Detecção e resposta de endpoint (EDR): Tudo o que você precisa saber

Os Endpoints são o alvo favorito dos invasores: eles estão em todos os lugares, propensos a vulnerabilidades de segurança e difíceis de defender. O ataque WannaCry de 2017, por exemplo, afetou mais de 230.000 endpoints em todo o mundo.

O que é a detecção e resposta de endpoint (EDR)?

As plataformas de detecção e resposta de endpoint (EDR) são soluções que monitoram terminais (computadores na rede, não a própria rede) em busca de atividades suspeitas. Cunhado pelo analista da Gartner, Anton Chuvakin, em 2013, as soluções da EDR se concentram em dispositivos para usuários finais – laptops, desktops e dispositivos móveis.

As soluções de EDR fornecem visibilidade e monitoramento para atividades suspeitas, como malware e ataques cibernéticos, nesses dispositivos de usuários finais. 

Por que o EDR é importante?

Cada dispositivo que se conecta a uma rede é um potencial vetor de ataque para ameaças cibernéticas, e cada uma dessas conexões é um potencial ponto de entrada para seus dados. Com a ascensão do BYOD (traga seus próprios dispositivos), os ataques móveis e as sofisticadas técnicas de invasão aumentaram apenas o risco de violações de dados.

As soluções de EDR ajudam a proteger esses pontos de entrada em sua rede, monitorando seus terminais para muitas ameaças modernas que o software antivírus não consegue detectar.

As soluções EDR podem ajudar a monitorar e proteger contra o APT (Advanced Persistent Threats, ameaças persistentes avançadas), que geralmente usam técnicas de hackers livres de malware e vulnerabilidades de segurança para obter acesso a uma rede. Os softwares de antivírus mais antigos são capazes de detectar malwares somente quando há uma assinatura correspondente e não conseguem determinar se um invasor tem acesso a um computador apenas monitorando sua atividade.

A segurança do endpoint não é apenas uma ferramenta empresarial: também existem versões para o consumidor final do EDR que estão por aí. Algumas diferenças em como a segurança de terminal é diferente para consumidores e empresas incluem:

  • Gerenciamento remoto e armazenamento central:
    • Em geral, as empresas fornecem opções de gerenciamento remoto para que os administradores de segurança possam definir as configurações apropriadas. Cada endpoint envia dados de auditoria para um repositório central para auditoria e análise;
    • Os consumidores não precisam da mesma administração centralizada.
  • Atualizações automáticas vs. patches distribuídos:
    • As empresas precisam aderir aos processos de gerenciamento de mudanças, o que exige que a empresa distribua patches durante essas janelas;
    • Os consumidores geralmente permitem que o EDR seja atualizado automaticamente de acordo com a programação de lançamentos do fornecedor.

EDR

9 elementos de soluções EDR

As soluções de detecção e resposta de endpoints podem ter vários recursos – mas há um conjunto de elementos principais que são essenciais para o EDR:

  1. Alerta e relatórios do console:Um console baseado em função que fornece visibilidade do status de segurança dos Endpoints da organização;
  2. Resposta avançada do EDR:Recursos avançados de análise e resposta de soluções de EDR, incluindo automação e análise detalhada sobre incidentes de segurança;
  3. Funcionalidade principal do EDR:Capacidade de detectar e relatar ameaças e vulnerabilidades de segurança no endpoint;
  4. EPP Suite:Funcionalidade básica que estava disponível na geração anterior de software de segurança de endpoints, incluindo recursos antimalware, antiphishing e antiexplosão;
  5. Suporte Geográfico:Capacidade de um fornecedor de EDR para suportar uma empresa global – porque a segurança da informação é de missão crítica;
  6. Serviços gerenciados:A capacidade do EDR de alimentar dados para um serviço de segurança gerenciada ou um fornecedor de detecção e resposta gerenciada para aumentar ainda mais os recursos da equipe de segurança;
  7. Suporte de SO:Para ser eficaz, um EDR precisa suportar todos os sistemas operacionais em uso pela sua organização;
  8. Prevenção:Não é suficiente simplesmente detectar uma ameaça – os EDRs eficazes também precisam fornecer medidas preventivas, para ajudar a atenuar e permitir que as equipes entrem em ação;
  9. Integração de terceiros:Uma estratégia de segurança de dados abrangente geralmente requer a integração com vários produtos: os EDRs devem ter APIs ou integrações com outras soluções para complementar e fornecer uma abordagem de segurança em camadas.

Segurança de endpoint vs. software de antivirus 

Conforme observado na lista acima, o anti-malware ainda é um componente chave das soluções de EDR. As gerações mais antigas de software de antivírus detectam ameaças por meio de uma assinatura, necessária antecipadamente para poder detectar o malware. A próxima geração de soluções EDR inclui análise preditiva e detecção avançada de ameaças para proteger melhor os usuários.

Recursos adicionais encontrados em soluções EDR que não estão incluídas nas soluções tradicionais de AV incluem:

  • Remoção de malware baseada em assinaturas e análises correspondents;
  • Proteção anti-spyware;
  • Firewall local;
  • Detecção de intrusão e sistemas de aviso de prevenção de intrusão;
  • Controle de aplicativos e gerenciamento de usuários;
  • Controle de dados, incluindo dispositivos portáteis;
  • Criptografia total de Disco;
  • Prevenção de vazamento de dados;
  • Aplicação Whitelisting.

Embora uma solução de EDR proteja os endpoints em sua rede, eles são limitados em que tipo de atividade podem monitorar e limitados em que tipo de malware ou ataques cibernéticos podem detectar. O Varonis é projetado para proteger dados corporativos de ataques de dia zero além do endpoint – colocando a telemetria do perímetro no contexto da atividade de arquivos e do comportamento do usuário de seus armazenamentos de dados principais.

Alguns comportamentos que podem parecer normais em um endpoint – um usuário fazendo login com um usuário e uma senha válidos, por exemplo – não necessariamente aumentariam um sinalizador vermelho apenas com um EDR. No entanto, esse evento de login pode ser suspeito se efetuar login de vários locais em um curto período de tempo. O Varonis DatAlert e o Edge analisam a atividade de arquivos, os eventos do usuário e a telemetria de perímetro para identificar comportamentos anormais com contexto adicionado: para que até mesmo atividades aparentemente inofensivas sejam consideradas no contexto para obter uma visão mais ampla.

Veja como EDR e Varonis podem trabalhar juntos – clique aqui para uma demonstração 1:1 e veja como uma estratégia de segurança em camadas funciona em seu ambiente.

Escrito por  Jeff Petters

Fonte blog.varonis.com