Neste artigo vamos explicar o que é EDR? Continue lendo para saber mais.
Antes de entrarmos em detalhes sobre o recurso de EDR (Endpoint Detection and Response), vamos entender a origem do termo. Ele foi cunhado por Anton Chuvakin, da Gartner Blog Network, em 2013, como um meio de classificar um novo grupo de ferramentas ou recursos focados na detecção de atividades suspeitas em endpoint (computadores/servidores). Tais ferramentas se diferem das soluções de segurança anteriores (os famosos antivírus), que tinham exclusivamente o foco na identificação e bloqueio de malware. Tais soluções eram distintas, porque seu objetivo era identificar atividades anômalas e fornecer alertas de segurança, que poderiam desencadear uma investigação mais aprofundada, em vez de simplesmente colocar o arquivo suspeito em quarentena.
O que é detecção e resposta de endpoint (EDR)?
A detecção e resposta de endpoint (EDR) é uma solução integrada de segurança de endpoint, capaz de monitorar alterações de parâmetros e atividades em computadores e servidores, de forma contínua e em tempo real.
A diferença do EDR para um antivírus tradicional está na maior visibilidade que a solução oferece, o que significa que o EDR pode correlacionar os dados do endpoint em busca de ameaças avançadas, fornecendo mais informações para o time de TI, para que identifiquem e respondam mais rapidamente a ataques cibernéticos.
As principais funções de uma solução de segurança EDR são:
- Monitorar e coletar informações sobre atividades suspeitas nos endpoint, que possam indicar uma ameaça em potencial;
- Analisar os dados de forma automatizada e identificar padrões que correspondam a ameaças
- Responder de forma automatizada a ameaça, com capacidade de removê-las ou contê-las ao mesmo tempo que notifica o time de operação de segurança
- Fornecer informações e ferramentas para o time de segurança, para que seja possível buscar atividades suspeitas na rede, por meio de dados históricos
Que tipos de ameaças o EDR é capaz de detectar?
Uma solução de EDR deverá ser capaz de identificar diversos tipos de ameaças, das mais básicas as mais avançadas, fornecendo proteção contra malwares, scripts maliciosos ou roubo de credenciais. Outro ponto é, a solução deverá ser capaz de trazer informações detalhadas sobre o ataque, correlacionando as etapas da execução da ameaça com a matriz do MITRE.
Além disso, novos recursos de investigação em algumas soluções de EDR podem aproveitar a IA e o aprendizado de máquina para automatizar as etapas de um processo investigativo. Esses novos recursos podem aprender os comportamentos básicos de uma organização e usar essas informações, juntamente com uma variedade de outras fontes de inteligência de ameaças, para interpretar os ataques
Ou seja, a solução de EDR além de bloquear a ameaça, também deve detectar as atividades e os caminhos que os atacantes percorreram dentro da rede da sua empresa. Como por exemplo, se eles se moveram de uma máquina para outra, ou se criaram uma credencial de administrador local no sistema operacional.
A lista de ameaças que o EDR detecta é extensa, mas as principais são:
- Ataques de Ransomware
- Instalações de Backdoor & Trojan
- Ataques sem arquivo (fileless)
- Atividades suspeitas de usuários
- Atividades suspeitas de programas
- Uso de exploits que tem como foco explorar vulnerabilidades
Qual a visibilidade de uma solução de EDR?
O EDR deve funcionar como uma solução de monitoramento, análogo a um sistema de CFTV que filma toda a movimentação que ocorre na entrada de um edifício. A solução de EDR detecta atividades suspeitas, rastreando um grande volume de eventos relacionados a segurança, como por exemplo, criação de processos, download de drivers, modificações em chaves de registro, acesso ao disco, alocação de recursos de memória ou conexões de rede.
Essas informações fornecem dados e contexto para que os times de segurança da informação busquem por ameaças, incluindo:
- Contas de usuários suspeitas que possam ter sido criadas sem o conhecimento da TI
- Contas de usuários que efetuaram login e logoff em dias e horários suspeitos
- Execução de processos suspeitos ou desconhecidos
- Atividades de rede, como consultas DNS ou conexões a IPs ou portas suspeitas
- Cópia de arquivos
- Compactação de arquivos suspeitas, utilizando utilitários como Winrar ou ZIPs
Os dados gerados pelo EDR permitem que o time de segurança faça investigações no ambiente e verifiquem atividades suspeitas em tempo real, observando quais comandos são executados e quais técnicas podem violar a segurança do ambiente.
Porque o EDR é Importante?
Todas as empresas sabem que não existe 100% de segurança, por maior que seja os investimentos na segurança cibernética. Existe sempre o risco de um hacker passar pelas camadas de defesa e ter acesso ao ambiente de rede. Neste ponto reside a importância do EDR. Vamos listar alguns motivos relacionados a importância da tecnologia.
