12/02/2021
Detecção e Resposta em Endpoint (EDR): Tudo o que você precisa saber!
O que é a detecção e resposta em endpoint?
As plataformas de detecção e resposta em endpoint (EDR) são soluções que monitoram terminais (computadores na rede, não a própria rede) em busca de atividades suspeitas. As soluções de EDT fornecem visibilidade e monitoramento para atividades suspeitas, como malware e ataques cibernéticos, nos dispositivos de usuários finais.
Por que o EDR é importante?
Cada dispositivo que se conecta a uma rede é um potencial vetor de ataques para ameaças cibernéticas, e cada uma dessas conexões é um potencial ponto de entrada para captura de dados. Com a ascensão do BYOD, os ataques móveis e as sofisticadas técnicas de invasão aumentaram o risco de violações de dados.
As soluções de EDR ajudam a proteger esses pontos de entrada em sua rede, monitorando seus terminais para muitas ameaças modernas que os softwares antivírus não conseguem detectar.
Também ajudam a monitorar e proteger contra o APT (Advanced Persistent Threats, ameaças persistentes avançadas), que geralmente usam malwares e vulnerabilidades de segurança para obter acesso a uma rede. Os softwares antivírus antigos são capazes de detectar malware apenas quando há uma assinatura correspondente e não conseguem determinar se um invasor tem acesso a um computador monitorando sua atividade.
9 elementos de soluções EDR
As soluções de detecção e resposta em endpoints podem ter vários recursos, mas há um conjunto de elementos que são essenciais
Alertas e relatórios: um console que fornece visibilidade do status de segurança do ponto de extremidade
Resposta avançada: recursos avançados de análise e resposta de EDR, incluindo automação e análise detalhada sobre incidentes de segurança
Funcionalidade principal do EDR: capacidade de detectar e relatar ameaças e vulnerabilidades de segurança no endpoint
EPP Suite: funcionalidade básica que estava disponível na geração anterior do software de segurança de endpoint, incluindo recursos antimalware, antiphishing e anti-exploração
Suporte geográfico: capacidade de um fornecedor de EDR atender uma empresa global
Serviços gerenciados: a capacidade do EDR de alimentar dados para um serviço de segurança gerenciada ou fornecedor de detecção e resposta gerenciada para aumentar os recursos da equipe de segurança
Suporte de SO: para ser eficaz, um EDR precisa suportar todos os sistemas operacionais em uso pela empresa
Prevenção: apenas detectar uma ameaça não é suficiente, os EDRs eficazes também fornecem medidas preventivas
Integração: uma estratégia de segurança de dados geralmente requer a integração com vários produtos. Os EDRs devem ter APIs ou integrações com outras soluções para complementar e fornecer uma abordagem de segurança em camadas.
Segurança de endpoint vs software antivírus
Como vimos acima, o antimalware é um componente chave das soluções de EDR. As gerações mais antigas de antivírus detectam ameaças por meio de uma assinatura, necessária para poder detectar a ameaça. A próxima geração de soluções de EDR inclui análise preditiva e detecção avançada de ameaças para proteger melhor os usuários.
Recursos adicionais encontrados em soluções EDR
Remoção de malware baseada emassinaturas e análises correspondentes
Proteção anti-spyware
Firewall local
Detecção de intrusão e sistemas de aviso de prevenção de intrusão
Controle de aplicativos e gerenciamento de usuários
Controle de dados, incluindo dispositivos portáteis
Full Disk Encryption
Prevenção de vazamento de dados
Aplicação Whitelisting
Embora uma solução de EDR proteja os pontos de extremidade em sua rede, eles são limitados ao tipo de atividade que podem monitora e a quais tipos de malware e ataques cibernéticos que podem detectar. O serviço de proteção de dados da Varonis é projetado para proteger dados corporativos de ataques de dia zero e endpoint – colocando a telemetria do perímetro no contexto da atividade de arquivos e do comportamento do usuário.
