必要です。
ゼロトラストセグメンテーションのリーダーであるイルミオがどのように役立つかについて詳しくは、以下をご覧ください。
- 最新版を読む フォレスター・ウェーブ・レポート ゼロトラストとマイクロセグメンテーションについて
- お問い合わせ 今日は相談とデモンストレーションのスケジュールを立てるんだ
