Detecção e Resposta em Endpoint (EDR): Tudo o que você precisa saber

Os pontos de extremidade são o alvo preferido dos invasores – que estão em todos os lugares, e estão propensos a vulnerabilidades de segurança difíceis de serem defendidos. O ataque WannaCry, de 2017, por exemplo, afetou mais de 230 mil endpoints em todo o mundo.

O que é a detecção e resposta em endpoint?
As plataformas de detecção e resposta em endpoint (EDR) são soluções que monitoram terminais (computadores na rede, não a própria rede) em busca de atividades suspeitas. As soluções de EDT fornecem visibilidade e monitoramento para atividades suspeitas, como malware e ataques cibernéticos, nos dispositivos de usuários finais.

Por que o EDR é importante?
Cada dispositivo que se conecta a uma rede é um potencial vetor de ataques para ameaças cibernéticas, e cada uma dessas conexões é um potencial ponto de entrada para captura de dados. Com a ascensão do BYOD, os ataques móveis e as sofisticadas técnicas de invasão aumentaram o risco de violações de dados.

As soluções de EDR ajudam a proteger esses pontos de entrada em sua rede, monitorando seus terminais para muitas ameaças modernas que os softwares antivírus não conseguem detectar.

Também ajudam a monitorar e proteger contra o APT (Advanced Persistent Threats, ameaças persistentes avançadas), que geralmente usam malwares e vulnerabilidades de segurança para obter acesso a uma rede. Os softwares antivírus antigos são capazes de detectar malware apenas quando há uma assinatura correspondente e não conseguem determinar se um invasor tem acesso a um computador monitorando sua atividade.

9 elementos de soluções EDR

As soluções de detecção e resposta em endpoints podem ter vários recursos, mas há um conjunto de elementos que são essenciais

  1. Alertas e relatórios: um console que fornece visibilidade do status de segurança do ponto de extremidade
  2. Resposta avançada: recursos avançados de análise e resposta de EDR, incluindo automação e análise detalhada sobre incidentes de segurança
  3. Funcionalidade principal do EDR: capacidade de detectar e relatar ameaças e vulnerabilidades de segurança no endpoint
  4. EPP Suite: funcionalidade básica que estava disponível na geração anterior do software de segurança de endpoint, incluindo recursos antimalware, antiphishing e anti-exploração
  5. Suporte geográfico: capacidade de um fornecedor de EDR atender uma empresa global
  6. Serviços gerenciados: a capacidade do EDR de alimentar dados para um serviço de segurança gerenciada ou fornecedor de detecção e resposta gerenciada para aumentar os recursos da equipe de segurança
  7. Suporte de SO: para ser eficaz, um EDR precisa suportar todos os sistemas operacionais em uso pela empresa
  8. Prevenção: apenas detectar uma ameaça não é suficiente, os EDRs eficazes também fornecem medidas preventivas
  9. Integração: uma estratégia de segurança de dados geralmente requer a integração com vários produtos. Os EDRs devem ter APIs ou integrações com outras soluções para complementar e fornecer uma abordagem de segurança em camadas.

Segurança de endpoint vs software antivírus

Como vimos acima, o antimalware é um componente chave das soluções de EDR. As gerações mais antigas de antivírus detectam ameaças por meio de uma assinatura, necessária para poder detectar a ameaça. A próxima geração de soluções de EDR inclui análise preditiva e detecção avançada de ameaças para proteger melhor os usuários.

Recursos adicionais encontrados em soluções EDR

  • Remoção de malware baseada emassinaturas e análises correspondentes
  • Proteção anti-spyware
  • Firewall local
  • Detecção de intrusão e sistemas de aviso de prevenção de intrusão
  • Controle de aplicativos e gerenciamento de usuários
  • Controle de dados, incluindo dispositivos portáteis
  • Full Disk Encryption
  • Prevenção de vazamento de dados
  • Aplicação Whitelisting

Embora uma solução de EDR proteja os pontos de extremidade em sua rede, eles são limitados ao tipo de atividade que podem monitora e a quais tipos de malware e ataques cibernéticos que podem detectar. O serviço de proteção de dados da Varonis é projetado para proteger dados corporativos de ataques de dia zero e endpoint – colocando a telemetria do perímetro no contexto da atividade de arquivos e do comportamento do usuário.