Mesmo no cenário de ameaças avançadas de hoje, os criminosos continuam usando os endpoints como porta de entrada para as redes corporativas. Os atacantes se aproveitam do fato de que a maior parte dos endpoints são usados e mantidos por usuários comuns, que não costumam ter a habilidade para reconhecer que o endpoint está sendo atacado, muito menos protegê-lo. Como conhecido, o usuário final é o elo mais fraco na segurança e mais de 90% das violações de dados começam através de email phishing.

O Endpoint Detection and Response – EDR, provê para as empresas meios de monitorar, detectar e responder às ameaças de endpoint. Por meio da implantação de uma solução de EDR, a empresa pode ter visibilidade sobre sua rede de endpoints. O EDR também fornece ferramentas para proteger a rede contra os ataques enquanto eles ocorrem.

 

O que é Endpoint Detection and Response – EDR?

O EDR é uma parte importante da segurança para endpoints, responsável por proteger de forma proativa a rede contra ameaças de endpoint. A segurança de EDR é composta de práticas e tecnologias que monitoram proativamente a atividade de endpoints, identifica ameaças e inicia respostas automáticas para ataques.

Em 2013, o Gartner reconheceu o EDR como um tipo emergente de tecnologia e conjunto de práticas que forneciam visibilidade à rede de endpoints. Nesse início, o EDR era até conhecido como ETDR – Endpoint Threat Detection and Response, que acabou sendo abreviado posteriormente para como usamos hoje em dia.

 

O que é uma Ameaça de Endpoint?

Os endpoints estão localizados no final de uma rede e são compostos por smartphones, tablets, IoT, servidores, desktops e notebooks. Como dissemos, na maior parte das vezes, são utilizados por usuários que não são experts em TI.

Quando as pessoas conectam seus dispositivos em uma rede, eles criam um ponto de acesso no final dessa rede. Uma vez que o endpoint ganha acesso à rede, ele também recebe um certo nível de privilégio de acordo com a política vigente naquela rede.

Cada endpoint tem o potencial de introduzir vulnerabilidades e/ou malwares em uma rede. Se o endpoint é pessoal, sem as camadas de proteção corporativas, provavelmente a situação de segurança é precária. Se o endpoint é de propriedade da empresa, mas sem nenhuma solução de segurança implementada, ela não vai ter a visibilidade necessária para proteger a rede contra ameaças de endpoint.

 

Tipos de Ameaças de Endpoint

Os endpoints são alvos fáceis para os atacantes iniciarem uma variedade de ataques. Normalmente, esses atacantes usam o endpoint como um meio para atingir outro objetivo – a rede corporativa e os dados contidos ali. Uma vez que eles possuem esses dados, eles vendem para quem pagar mais ou aplicam um golpe de sequestro ou outros tipos de fraude.

A seguir listamos alguns tipos de ataques que podem transformar os endpoints em grandes ameaças:

 

Phishing: Ataques que usam como alvo o email dos usuários. As vítimas recebem um email que se passa por legítimo, geralmente pedindo alguma informação sensível ou credencial de acesso.

 

Malvertising: Ads maliciosos que contém malware. As vítimas clicam em websites e a máquina fica infectada com malware.

 

Ransomware:  Uma forma de malware que bloqueia o acesso da vítima aos seus dados, exigindo pagamento de determinado valor para que os dados fiquem disponíveis novamente.

 

Drive-by downloads: As vítimas clicam em sites aparentemente legítimos, links ou updates de software. O click leva ao download de malware ou ransomware sem o conhecimento do usuário.

 

Vulnerabilidades sem correção: Os usuários que não fazem update do sistema de forma regular, geralmente se tornam vítimas. Os atacantes usam vulnerabilidades não corrigidas para ganhar acesso à rede.

 

Como funciona o EDR?

As soluções de EDR fornecem visibilidade em tempo-real para a rede de endpoints, assim como capacidades proativas para identificar e responder às ameaças de endpoint. Para tornar possível essas capacidades, as soluções de EDR fazem uso dos seguintes mecanismos:

 

1 Coleta de Dados – Coletam dados gerados por atividades no endpoint, como comunicações, logins de usuários e execução de processos.

 

2 Armazenamento de dados – Dados em tempo-real de eventos de segurança no endpoint. As equipes de segurança usam essa informação para responder a incidentes de segurança enquanto eles ocorrem.

 

3 – Engine de Detecção –  Performam análises de comportamento, que estabelecem um padrão normal de atividade no endpoint e identifica quais anomalias representam atividade maliciosa.

 

Para fornecer visibilidade em tempo real, as soluções de EDR realizam essas 3 atividades de forma contínua. Uma vez que uma ameaça é detectada, a solução de EDR alerta os admins ou executa uma resposta pré-configurada para essa ameaça.

 

Por quê sua empresa precisa de EDR?

Visibilidade de Endpoint

As soluções de EDR fornecem visibilidade para a rede de endpoint, onde em geral o cenário que se apresenta é de caos e segurança insuficiente. É quase impossível se proteger de algo que você não consegue visualizar, e grande parte das ameaças se aproveitam desses pontos cegos. Contudo, ao contrário de soluções de EPP (Endpoint Protection Platform), que dão visibilidade apenas no nível do dispositivo, as soluções de EDR permitem o monitoramento de endpoint no nível da rede.

 

Detecção de incidentes em tempo-real e análise

As soluções de EDR permitem monitoramento contínuo da rede de endpoints. Possibilitam uma grande vantagem de permitir processos automatizados que buscam e eliminam ameaças nos endpoints. As capacidades de detecção de ameaças variam de fabricante para fabricante, mas a maioria escaneia em busca de padrões e anomalias que representam atividade maliciosa. Soluções que possuem Inteligência Artificial continuam estudando a rede, usuários e eventos, fornecendo às equipes de segurança a informação mais recente.

 

Resposta a Incidentes Automatizada

Uma vez que você implementa a solução de EDR, os processos são implementados em conjunto. Tudo desde a detecção de ameaças, investigação de incidentes e alertas de eventos são automatizados. Algumas soluções de EDR permitem até mesmo respostas automáticas de incidentes. Você pode ligar esses alertas e observar sua solução de EDR aplicar as correções em tempo real. Você receberá alertas para o evento, e poderá monitorar como o EDR está mantendo sua rede segura.

 

Conclusão

As soluções de EDR expandem a segurança de perímetro, permitindo visibilidade nas atividades do endpoint dentro da rede. Existem uma série de soluções de EDR e assim como em outros tipos de soluções existem diferenças e vantagens em cada fabricante, a Real Protect pode lhe auxiliar a entender esses pontos e a encontrar a solução de EDR que faça mais sentido para seu ambiente.

Se possível, opte por um EDR que tenha inteligência artifical, de forma que ele melhora de forma contínua as ações automatizadas e a capacidade de detecção de ameaças dentro do contexto da sua empresa.