Endpoint Detection and Response – EDR – é uma categoria de ferramentas e tecnologias usadas para proteger endpoints de ameaças em potencial. As plataformas de EDR são construídas a partir de ferramentas que focam na detecção de atividades potencialmente maliciosas, isso é feito normalmente por meio de um monitoramento contínuo desses endpoints. Idealmente, o EDR fornece para a empresa visibilidade sobre os endpoints por meio de coleta de dados desses endpoints, e usa os dados coletados para detectar e responder a potenciais ameaças.

Um empresa irá utilizar uma plataforma de EDR para se proteger contra hackers quando eles acessam o equipamento do usuário final. Um endpoint pode conter informações críticas como eventos de rede, mudanças de configuração, processos ou arquivos sensíveis. O EDR fornece uma plataforma que permite que a empresa monitore continuamente seus endpoints e servidores para identificar comportamentos maliciosos. As ferramentas de EDR podem então detectar e responder a esses eventos.

O EDR funciona a partir da instalação de um agente no endpoint, que é usado para continuamente monitorar os eventos de rede. Esses eventos são registrados em uma base de dados central. As ferramentas do EDR podem então analisar os dados para investigar e identificar um incidente passado ou usar os dados para buscar por ameaças semelhantes. Se uma ameaça é encontrada, a ferramenta do EDR pode alertar até o usuário final. O EDR também fornece uma console de gerenciamento, que pode ser usada para facilitar a gestão dos endpoints e da solução.


Funcionalidades

Ao passo em que nem todas as plataformas dividem as mesmas funcionalidades, a maior parte delas inclui:

  • Unificação dos dados dos endpoints
  • Aumento de visibilidade do ambiente de TI
  • Habilidade de monitorar endpoints, sejam online ou offline
  • Habilidade de detectar malware e armazenar eventos no endpoint
  • Habilidade de resposta em tempo real
  • Integração com soluções adicionais de segurança
  • Uso de blacklists e whitelists

A Recomendação Real Protect

A Real Protect está utilizando e recomendando para os clientes a adoção do EDR da Trend Micro. A tradicional solução de segurança da endpoints da Trend, o OfficeScan, evoluiu e se tornou o Apex One. O EDR é um módulo que integra o Apex One, e, para garantir que a solução funcione de forma adequada, a Trend Micro optou por um modelo de instalação que contempla todos os endpoits.

Isso significa que, para um EDR realmente monitorar o parque e conseguir ter uma visibilidade sobre as ameaças que chegam aos endpoints, é preciso que todo o parque esteja coberto pela solução, a Trend Micro não comercializa o EDR de forma parcial, já que uma máquina que não esteja protegida pode ser a porta de entrada para ameaças e comprometer a segurança do ambiente.

Recentemente, Erick Mendes, nosso Gerente Comercial da Unidade do Rio, esteve no evento anual da Trend Micro em San Diego e pode conferir as mudanças que o EDR vai trazer para a solução de endpoints:

“O futuro da segurança passa pelo EDR. Dentro de alguns anos, o EDR será considerado uma ferramenta básica para a execução de uma boa resposta a incidentes de segurança. Isso ocorre porque a tecnologia fornece uma alta visibilidade sobre os incidentes, desde os endpoints afetados até a camada de comunicação dos Malwares. Além de facilitar no processo de automação, na aplicação de reparos e correções, falando com outras tecnologias e auxiliando na orquestração de segurança.”