¿Cuál es el proceso de reflexión detrás de que la protección de Endpoint es mejor que los firewalls?

La respuesta a esta pregunta no es fácil. La seguridad holística es la única respuesta. Si va a estar conectado a Internet, necesita ambos, simple y simple. Hay formas de minimizar la exposición, pero debe comprender las amenazas y cómo se relacionan con lo que es importante en su red.

Si intenta confiar exclusivamente en la protección de puntos finales, ¿qué pasa con los dispositivos que no tienen / no pueden tener protección de puntos finales? ... las impresoras, cámaras, teléfonos, etc. son ejemplos de dispositivos que comúnmente se explotan en una red en la que probablemente no pueda colocar capas en la protección de puntos finales.

A la inversa, un firewall solo lo protege en el límite. Una vez que un atacante está dentro, a menudo tienen acceso desinhibido a la red interna y luego pueden moverse lateralmente o escalar para lograr cualquier resultado que estén buscando.

Cada empresa necesita comprender lo que es importante para su empresa. Un sitio de comercio electrónico tiene su propiedad intelectual (IP) fuera del mundo. Así que aprovechan los proxies inversos, los firewalls, las revisiones de códigos y las protecciones basadas en host. Una organización política en la que los usuarios y su información son importantes probablemente se centraría más en el cifrado de correo electrónico, el espacio aislado de archivos adjuntos, el cifrado de disco, las soluciones de AV / AM, etc.

La respuesta real es que no hay una única panacea para la seguridad. Se trata de evaluar el riesgo y aprovechar los recursos de acuerdo con lo que es importante para cada organización.

Mi opinión personal es que la arquitectura es la mejor respuesta: para las empresas que no son de comercio electrónico, mantenga todo lo que pueda en una red cerrada que nunca toque Internet y para aquellos servicios que lo requieran (correo electrónico, web, etc.). realizado en un cliente ligero / cero, sistema operativo no persistente que no tiene acceso a la red corporativa. El personal de TI debe realizar todos los archivos que deban atravesar el límite de Internet a red cerrada mediante un proceso muy deliberado (descargar, escanear, comparar hashes, sandbox, mover a red cerrada). Esta sugerencia tiene sus límites, pero teniendo en cuenta la proporción de ataques y vulnerabilidades que se originan al estar conectado a Internet, en mi opinión, la mejor respuesta es acordonarlo lo más posible.

Otro factor que debe agregarse a esta discusión: el firewall de Endpoint vs depende de su infraestructura.

Las empresas tradicionales necesitaban ambos, ya que los centros de datos estaban dentro del perímetro. Sin embargo, hoy en día algunas empresas "nacen en la nube", lo que significa que no hay un centro de datos interno, lo que prácticamente niega la necesidad de un firewall. Los puntos finales, por el contrario, no están cambiando tan dramáticamente. Siguen siendo un gran objetivo, ya que son la vía de entrada a su red, independientemente de cómo esté ensamblada. Evalúe dónde se encuentran sus activos digitales y cómo protegerlos según la ubicación.