Detecção e resposta de ponto final (EDR)

EDR é uma solução de segurança específica que protege não computadores separados, mas toda a rede dentro da corporação.

O que é Detecção e Resposta de Endpoint? Definição EDR | Gridinsoft

O que é EDR?

October 17, 2022

Aplicativos de detecção e resposta de endpoint, ou EDR, é um conceito relativamente novo de software antimalware. A definição exata deste tipo de ferramenta de segurança apareceu em 2013.

Endpoint Threat Detection and Response, geralmente abreviado para se adequar √† abrevia√ß√£o ‚ÄúEDR‚ÄĚ, √© uma nova vis√£o do software antimalware. No entanto, n√£o se trata de atender a todas as necessidades poss√≠veis, como os aplicativos anti-malware ‚Äúcl√°ssicos‚ÄĚ pretendem fazer. O EDR, como voc√™ pode entender pela abrevia√ß√£o, √© um sistema que deve proteger terminais em vez de computadores individuais. As maiores fraquezas dos sistemas de seguran√ßa separados para cada computador da empresa foram a falta de a√ß√£o conjunta para cada dispositivo atacado, a falta de controle em todas as superf√≠cies de ataque poss√≠veis e a aus√™ncia de registro no di√°rio. Mas vamos verificar cada coisa passo a passo.

O que é detecção e resposta de endpoint?

√Č √≥timo definir a diferen√ßa entre os produtos. No entanto, isso ainda n√£o esclarece qual √© a ideia principal das solu√ß√Ķes de EDR e como isso funciona. As solu√ß√Ķes de seguran√ßa de endpoint geralmente s√£o feitas para executar verifica√ß√£o cont√≠nua do endpoint e de todos os outros elementos da rede (controlador de dom√≠nio e computadores dos usu√°rios que se conectam ao endpoint) para detectar a poss√≠vel amea√ßa e criar uma resposta competitiva . O monitoramento constante de eventos requer muitos m√≥dulos adicionais ao mecanismo antimalware ‚Äúcl√°ssico‚ÄĚ e o controle persistente de um especialista em seguran√ßa. Alguns fornecedores at√© oferecem seus produtos EDR na forma de software como servi√ßo.

O que é EDR
Princípios-chave do sistema de detecção e resposta de endpoint

As solu√ß√Ķes EDR detectam a amea√ßa apresentada pelo seu comportamento. Al√©m das regras heur√≠sticas b√°sicas, o programa tamb√©m conta com redes neurais. As fontes, no entanto, podem ser diferentes dos "processos atuais" usuais - solu√ß√£o de prote√ß√£o de endpoint sup√Ķe v√°rias outras maneiras de obter as informa√ß√Ķes sobre eventos. Em seguida, ele verifica o item detectado com um m√©todo ‚Äúcl√°ssico‚ÄĚ baseado em banco de dados. Se encontrar uma assinatura correspondente - ele remove instantaneamente a amea√ßa, considerando que √© um v√≠rus. Caso contr√°rio, ele apenas o bloqueia, dando a um humano o direito de gerenciar a remo√ß√£o. Essa c√ļpula sobre todos os elementos de um sistema corporativo permite que ele lide at√© mesmo com amea√ßas relacionadas a humanos - como insiders ou at√© amea√ßas persistentes avan√ßadas.

Para tornar o gerenciamento de seguran√ßa mais eficaz, a maioria das solu√ß√Ķes divide a rede protegida em pequenos peda√ßos chamados n√≥s. Isso torna poss√≠vel aplicar restri√ß√Ķes/privil√©gios de seguran√ßa individuais a uma determinada m√°quina ou at√© mesmo ao aplicativo escolhido. Al√©m disso, ter toda a rede dividida nessas partes facilita muito a an√°lise dos logs de eventos - √© muito mais f√°cil descobrir qual foi a superf√≠cie de ataque e como o invasor agiu.

Antivírus versus EDR.

