O que é a deteção e resposta de terminais (EDR)?

· Monitorização contínua e recolha de dados  - a segurança EDR implementa agentes em cada endpoint para observar e registar constantemente as atividades. Isto permite o rastreio de uma ampla gama de eventos e comportamentos, capturando registos detalhados das operações do endpoint.

· Análise comportamental e deteção de ameaças  - utilizando uma análise comportamental sofisticada, o software EDR analisa padrões nos dados recolhidos para identificar anomalias. Este método é eficaz contra ameaças complexas, como ataques sem ficheiro, ransomware e explorações de dia zero.

· Gestão e análise centralizados  - os dados dos endpoints são agregados e analisados num centro de controlo centralizado, geralmente empregando tecnologias baseadas na nuvem. Esta análise centralizada ajuda a identificar padrões de ameaças e oferece uma visão abrangente da situação da segurança.

· Resposta automatizada e manual e priorização de incidentes  - ao detetar uma ameaça, as soluções de segurança EDR permitem respostas manuais ou automáticas, como o isolamento de endpoints ou a exclusão de ficheiros maliciosos. Elas também priorizam os alertas, permitindo que as equipes de segurança se concentrem em incidentes críticos. 

· Análise de risco e análise do comportamento humano  - as soluções avançadas de EDR estendem a sua análise para abranger o comportamento humano e o risco organizacional, avaliando vários fatores para identificar e atenuar os riscos potenciais em toda a rede.

· Suporte para caça a ameaças e análise forense - a tecnologia EDR permite a caça proativa a ameaças e a análise forense, fornecendo perceções detalhadas das atividades do endpoint e dos dados históricos, auxiliando na identificação de padrões e na melhoria da defesa

Com o passar do tempo, o cenário de ferramentas de cibersegurança foi enriquecido com acrónimos como EDR, EPP, XDR e MDR, que muitas vezes criam mais confusão do que clareza para quem não é da área. Vamos explorar as nuances do jargão e as funções e pontos fortes exclusivos destas soluções como elas são hoje.  

EDR vs EPP

A Plataforma de Proteção de Endpoint (EPP) funciona como a primeira linha de defesa contra ciberameaças no nível do endpoint. É uma solução de segurança integrada que normalmente inclui antivírus de última geração, software antimalware, controlo da Web, firewalls e gateways de e-mail. Ela foi projetada para evitar ameaças conhecidas e aquelas com padrões reconhecíveis de comportamento malicioso. O foco do EPP é interromper as ameaças ao nível do endpoint.  Enquanto o EPP está centrado na prevenção, o EDR fornece às organizações as ferramentas para detetar e responder às ameaças após o comprometimento. Ele pode identificar, investigar e conter ameaças que contornam as defesas iniciais fornecidas pelo EPP. As soluções de cibersegurança de EDR são uma segunda camada de proteção, fornecendo aos analistas de segurança as ferramentas para a busca de ameaças e o reconhecimento de perigos mais subtis. Ele pode oferecer insights sobre como ocorreu uma violação, permitir o rastreamento dos movimentos dos agentes de ameaças dentro da rede e oferecer os meios para responder a incidentes de forma eficaz.

A distinção entre EPP e EDR está começando a ficar confusa, pois muitas soluções modernas de EPP incorporam recursos de deteção de endpoint e de resposta, como análise avançada de deteção de ameaças e análise de comportamento do utilizador, visando a uma abordagem mais holística da segurança de endpoint.

EDR vs XDR e MDR

Embora o Endpoint Detection and Response (EDR), o Extended Detection and Response (XDR) e o Managed Detection and Response (MDR) tenham funções distintas, há uma complementaridade entre estas soluções avançadas de segurança. Elas são empregadas como camadas de defesa adaptadas à natureza evolutiva das infraestruturas organizacionais e do campo da cibersegurança em geral.

