Gerenciar as operações e estratégias de segurança no segmento da TI pode ser uma tarefa bastante desafiadora. Afinal de contas, os analistas e gestores precisam se manter a par das inúmeras infecções e vulnerabilidades que inundam os dispositivos todos os dias. Por isso, nossa equipe elaborou este conteúdo especial sobre o EDR, que como o próprio nome já define, é a capacidade de detectar uma ameaça e responder a ela, como exemplo, impedir um movimento lateral e até mesmo um rollback numa infecção.
Com isso em mente, você descobrirá como essa solução pode ser determinante ao proteger sua operação de uma série de ameaças digitais, aprendendo sobre o conceito e os métodos dessa abordagem. Portanto, não perca tempo e acompanhe!
O conceito da detecção e resposta de endpoint
Antes de mergulharmos no tema, é interessante refrescarmos a memória com o significado de endpoint. Em nosso idioma, a expressão remete ao ponto final de uma conexão, ou seja, o dispositivo físico que acessa ou é acessado. Nesse sentido, o endpoint é o termo que representa uma série de dispositivos comuns ao cotidiano da TI, como computadores, celulares, tablets, servidores e afins.
Em comum, esses dispositivos compartilham de dois pontos: o armazenamento de informações sensíveis e a possibilidade de servir como uma porta de invasão. Inclusive, esse é o motivo pelo qual sempre reforçamos a importância da segurança em camadas no cotidiano das empresas, protegendo as redes e os dispositivos de qualquer ameaça interna ou externa.
Agora, podemos embarcar no conceito da detecção e resposta de endpoint. De certo modo, o tema é bastante conhecido por sua sigla inglesa, EDR — Endpoint Detection and Response. Uma solução de EDR tem como propósito monitorar todos os dispositivos de uma rede, analisando qualquer atividade ou comportamento suspeito dentro dessas máquinas.
Mas nesse nível da explicação você pode contestar: mas isso os antivírus já fazem, não é mesmo? Bem, não com a mesma eficiência. Em boa parte das situações, os softwares antivírus não tem dado conta do recado, pois dependem da constante atualização do banco de dados para realizar um diagnóstico preciso e colocar a ameaça em quarentena.
Para além disso, também existe um problema funcional nos AVs: a abordagem contra a ameaça. Mesmo com varreduras automáticas e periódicas, o software só consegue identificar uma invasão depois que a máquina está infectada, muitas vezes com o arquivo malicioso já tendo absorvido uma série de informações sensíveis da empresa, ou pior, atingindo o servidor principal para o comprometer em um ataque.
Nesse sentido, as empresas têm migrado seus recursos para as soluções EDR que, além de diagnosticar ameaças, também monitoram as atividades das máquinas, reconhecendo padrões de invasão e contaminação digital. Além disso, muitos softwares antivírus têm se tornado no mercado por conta de três vulnerabilidades centrais. Veja só!
Documentos armados
DOCs, PDFs, PPTs e uma série de outras extensões famosas ao cotidiano corporativo são fontes visadas pelos contraventores, que infectam esses arquivos com scripts maliciosos. Nesse caso, muitos antivírus não examinam o documento em si, apenas leem a extensão e ignoram por acreditarem que elas estão “limpas”.
Na hipótese de que um desses arquivos esteja infectado, quando abertos, o script malicioso poderá rodar em segundo plano e, silenciosamente, baixar o malware de um servidor dedicado. Então, a infeção pode prejudicar esse endpoint ou migrar entre os dispositivos da rede — a depender de sua programação e finalidade.
Malwares disfarçados
No fim das contas, o maior desafio dos profissionais de segurança computacional é acompanhar o passo e a engenhosidade da turma que está no Dark Side dessa ciência. Recentemente, uma nova estratégia se tornou tendência no segmento, em que os malwares usavam o disfarce de ferramentas do sistema.
Por conta disso, o endpoint nunca suspeitava desses arquivos, acreditando se tratar de componentes internos, convencionais e fundamentais ao seu funcionamento, como aqueles no interior das pastas fontes do Windows e Ubuntu.
Malwares polimorfos
A técnica polimórfica é, até certo ponto, bastante criativa, pois atribui uma série de rotinas na programação de um malware. Esse, que por sua vez, poderá mudar seu comportamento dentro da máquina, evitando ser identificado pelo antivírus.
Para todos esses desafios e outros que têm se tornado cada vez mais relevantes na comunidade de segurança tecnológica, a EDR se apresenta como uma solução definitiva, com uma abordagem mais minuciosa, ostensiva e acertada.
A maneira como esses processos ajudam os MSPs
Mas como isso é possível? Bem, aqui é importante entender o comportamento dessa plataforma. Diferentemente dos antivírus, uma solução EDR coleta uma série de dados em inúmeras atividades de um dispositivo e, então, correlaciona essas informações com um database de referência para diagnosticar, detectar e reagir às ameaças.
Em vez de aguardar que um problema seja eventualmente descoberto — caso dos antivírus —, a solução EDR se ampara na inteligência artificial e aprendizado de máquina para monitorar e combater as ameaças em tempo real. Com isso, essa plataforma consegue reagir de maneira proativa a qualquer invasão ou contaminação, agindo diretamente ao monitorar o comportamento dos arquivos.
Como exemplo, vamos resgatar o caso dos documentos armados. Digamos que um de seus funcionários baixe um PDF malicioso. Assim que o PDF está na máquina, ele inicializa um script para executar o prompt de comando e baixar a infecção de um servidor dedicado. Enquanto o antivírus fica a ver navios, a solução EDR já estava monitorando o comportamento do arquivo novato, acusando a ameaça, notificando o analista e depurando o arquivo imediatamente.
Sendo assim, concluímos que essas plataformas podem ajudar os MSPs das seguintes maneiras:
- permitindo que você ofereça soluções de segurança mais robustas à sua operação;
- reduzindo a probabilidade de uma invasão, eliminando vulnerabilidades de vigilância nos dispositivos;
- entregando uma melhor experiência aos clientes, agregando confiabilidade, estabilidade e competência na gestão de seus backups, redes e serviços.
As soluções EDR são o futuro
Em um setor tão lógico como a computação, nós precisamos ser realistas. Todos os dias, cerca de 350 mil novos malwares são descobertos. O consolidado atual de 2019 já registra, aproximadamente, 936 milhões de ameaças digitais catalogadas. Perceber esse volume é confrontar a defasagem dos antivírus, que se apoiam no banco de referências para balizar suas reações contra os ataques.
De certo modo, o EDR é o futuro por apostar na inteligência prática para a resolução de um problema em escala. Essas soluções compreendem que não adianta conhecer todos os vírus do mundo, mas que se deve apostar na análise comportamental das infecções, empregando AI e machine learning nesses desafios.
Você gostou deste artigo sobre detecção e resposta de endpoint? Então não perca a chance de continuar antenado no segmento, com os melhores conteúdos da segurança computacional. Para tanto, assine a nossa newsletter!