1° – Prevenção sem monitoramento é contar somente com a sorte
Quando a prevenção e as camadas de segurança falham em lidar com um ataque, será necessário recorrer ao monitoramento, para descobrir o que está acontecendo. Sem uma solução de EDR é impossível saber o que foi alterado na rede e nos computadores da sua empresa. Os invasores aproveitam essa situação para permanecer e navegar dentro de sua rede, de forma silenciosa sem serem notados.
2° Os atacantes podem ter invadido a sua rede
Devido à falta de uma tecnologia de monitoramento, os hackers estão livres para se movimentar em seu ambiente, muitas vezes criando usuários nos servidores e computadores da sua empresa, para que assim tenham livre acesso ao ambiente. Na maioria dos casos, as empresas só ficam sabendo do incidente depois que o ataque causa algum impacto mais perceptível, como a criptografia dos arquivos.
3° Ausência de tecnologia para tratar incidentes
Quando um incidente ocorre, a empresa pode passar dias ou meses tentando remediar o ocorrido, além de permanecer com o sentimento que ainda possa ter algo de errado dentro da rede. Sem uma ferramenta de EDR é impossível saber o que aconteceu e como ocorreu. Pois é muito comum na maioria dos ataques, o hacker apagar seu lastro, deletando os logs do ambiente.
Componentes de segurança da solução
Uma solução de EDR é composto de 3 componentes principais, são eles:
- Agentes de coleta de dados de endpoint. Os agentes de software conduzem o monitoramento de endpoints e coletam dados – como processos, conexões, volume de atividade e transferências de dados – e enviam as informações para um banco de dados central, geralmente em nuvem.
- Resposta automatizada. As regras pré-configuradas em uma solução de EDR podem reconhecer quando os dados recebidos indicam um tipo conhecido de violação de segurança e acionam uma resposta automática, como fazer logoff do usuário final ou enviar um alerta a um membro da equipe.
- Análise e forense. Um sistema de detecção e resposta de endpoint pode incorporar análises em tempo real, para diagnóstico rápido de ameaças que não se encaixam nas regras pré-configuradas, e ferramentas forenses para caçar ameaças ou realizar uma análise post-mortem de um ataque.
Os benefícios do EDR
Agora que entendemos o que é EDR e sua importância, vamos listar os benefícios da solução dentro da estratégia de segurança cibernética.
Aqui estão os principais benefícios de investir nesta solução de segurança:
- Detecção de ataques avançados – A prevenção é a base da segurança cibernética, mas nunca será completamente eficaz. A segurança do endpoint atua quando um arquivo malicioso viola sua primeira camada de defesa, depois desse momento é necessário possuir uma solução capaz de monitorar as etapas seguintes.
- Identificar ameaças silenciosas – Não deixe que as ameaças permaneçam em sua rede por semanas. Sem monitoramento constante, os invasores podem entrar e sair à vontade, enquanto roubam dados e se mantém dentro da rede.
- Melhorar a visibilidade – Se uma violação ocorrer, será necessário “voltar no tempo” para descobrir onde o incidente ocorreu e avaliar o dano. O EDR salva todas as alterações e modificações que ocorreram na rede em um banco de dados em nuvem, possibilitando rastrear todas as ações ocorridas por meio da consulta dos dados históricos.
- Reduzir os custos de correção – Em última análise, a segurança EDR reduz os custos de correção. Em vez de passar semanas navegando em um campo minado sem informação, o EDR da poder de ação rápida ao time de tecnologia, para entender o que está acontecendo e causando impacto no ambiente.
Conclusão
Na medida que os hackers desenvolvem novas táticas e habilidades, é necessária uma solução que habilite o time de segurança e os administradores de TI na condução de investigações mais profundas, sobre o que acontece na rede. A tecnologia de EDR é capaz de monitorar tudo que acontece nos endpoints e em questão de segundos, prevenir, detectar e responder a ataques de malwares, como o Ransomware.
À medida que os profissionais de segurança de TI enfrentam ameaças cibernéticas cada vez mais complexas, bem como uma maior diversidade no número e tipos de endpoints que acessam a rede, eles precisam de mais ajuda na análise e resposta automatizadas que as soluções EDR fornecem.
Percebeu como a tecnologia de EDR é a melhor solução para o seu negócio, oferecendo benefícios como maior produtividade, disponibilidade e segurança? A NowCy é parceira reconhecida e especialista em soluções de segurança EDR SentinelOne no Brasil, o que garante melhor utilização dos recursos, suporte diferenciado, maior performance e tranquilidade para a sua equipe se concentrar no que é mais importante para o seu negócio. Entre em contato e agende uma apresentação!
Quer ver a tecnologia de EDR em ação, solicite uma demonstração gratuita!
Perfil do Autor
- Leandro Lima
- Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.
Últimas Postagens
- Segurança ofensiva28 de agosto de 2024Pentest: O que é, importância e como proteger sua empresa com Testes de Penetração
- Cibersegurança7 de agosto de 2024Sentinel One: como a solução se destaca versus a CrowdStrike
- Cibersegurança19 de junho de 2024O que é Phishing e como proteger sua empresa
- Firewall11 de junho de 2024SD-WAN Fortinet: O que é e quais suas funcionalidades