O XDR expande o EDR integrando dados relevantes de segurança em toda a infraestrutura de uma organização, não se limitando a endpoints, mas incluindo redes, e-mail, aplicações, serviços em nuvem e muito mais. O XDR unifica os pontos de controlo de segurança, a telemetria, a análise e as operações num sistema corporativo. Ele utiliza a análise de segurança num nível organizacional, correlacionando de forma autónoma os eventos de segurança para uma abordagem mais abrangente. O XDR aumenta a eficiência e a eficácia dos centros de operações de segurança (SOCs) por meio de uma visão holística do cenário de ameaças, da automação e da otimização dos processos de segurança.

O MDR, por outro lado, é um serviço terceirizado em que as operações de cibersegurança são realizadas por especialistas externos que oferecem monitorização e gestão contínuas de ameaças utilizando tecnologias avançadas de deteção e resposta. Estes serviços são particularmente valiosos para as organizações que precisam de melhorar os seus recursos de cibersegurança ou para aquelas que não dispõem de recursos para gerir um SOC abrangente, pois normalmente fornecem monitorização 24 horas por dia, 7 dias por semana, deteção de ameaças e apoio à correção.

Concluindo, as soluções EDR concentram-se nos endpoints, fornecendo insights detalhados e respostas às ameaças neste nível, enquanto os serviços XDR e MDR expandem a proteção e o suporte por meio de uma presença maior em toda a pegada digital de uma organização e, respetivamente, por meio da proteção como um serviço gerido.

A implementação da cibersegurança do EDR pode resultar numa ampla gama de melhorias na postura de cibersegurança e na eficiência operacional de uma organização. Abaixo, está uma compilação de casos de utilização e exemplos reais, mostrando a versatilidade e o impacto do EDR na melhoria das medidas de cibersegurança e na otimização dos procedimentos operacionais em vários setores.

• Aumento da eficiência operacional: uma empresa de arquitetura aumentou a sua eficiência operacional por meio da pontuação de risco automatizada e dos recursos de gestão de consola única do EDR. Da mesma forma, um fabricante global de baterias reduziu o tempo de resposta a incidentes em 50%, demonstrando como esta solução pode otimizar as operações de segurança. 

• Redução do tempo de administração de segurança: o EDR contribuiu para uma redução de 70% no tempo de administração de segurança de uma instituição educacional francesa, enquanto um fabricante italiano de sistemas de embalagem também observou uma redução de 20 a 30% no tempo de administração de segurança.

• Eliminação de violações de segurança: as soluções de deteção e resposta de endpoints têm um sólido histórico de impedir violações de segurança. Uma empresa italiana de engenharia erradicou as violações de segurança e, ao mesmo tempo, aumentou o desempenho dos endpoints em 25%. 

• Diminuição de falsos positivos: muitos retalhistas utilizaram o EDR para reduzir a taxa de falsos positivos, incluindo um dos principais retalhistas de equipamentos para motociclistas da Europa, que obteve um aumento de 20% no desempenho dos endpoints e operações mais tranquilas no comércio eletrónico e nas lojas físicas.

• Aumento da conformidade com os patches: o EDR pode melhorar drasticamente as taxas de sucesso dos patches, como visto numa corretora de seguros dos EUA que aumentou a conformidade dos patches de 50% para 90% ou num fabricante de materiais de alta qualidade que atingiu uma taxa de conformidade de 97%. Outro exemplo é um banco com sede em Wisconsin que reforçou as defesas contra malware e spyware sofisticados com uma conformidade de 95% com patches. 

• Simplificando a conformidade com as normas de proteção de dados: o EDR ajuda a navegar no complexo cenário das normas de conformidade. Uma organização sem fins lucrativos que ajuda pessoas afetadas pelo cancro aproveitou as ferramentas de deteção e resposta nos seus endpoints para aperfeiçoar a proteção de dados pessoais, o que levou a uma poupança substancial de tempo e custo.

• Melhoria do desempenho dos endpoints: as soluções de EDR geralmente são leves, o que resulta num melhor desempenho das estações de trabalho dos utilizadores, conforme observado por uma empresa de manufatura italiana que teve uma melhoria de 25% durante as análises. 

Pode ler mais estudos de caso relevantes aqui.

