Os avanços tecnológicos surgidos nos últimos anos possibilitaram um aumento exponencial na complexidade dos negócios, expandindo as possibilidades de interação entre corporações e o surgimento de ecossistemas inteiros.
Além disso, o cotidiano das empresas também foi afetado pela necessidade de aceleração nos processos de digitalização das suas rotinas, seja para atender a seus clientes durante a pandemia, seja para acomodar uma nova rotina de trabalho remoto e/ou híbrido.
Tudo isso trouxe uma nova dimensão para a própria noção de “perímetro”… ou a ideia sobre “o que” e “como” proteger no meu negócio.
Nesse contexto, a proteção de endpoints se torna um dos pilares de qualquer política de segurança.
Neste artigo apresentamos os principais motivos para investir em ferramentas de proteção de endpoints e o que deve ser levado em conta na escolha da tecnologia mais eficaz.
Acesso ao ambiente é a chave de qualquer ataque
A já citada complexidade tecnológica tem como subproduto uma potencial exposição de dados corporativos – sistemas em nuvem, colaboradores em home office usando dispositivos caseiros para acessar o ambiente da empresa, novos canais de atendimento e comunicação são exemplos dessa exposição e do aumento na superfície de ataque dos negócios por uma razão muito simples: todos são potenciais portas de entrada para atacantes.
E se por um lado houve uma corrida para adotar tecnologias que viabilizassem a operação neste novo cenário de complexidade, em muitos casos as iniciativas de segurança não seguiram o mesmo ritmo.
Endpoints na mira de atacantes
O cibercrime tem sido bastante eficaz em adotar estratégias disruptivas para driblar defesas tradicionais como antivírus e outras ferramentas. Já há algum tempo as suas táticas incluem inclusive o uso de tecnologias legítimas de modo a ocultar suas atividades.
Alguns exemplos incluem o uso de código malicioso embutido em arquivos aparentemente seguros e em aplicações mobile, comprometimento de dispositivos como roteadores wifi, entre outros.
A falta de políticas de conscientização para o phishing se apresenta como um outro problema. Essa ameaça continua altamente proeminente como método de entrega de arquivos maliciosos que visam o roubo de identidade e acesso a dispositivos corporativos.
Dados recentes mostram que mais da metade das organizações passaram por algum tipo de vazamento causado por phishing.
EDRs se tornaram parte fundamental das estratégias de segurança
Ferramentas de proteção de Endpoints vêm se tornando indispensáveis neste ambiente complexo. Um artigo da Forbes destaca que para lidar com ameaças avançadas é preciso desenvolver uma estratégia de segurança que considere as especificidades de cada endpoint na infraestrutura do negócio.
Afinal, a abordagem de segurança necessária para proteger o laptop de um colaborador não será necessariamente eficaz para proteger um asset armazenado na nuvem.
Ferramentas de proteção de Endpoints são soluções que monitoram todos os dispositivos do usuário final em uma organização a fim de detectar e responder a ameaças. Isso se dá a partir da coleta de atividades e eventos envolvendo dados nos endpoints, fornecendo aos times de segurança visibilidade suficiente para identificar possíveis incidentes.
A CrowdStrike, parceira da Tempest, listou alguns dos motivos que tornam esta ferramenta fundamental.
5 fatos que mostram a importância dos EDRs
O adversário já pode estar no ambiente
Em ambientes que carecem de visibilidade atacantes podem manter presença, mover-se lateralmente na estrutura e realizar ações com a instalação de aplicações maliciosas como backdoors.
Falta de visibilidade do ambiente e dos seus endpoints prejudica a resposta ágil a incidentes
Nestes casos, quando uma brecha na segurança é descoberta, times de segurança podem passar semanas tentando detectar exatamente o que saiu errado e qual a ação correta para mitigar o problema.
Acesso a Inteligência é indispensável para tomar decisões e responder a incidentes
Não basta ter visibilidade dos eventos nos endpoints. Essas informações precisam ser armazenadas e estar disponíveis quando necessário a fim de agilizar os processos de resposta a incidentes.
Acesso a dados é apenas parte da solução
Soluções como SIEM permitem a coleta de eventos e logs; no entanto, na eventualidade de um incidente, é preciso saber exatamente o que buscar em meio a uma grande quantidade de dados, e isso deve ser feito de forma ágil.
Remediar pode ser demorado e custoso (sob vários aspectos)
Sem visibilidade, acesso a dados e inteligência para analisá-los prontamente uma organização pode passar várias semanas tentando entender que ação tomar, sob risco de causar paralisação do negócio, redução na produtividade e perdas de várias naturezas.
Mas o que buscar em uma solução de EDR?
Diante de tudo isso, uma solução EDR precisa contar com:
Visibilidade de Endpoints
Que permita acompanhar em tempo real a atividade de potenciais invasores
Banco de Dados de Ameaças
Que, além de coletar logs e eventos, ofereça um contexto analítico para identificar sinais de um ataque
Insight e Inteligência
Soluções que integrem capacidades de Threat Intelligence oferecem um contexto rico para mitigar ataques
Resposta ágil
Que permita mitigar um ataque antes que ele se torne um vazamento
Falcon Insight – A Solução EDR da CrowdStrike
O Falcon Insight é o componente de EDR da plataforma CrowdStrike Falcon.
Ele monitora e registra as atividades que ocorrem no endpoint, fornecendo a visibilidade histórica e em tempo real necessária para detectar automaticamente a atividade de um invasor, além de também permitir que as equipes de segurança investiguem e resolvam incidentes rapidamente.
Isso interrompe os invasores antes que eles possam causar danos e elimina o risco de falha silenciosa.
O Falcon Insight não apenas detecta automaticamente a atividade do invasor após o ataque, como também garante às equipes de segurança visibilidade em tempo real de seus ambientes. Isso permite que estas equipes executem investigação proativa de ameaças, investigação de incidentes e correção em tempo hábil.
Para saber mais sobre esta e outras soluções dos nosso parceiro, clique aqui
