Blog

Tempest
Trends

                     

Endpoint Detection & Response (EDR): 5 motivos para investir nesta tecnologia e as principais características que você deve buscar em uma solução deste tipo
22-01-19
por Leonardo Carvalho

Endpoint Detection & Response (EDR): 5 motivos para investir nesta tecnologia e as principais características que você deve buscar em uma solução deste tipo

Os avanços tecnológicos surgidos nos últimos anos possibilitaram um aumento exponencial na complexidade dos negócios, expandindo as possibilidades de interação entre corporações e o surgimento de ecossistemas inteiros. 

Além disso, o cotidiano das empresas também foi afetado pela necessidade de aceleração nos processos de digitalização das suas rotinas, seja para atender a seus clientes durante a pandemia, seja para acomodar uma nova rotina de trabalho remoto e/ou híbrido.

Tudo isso trouxe uma nova dimensão para a própria noção de “perímetro”… ou a ideia sobre “o que” e “como” proteger no meu negócio. 

Nesse contexto, a proteção de endpoints se torna um dos pilares de qualquer política de segurança. 

Neste artigo apresentamos os principais motivos para investir em ferramentas de proteção de endpoints e o que deve ser levado em conta na escolha da tecnologia mais eficaz. 

 

Acesso ao ambiente é a chave de qualquer ataque

A já citada complexidade tecnológica tem como subproduto uma potencial exposição de dados corporativos  – sistemas em nuvem, colaboradores em home office usando dispositivos caseiros para acessar o ambiente da empresa, novos canais de atendimento e comunicação são exemplos dessa exposição e do aumento na superfície de ataque dos negócios por uma razão muito simples: todos são potenciais portas de entrada para atacantes. 

E se por um lado houve uma corrida para adotar tecnologias que viabilizassem a operação neste novo cenário de complexidade, em muitos casos as iniciativas de segurança não seguiram o mesmo ritmo. 

 

Endpoints na mira de atacantes

O cibercrime tem sido bastante eficaz em adotar estratégias disruptivas para driblar defesas tradicionais como antivírus e outras ferramentas. Já há algum tempo as suas táticas incluem inclusive o uso de tecnologias legítimas de modo a ocultar suas atividades. 

Alguns exemplos incluem o uso de código malicioso embutido em arquivos aparentemente seguros e em aplicações mobile, comprometimento de dispositivos como roteadores wifi, entre outros.

A falta de políticas de conscientização para o phishing se apresenta como um outro problema. Essa ameaça continua altamente proeminente como método de entrega de arquivos maliciosos que visam o roubo de identidade e acesso a dispositivos corporativos. 

Dados recentes mostram que mais da metade das organizações passaram por algum tipo de vazamento causado por phishing.

 

EDRs se tornaram parte fundamental das estratégias de segurança

Ferramentas de proteção de Endpoints vêm se tornando indispensáveis neste ambiente complexo. Um artigo da Forbes destaca que para lidar com ameaças avançadas é preciso desenvolver uma estratégia de segurança que considere as especificidades de cada endpoint na infraestrutura do negócio.

Afinal, a abordagem de segurança necessária para proteger o laptop de um colaborador não será necessariamente eficaz para proteger um asset armazenado na nuvem.

Ferramentas de proteção de Endpoints são soluções que monitoram todos os dispositivos do usuário final em uma organização a fim de detectar e responder a ameaças. Isso se dá a partir da coleta de atividades e eventos envolvendo dados nos endpoints, fornecendo aos times de segurança visibilidade suficiente para identificar possíveis incidentes. 

A CrowdStrike, parceira da Tempest, listou alguns dos motivos que tornam esta ferramenta fundamental

 

5 fatos que mostram a importância dos EDRs

O adversário já pode estar no ambiente

Em ambientes que carecem de visibilidade atacantes podem manter presença, mover-se lateralmente na estrutura e realizar ações com a instalação de aplicações maliciosas como backdoors. 

Falta de visibilidade do ambiente e dos seus endpoints prejudica a resposta ágil a incidentes

Nestes casos, quando uma brecha na segurança é descoberta, times de segurança podem passar semanas tentando detectar exatamente o que saiu errado e qual a ação correta para mitigar o problema. 

Acesso a Inteligência é indispensável para tomar decisões e responder a incidentes

Não basta ter visibilidade dos eventos nos endpoints. Essas informações precisam ser armazenadas e estar disponíveis quando necessário a fim de agilizar os processos de resposta a incidentes.

Acesso a dados é apenas parte da solução

Soluções como SIEM permitem a coleta de eventos e logs; no entanto, na eventualidade de um incidente, é preciso saber exatamente o que buscar em meio a uma grande quantidade de dados, e isso deve ser feito de forma ágil.

Remediar pode ser demorado e custoso (sob vários aspectos)

Sem visibilidade, acesso a dados e inteligência para analisá-los prontamente uma organização pode passar várias semanas tentando entender que ação tomar, sob risco de causar paralisação do negócio, redução na produtividade e perdas de várias naturezas. 

 

Mas o que buscar em uma solução de EDR?

Diante de tudo isso, uma solução EDR precisa contar com:

Visibilidade de Endpoints

Que permita acompanhar em tempo real a atividade de potenciais invasores

Banco de Dados de Ameaças

Que, além de coletar logs e eventos, ofereça um contexto analítico para identificar sinais de um ataque

Insight e Inteligência

Soluções que integrem capacidades de Threat Intelligence oferecem um contexto rico para mitigar ataques

Resposta ágil

Que permita mitigar um ataque antes que ele se torne um vazamento

 

Falcon Insight – A Solução EDR da CrowdStrike

O Falcon Insight é o componente de EDR da plataforma CrowdStrike Falcon. 

Ele monitora e registra as atividades que ocorrem no endpoint, fornecendo a visibilidade histórica e em tempo real necessária para detectar automaticamente a atividade de um invasor, além de também permitir que as equipes de segurança investiguem e resolvam incidentes rapidamente. 

Isso interrompe os invasores antes que eles possam causar danos e elimina o risco de falha silenciosa. 

O Falcon Insight não apenas detecta automaticamente a atividade do invasor após o ataque, como também garante às equipes de segurança visibilidade em tempo real de seus ambientes. Isso permite que estas equipes executem investigação proativa de ameaças, investigação de incidentes e correção em tempo hábil.


POSTS RELACIONADOS

4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest

4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest

A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios

A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios

Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!

Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!