No par√°grafo anterior, voc√™ pode ver tr√™s grandes problemas do software antimalware ‚Äúcl√°ssico‚ÄĚ que os tornam menos √ļteis na prote√ß√£o de corpora√ß√Ķes. Eles s√£o verdadeiros. No entanto, um problema muito mais s√©rio torna ainda mais dif√≠cil compar√°-los. As solu√ß√Ķes de detec√ß√£o e resposta de endpoint devem ser uma coisa envolvente que protege toda a rede corporativa. Encontrar e configurar uma solu√ß√£o igual √† cobertura e baseada no antiv√≠rus comum √© vi√°vel, mas sua efici√™ncia provavelmente ser√° question√°vel. Como mostra a pr√°tica, ensinar alguns truques novos ao cachorro velho √© bem dif√≠cil. √Č por isso que esses truques devem ser feitos por algo originalmente projetado para essa finalidade.

Por que o EDR é melhor que o antivírus comum?

Antivírus

  • Pode proteger efetivamente computadores solit√°rios;
  • Suporta Windows ou macOS (√†s vezes, ambos simultaneamente);
  • A forma prim√°ria de controle √© a GUI em cada computador. Alguns deles s√£o capazes de controle remoto. Isso geralmente requer uma vers√£o especial do aplicativo;
  • Verifica√ß√Ķes sob demanda, detec√ß√£o baseada em banco de dados. As heur√≠sticas s√£o aplicadas no modo de prote√ß√£o proativa;
  • O registro √© primitivo, baseado nos eventos durante as verifica√ß√Ķes e prote√ß√£o proativa.

Detecção e resposta de endpoint

  • Bom para proteger toda a rede, incluindo servidores e o controlador de dom√≠nio;
  • Suporta todos os sistemas operacionais *NIX poss√≠veis junto com o Windows;
  • O controle remoto centralizado √© a principal maneira de gerenciar. Somente ajustes locais podem ser feitos nos elementos do sistema;
  • A principal forma de detec√ß√£o de malware s√£o as regras heur√≠sticas. A solu√ß√£o monitora constantemente o endpoint e todos os elementos relacionados.
  • Registra todos os eventos observados na rede protegida, independentemente do momento.

Agora, vamos verificar a import√Ęncia dos problemas mencionados acima. A separa√ß√£o de sistemas de seguran√ßa para cada sistema √© fundamental para estabelecer uma prote√ß√£o confi√°vel contra malware. O agrupamento √© bom no projeto de rede, mas n√£o em estruturas que exigem homogeneidade. E a prote√ß√£o contra malware √© exatamente essa. Diferentes sistemas com diferentes configura√ß√Ķes de prote√ß√£o para cada um diminuem a efici√™ncia da prote√ß√£o por magnitude. Claro, √© poss√≠vel configurar todos os sistemas de forma semelhante. Mas essa semelhan√ßa n√£o durar√° muito tempo se algu√©m usar esse computador pelo menos uma vez por semana.

A falta de a√ß√£o conjunta durante o ataque est√° relacionada ao par√°grafo anterior. Cyberataques em corpora√ß√Ķes raramente visam um √ļnico computador - eles geralmente atacam toda a rede. E isso exige que todos os elementos dessa rede respondam simultaneamente e de forma id√™ntica. Tal quest√£o √© menos cr√≠tica, pois mesmo alguns sistemas EDR sup√Ķem a resposta assim√©trica em algumas situa√ß√Ķes. Mas √© importante ter essa capacidade - e solu√ß√Ķes de seguran√ßa dispersas n√£o oferecem uma.

Journaling √© uma coisa muito desvalorizada, que n√£o pode ser encontrada em software anti-malware padr√£o em qualquer forma utiliz√°vel. Os logs de verifica√ß√£o/prote√ß√£o ainda n√£o fornecem informa√ß√Ķes suficientes para analisar a situa√ß√£o atual ou o incidente cibern√©tico passado. As informa√ß√Ķes sobre como isso acontece, segundo a segundo, passo a passo, ajudar√£o os especialistas em seguran√ßa cibern√©tica a fazer os ajustes necess√°rios para uma melhor prote√ß√£o.

Princípios-chave de detecção e resposta de endpoints

Igual a qualquer produto corporativo de grande escala, o EDR conta em vários princípios-chave , independentemente do fornecedor. Isso é como uma lista de regras básicas que são obrigatórias a seguir para chamar seu produto de solução EDR. Esses princípios também podem ser interpretados como requisitos mínimos para o produto de software que finge ser um programa antimalware de escala corporativa.

Resposta coordenada de todas as superfícies de ataque. Como mencionado acima, é importante responder simultaneamente a todos os elementos do sistema durante o ataque. O sistema EDR deve fornecer esse recurso por padrão ou após a configuração específica.

