Malwares, APTs e outras ameaças estão ficando mais inteligentes, mas as soluções de endpoint também estão evoluindo. Vamos falar nesse artigo sobre o que essas evoluções podem fazer para manter as ameaças distantes.

O cenário em que as empresas estão inseridas está repleto de ameaças de segurança como zero-days e APTs, nas quais o atacante calmamente se infiltra na rede, sem ser detectado, se mantém lá por um longo período de tempo em busca de atingir um objetivo. Infelizmente, as soluções legadas de endpoint são sub-equipadas para lidar com essas e outras ameaças modernas de segurança. Por isso, é recomendável considerar o upgrade das soluções de endpoint em seu parque com a adoção de uma tecnologia de EDR.


Os problemas das soluções tradicionais de endpoint

As soluções tradicionais de endpoint possuem alguns gaps que precisam ser endereçados. Para começar, a segurança costuma ser tratada como sendo em camadas. Uma empresa pode, por exemplo, usar um produto para antimalware e outro para detecção de intrusão. Essa abordagem não está errada, realmente devemos nos preocupar com as diferentes camadas de segurança, mas se não olharmos para o todo teremos um cenário onde existem diferentes silos de segurança, e as ameaças podem acabar escorregando entre os gaps desses silos.

Um segundo gap das soluções tradicionais de endpoint diz respeito a falta de precisão. A forma tradicional de se detectar as ameaças com base nas assinaturas de malwares tem um gap claro, a solução só consegue proteger o endpoint de ameaças que já são conhecidas. Para contornar esse problema, as soluções adotam uma abordagem heurística, de forma a detectar ameaças que possam passar despercebidas pela engine de detecção de assinaturas. O problema disso é que essa abordagem em geral produz uma grande quantidade de falsos-positivos.


Porque o EDR é um upgrade essencial para soluções de segurança de endpoint?

Produtos de EDR são desenhados para monitorarem redes e endpoints, além de aplicarem uma resposta automatizada a qualquer evento de segurança detectado.

Uma particularidade que diferencia o EDR do endpoint tradicional é que o EDR é arquitetado para detectar e responder a uma gama maior de ameaças de segurança, não apenas a detecção de malware, por exemplo.

A maior parte dos EDR funciona a partir da instalação de um agente nos endpoints. O trabalho desse agente é monitorar de forma contínua a saúde do endpoint, detectar incidentes de segurança e reportar de volta ao servidor de EDR.

Ao passo em que uma empresa começa a avaliar soluções de EDR, é importante considerar alguns passos que o fabricante tomou para garantir uma boa apuração de detecção dos eventos de segurança, minimizando falsos-positivos. Alguns novos EDR estão usando, por exemplo, inteligência artificial para reduzir consideravelmente os falsos-positivos. Isso é especialmente importante já que falsos-positivos podem causar “fatiga de alertas”, camuflando eventos de segurança potencialmente danosos.


A Recomendação Real Protect

A Real Protect está utilizando e recomendando para os clientes a adoção do EDR da Trend Micro. A tradicional solução de segurança da endpoints da Trend, o OfficeScan, evoluiu e se tornou o Apex One. O EDR é um módulo que integra o Apex One, e, para garantir que a solução funcione de forma adequada, a Trend Micro optou por um modelo de instalação que contempla todos os endpoits.

Isso significa que, para um EDR realmente monitorar o parque e conseguir ter uma visibilidade sobre as ameaças que chegam aos endpoints, é preciso que todo o parque esteja coberto pela solução, a Trend Micro não comercializa o EDR de forma parcial, já que uma máquina que não esteja protegida pode ser a porta de entrada para ameaças e comprometer a segurança do ambiente.

Recentemente, Erick Mendes, nosso Gerente Comercial da Unidade do Rio, esteve no evento anual da Trend Micro em San Diego e pode conferir as mudanças que o EDR vai trazer para a solução de endpoints:

“O futuro da segurança passa pelo EDR. Dentro de alguns anos, o EDR será considerado uma ferramenta básica para a execução de uma boa resposta a incidentes de segurança. Isso ocorre porque a tecnologia fornece uma alta visibilidade sobre os incidentes, desde os endpoints afetados até a camada de comunicação dos Malwares. Além de facilitar no processo de automação, na aplicação de reparos e correções, falando com outras tecnologias e auxiliando na orquestração de segurança.”