EDR vs. Segmentação: Como entender as diferenças
O EDR (detecção e resposta de ponto de extremidade) e a segmentação são ferramentas de segurança essenciais que continuam a agregar valor aos clientes, e ambas estão desfrutando das crescentes taxas de adoção. No entanto, os fornecedores de cada categoria geralmente oferecem benefícios semelhantes para os clientes, ou seja, proteção contra ransomware e ameaças de dia zero.
Então, quais são os desafios semelhantes que o EDR e a segmentação enfrentam, e qual a diferença entre suas abordagens para solucioná-los? Continue a leitura para saber mais.
De que forma o EDR e a segmentação são semelhantes?
As soluções de EDR e segmentação oferecem controles de pré-violação, bem como medidas de mitigação pós-violação. Eles também são cada vez mais encontrados nas mesmas áreas da rede, como servidores, instâncias de nuvem, dispositivos de usuário final e contêineres. As violações são inevitáveis, e ambas as soluções podem atenuar ou reduzir o impactos das violações antes que elas causem danos extensos em toda a rede. No entanto, elas visam impedir a possibilidade e a proliferação de violações com abordagens diferentes.
De que forma o EDR e a segmentação são diferentes?
O objetivo do EDR é detectar ataques mal-intencionados à medida que atingem um dispositivo ou servidor inicial, seja alertando sobre um evento de criptografia indesejado, detectando uma conexão com um IP vinculado a uma organização de cibercriminosos ou notificando o administrador sobre atividades suspeitas. Os avanços na inteligência artificial e machine learning também melhoraram a capacidade do EDR de identificar ataques de dia zero com base em semelhanças nas assinaturas de arquivos de ataques conhecidos.
As soluções de segmentação visam compartimentalizar a rede em buckets fechados para limitar o movimento lateral, ou leste-oeste, de um ataque se o EDR não o detectar. Quando configurada adequadamente para aproveitar a delimitação de aplicações críticas, controles de acesso granular e políticas de atenuação de ameaças, uma solução de segmentação garantirá que os ataques que conseguirem entrar na rede atingirão um obstáculo.
Embora o EDR seja capaz de detectar o início desses ataques, nenhuma solução de EDR consegue detectar esses eventos mal-intencionados 100% do tempo. No caso de um invasor violar um dispositivo sem ser detectado, a escala do ataque será definida por onde o invasor poderá se mover em seguida, e é aí que a segmentação entra em ação.
As soluções de segmentação e seus controles de segurança de rede podem garantir que um dispositivo violado só consiga estabelecer uma conexão com dispositivos ou aplicações limitados. Por exemplo, a segmentação pode impedir que um conjunto de credenciais de notebook roubadas resulte em uma violação crítica do data center, se a política de segurança de rede exigir que essa conexão com o data center nunca seja possível.
Casos de uso de EDR vs. Segmentação
Casos de uso |
EDR |
Segmentação |
Visibilidade |
Fornece visibilidade e integridade dentro do dispositivo |
Fornece visibilidade entre dispositivos, aplicações, redes e cargas de trabalho |
Mitigação de ransomware |
Tem como objetivo detectar um ataque em andamento em um dispositivo ou servidor |
Implementa medidas de segurança granulares leste-oeste para limitar o impacto de uma violação |
Investigação de ameaças |
Pesquisa anomalias, ameaças e assinaturas de malware em um dispositivo ou servidor |
Executa consultas em toda a rede e atualizações de políticas para identificar vulnerabilidades ativas ou inativas Investiga toda a cadeia de ataque, onde quer que ela tenha se originado ou espalhado |
Segurança de perímetro em evolução |
Fornece recursos semelhantes, independentemente da localização do dispositivo |
Mantém uma forte segmentação de rede quando os funcionários acessam aplicações remotamente |
Caso de uso: Visibilidade
EDR
Essas soluções fornecem visibilidade sobre o que o dispositivo instalado está fazendo. O EDR está monitorando constantemente o dispositivo em busca de ameaças conhecidas e potencialmente desconhecidas, e às vezes pode usar machine learning para entender o comportamento normal do dispositivo, e então enviar um alerta quando um comportamento anormal estiver ocorrendo. Esse monitoramento constante pode, ocasionalmente, significar um consumo intenso de CPU.