Princípios EDR simplificados
Proteção EDR esquema

Gerenciamento do sistema baseado em nuvem. As solu√ß√Ķes de EDR devem ser control√°veis ‚Äč‚Äča partir da posi√ß√£o remota para neutralizar o ataque e analisar a situa√ß√£o de qualquer lugar e a qualquer momento. Como dizem as estat√≠sticas, a maioria dos ataques cibern√©ticos acontece depois do expediente - quando ningu√©m fica de olho na rede corporativa.

Mais taxas de prote√ß√£o. Qual √© a necessidade de ter um sistema de seguran√ßa caro e dif√≠cil de configurar se ele n√£o puder neutralizar as amea√ßas modernas? Essa √© uma pergunta ret√≥rica. A prote√ß√£o em solu√ß√Ķes de seguran√ßa de endpoint deve contar com mecanismos de detec√ß√£o heur√≠sticos e baseados em banco de dados e possivelmente em redes neurais. Organiza√ß√Ķes como a AV-Comparatives testam as solu√ß√Ķes dispon√≠veis regularmente e portanto, publique sua pr√≥pria classifica√ß√£o para cada sistema EDR.

Quais ameaças o EDR visa?

Os sistemas de detec√ß√£o de endpoints s√£o capazes de detectar e remover qualquer amea√ßa - isso √© pelo que voc√™ paga. Do adware mais simples ao spyware ou malware de backdoor ofuscado, ele pode impedir qualquer uma dessas coisas. No entanto, difere significativamente na compreens√£o de que o ataque est√° acontecendo. As empresas raramente s√£o atacadas para injetar adware ou algum outro v√≠rus "leve" - ‚Äč‚Äčelas geralmente recebem ransomware ou outras coisas desagrad√°veis. E a maneira como o EDR o interrompe √© diferente da detec√ß√£o baseada em banco de dados ou da verifica√ß√£o heur√≠stica.

Você já pode adivinhar a partir dos princípios-chave do sistema EDR o que significa. Esses sistemas de segurança são projetados para interromper o ataque no estágio inicial - força bruta de senhas RDP, por exemplo, ou execução de exploração do navegador. Para isso, os sistemas de detecção de endpoints têm um diário de todos os eventos no sistema. Além disso, o journaling permite que os sistemas EDR neutralizem as ameaças mais perigosas de forma eficaz - as chamadas Ameaças Persistentes Avançadas, por exemplo, . Outras coisas duradouras, como backdoors e spyware, que geralmente tentam manter o sistema o maior tempo possível, também serão derrotadas com eficiência.

O EDR vale a pena?

Esta pergunta depende de muitos fatores para ter uma √ļnica resposta. Por design, o EDR √© mais caro e mais complexo do que o software antiv√≠rus comum. Ao mesmo tempo, √© muito mais eficaz contra amea√ßas do mundo real. Adware e seq√ľestradores de navegador s√£o mais como um simples resfriado, enquanto ransomware ou ataques de spyware s√£o t√£o s√©rios quanto pneumonia. Mas essa compara√ß√£o nem sempre √© verdadeira.

Quando você tem uma pequena empresa - por exemplo, uma rede de padarias em sua cidade/condado, a relação preço/lucro de comprar o EDR para você é muito baixa. Você não tem tantos computadores e servidores para proteger com uma solução de ponta, e seus dados e atividades não são um ponto de interesse para os cibercriminosos. Esperar que você não seja atingido não significa que você nunca será atingido. Mas ainda assim, a objetificação de suas necessidades é essencial quando se trata de grandes despesas.

Mesmo pequenas empresas podem estar √† vista de fraudadores. Empresas de contabilidade e compensa√ß√£o que podem cooperar com bancos regionais e pequenas corretoras t√™m informa√ß√Ķes confidenciais passando por seu armazenamento. O mesmo vale para cl√≠nicas, ag√™ncias governamentais locais e ag√™ncias banc√°rias. Alguns grupos de ransomware concordaram em evitar atacar empresas de infraestrutura cr√≠tica, ag√™ncias governamentais, institui√ß√Ķes m√©dicas e educacionais. Mas isso nunca significa que voc√™ est√° 100% seguro - mesmo alguns dos maiores grupos optaram por ignorar essas regras de ‚Äúhacking √©tico‚ÄĚ.