Por volta de 2010, as soluções antivírus tradicionais, que dependiam principalmente da deteção baseada em assinaturas, começaram a ser consideradas insuficientes, pois os invasores desenvolveram métodos para executar códigos maliciosos sem instalar malware reconhecível, contornando as defesas tradicionais.

Havia malwares baseados em documentos, com scripts nocivos incorporados em ficheiros de documentos (Excel, PDF, Word, PowerPoint, etc.), muitas vezes entregues por meio de campanhas de phishing. Os ataques sem ficheiro executam processos na memória ou exploram processos fiáveis do sistema, tornando-os invisíveis para as ferramentas de deteção baseadas em subscrição. O exploit EternalBlue, utilizado por malwares como WannaCry e NotPetya, provavelmente permanecerá para sempre no livro de história da cibersegurança. Os antivírus tradicionais só eram eficazes contra malwares conhecidos, deixando de fora uma parte significativa das novas ameaças. Os primeiros produtos de software de EDR eram complexos e podiam levar a uma sobrecarga de alertas, exigindo conhecimentos e recursos de segurança significativos para operar com eficácia.

O termo "Endpoint Detection and Response" foi oficialmente introduzido no jargão convencional em 2013, pelo analista do Gartner, Anton Chuvakin, que o conceituou como uma solução para fornecer visibilidade mais aprofundada das atividades do sistema e para detetar e investigar atividades suspeitas em anfitriões e endpoints.

À medida que o campo da cibersegurança evolui, o mesmo acontece com as suas ferramentas, e uma das principais tendências observadas pelos especialistas é um movimento em direção à integração das plataformas de segurança. Por exemplo, a Gartner previu para 2019, uma convergência dos recursos de EDR e EPP em sistemas unificados geridos por meio de uma interface única. Estas soluções integradas oferecem deteção de ameaças e respostas automatizadas mais rápidas, marcando uma evolução significativa nas práticas e conjuntos de ferramentas de segurança de endpoints.

Outra tendência poderosa são as soluções baseadas na nuvem que oferecem proteção de endpoint, deteção e resposta de endpoint, defesa contra ameaças móveis e gestão integrada de vulnerabilidades. É quase certo que as soluções avançadas de EDR continuarão a aproveitar a automação, a aprendizagem automática e a IA para aumentar a eficiência, além de uma incorporação mais rígida da análise de comportamento de utilizadores e entidades (UEBA) para detetar anomalias com base no comportamento do utilizador. 

O ponto de partida para uma adoção bem-sucedida de EDR é a mentalidade de aceitar a inevitabilidade das violações e a importância da deteção e resposta rápidas. Uma solução de deteção e resposta de endpoint oferece à sua organização maior visibilidade das ameaças avançadas, o que, por sua vez, permite uma intervenção rápida. 

O equilíbrio eficaz da segurança tradicional com os recursos de EDR envolve a integração com as plataformas de proteção de endpoints. E, por último, mas não menos importante, lembre-se de que a escolha de soluções fáceis de utilizar minimiza o impacto de qualquer lacuna de habilidades na equipa de cibersegurança.

A implementação de uma solução de cibersegurança de EDR vem com seu próprio conjunto de desafios e considerações. A eficácia de uma solução deve ser avaliada com base nos seus recursos de deteção de ameaças e na sua cobertura, garantindo ao mesmo tempo que a solução não introduza uma complexidade desnecessária na organização. Além disso, a decisão entre a gestão interna do EDR ou a opção por uma solução gerida tem implicações significativas na carga de trabalho da equipa de segurança e na preparação da organização para a cibersegurança.

A seleção da solução certa é uma decisão que deve ser adaptada às necessidades específicas da organização, levando em conta o setor, o tamanho, a infraestrutura de segurança existente e o crescimento potencial. Uma solução que pode evoluir, potencialmente para XDR ou MDR, é uma ótima maneira de preparar a estratégia de cibersegurança da organização para o futuro. À medida que a organização cresce, a solução EDR pode ser dimensionada de acordo, adaptando-se aos novos desafios.