Segmentação
Para segmentar completamente um ambiente, essas soluções devem fornecer total visibilidade de toda a rede, incluindo servidores, dispositivos de usuário final, instâncias de nuvem, contêineres, e as conexões entre eles. Essa visibilidade inclui fluxos de dados ativos entre ativos, conexões ocultas que representam um risco e dependências de rede que afetam os impactos de uma alteração de política ou de um servidor infectado. Com essas informações, políticas de segmentação podem ser criadas para considerar todos os pontos de vulnerabilidade, de modo que a possibilidade de movimento lateral seja significativamente reduzida.
Caso de uso: Atenuação de ransomware
A maioria dos ataques de ransomware é atribuída a erros do usuário, como falta de cuidado com senhas ou cliques em um e-mail de phishing. Nesses eventos, o EDR e a segmentação protegem contra a propagação do ataque em diferentes estágios e de diferentes maneiras.
EDR
As soluções EDR visam detectar a presença de ransomware em execução em dispositivos que estão monitorando. Se o EDR detectar ransomware, ele pode encerrar o processo, colocar o dispositivo em quarentena e, às vezes, reverter qualquer criptografia que tenha ocorrido.
Segmentação
Pré-ataque: Ao mapear todo o ambiente a partir de uma única interface de usuário, incluindo dispositivos, conexões e processos, a política de segurança apropriada pode ser aplicada para impedir que um ataque de ransomware aproveite uma conexão de dispositivo para data center que, de outra forma, seria invisível para o administrador.
Pós-ataque: Se o ransomware violar o ambiente, as etapas que foram tomadas usando a solução de segmentação, como isolar aplicações críticas, eliminar conexões indesejadas com bancos de dados e limitar rotas de movimento lateral, são eficazes para garantir que a violação tenha um pequeno impacto geral. As medidas de resposta de ransomware predefinidas também podem ajudar o usuário a isolar taticamente os ativos ou limitar fluxos de dados específicos sem interromper o resto do ambiente e garantir a continuidade dos negócios.
Caso de uso: Investigação de ameaças
EDR
A "detecção e resposta" no EDR geralmente envolve a equipe do administrador ou do centro de operações de segurança se esforçando tanto quanto a própria solução para caçar ameaças. Uma equipe talentosa combinada com um EDR comprovado pode ser um emparelhamento capaz de descobrir agentes mal-intencionados escondidos em dispositivos.
Segmentação
Analistas de segurança experientes acharão fácil executar consultas em toda a rede, de servidores locais que executam o sistema operacional legado a infraestruturas de plataforma como serviço em seus ambientes de nuvem pública, usando uma solução de segmentação.
Além disso, as soluções de segmentação oferecem uma investigação superior da cadeia de ataques após uma violação, pois todas as conexões e eventos de rede podem ser acessados a partir da interface do usuário da solução de segmentação. Isso torna a conformidade muito mais simples se ocorrer uma violação, pois um relatório detalhado do ataque pode ser mapeado e produzido em um curto período de tempo.
Caso de uso: Segurança de perímetro em evolução
EDR
Independentemente de os funcionários estarem conetados à rede do escritório ou ao roteador em casa, o EDR pode continuar monitorando o dispositivo do usuário final em busca de atividades maliciosas. Mas a visibilidade da atividade de rede permanece um ponto cego, e o controle sobre o tráfego de rede que se move de ou para o ponto de extremidade é limitado.
Segmentação
A segmentação é uma medida de segurança fundamental para o perímetro em evolução, pois essas plataformas podem conter uma violação, independentemente de onde se originam. As políticas de segmentação levam em conta os dispositivos dos usuários finais e garantem que não haja um caminho fácil para os bens da organização, de modo que a rede permaneça protegida contra violações catastróficas.
De que forma o EDR e a segmentação se complementam?
O EDR e a segmentação lidam com desafios de segurança de primeira linha, mas em diferentes estágios da cadeia de ataque e de maneiras diferentes. O EDR é uma solução potente para tentar identificar novos ataques, mas se o seu objetivo é reduzir significativamente a superfície de ataque da rede e limitar as rotas que o malware pode tomar de um dispositivo em caso de violação, você precisa de uma solução de segmentação.
Ambas as soluções podem ser baseadas em agentes, com cada agente se concentrando em metas diferentes, ao mesmo tempo em que garantem que o consumo da CPU seja minimizado. Em alguns casos, uma solução integrada é suficiente para oferecer recursos de EDR e segmentação para um determinado dispositivo.
Saiba mais
Para obter mais informações sobre como as soluções de segmentação são benéficas para proteger a rede de um ataque originado em um dispositivo, confira este resumo da solução.
