Desmistificando o Mercado EDR

De acordo com dados do último relatório de ameaças do McAfee Labs, durante o primeiro trimestre de 2016, a cada hora, houve 500 mil tentativas de conexão a endereços IP não confiáveis. Também a cada hora, mais de 1,8 milhão de programas potencialmente indesejados tentaram ser instalados ou iniciados e mais de 4,3 milhões de tentativas para induzir as pessoas a visitarem URLs não confiáveis foram realizadas, seja via e-mails, resultados de pesquisas de navegador, etc.

A visão geral das ameaças que nos rondam é assustadora. As equipes de TI tentam combater tais ameaças todos os dias, criando processos e políticas de segurança para evitar maiores danos às corporações. A maioria das ameaças ainda chega ao ambiente corporativo pelo endpoint, seja por meio de e-mails com malwares, sites infectados, dispositivos móveis conectados às máquinas, entre outras técnicas usadas pelos cibercriminosos.

Com os ataques mais orientados e focados em evadir a detecção, as organizações precisam de ferramentas fáceis de usar que detectem e barrem os ataques antes que eles aconteçam. Os produtos mais comuns para segurança de endpoint não estão necessariamente equipados para combater ataques direcionados avançados. Aí entra a próxima geração de segurança voltada para detecção e resposta de endpoint, o que conhecemos como Endpoint Detection and Response (EDR).

Para proteger as informações de forma mais efetiva, existem três importantes etapas para detectar e responder às ameaças aos endpoints: automação, adaptabilidade e monitoramento contínuo.

Automação: com a grande variedade de variantes de ataque, a ação manual é cada vez mais difícil, requerendo assim ações automáticas das ferramentas. Uma vez que um indicador de ataque (IOC) é detectado, a solução de segurança para endpoints ativa ações especiais anteriormente definidas pelo usuário para tratar adequadamente cada evento, muitas vezes sem qualquer interação do usuário ou administrador.

Adaptabilidade e escalabilidade: depois de informar os administradores de sistema de um indicador de ataque, a solução para endpoint escolhe e apresenta uma resposta adaptativa de acordo com o tipo de ataque encontrado. Importante lembrar que além de serem adaptáveis, as ferramentas tem que ser escaláveis para grandes ambientes, pois a disseminação de novos dispositivos faz com que o escopo de ação cresça bastante também.

Monitoramento contínuo: a tecnologia determina quais gatilhos e alertas usar para impedir todos os ataques, o que mantém a organização a par de qualquer evento ameaçador. É muito importante que o sistema de detecção e resposta de ataques entregue alertas em tempo real e relevantes ao negócio.

As soluções básicas de segurança para endpoint fornecem uma grande quantidade de dados e analisam muitas informações, mas acabam retardando o tempo de remediação. É preciso aumentar a eficiência da segurança durante a captura de informações detalhadas, permitindo que a equipe aja rapidamente e com um propósito.

Uma medida avançada proteção de endpoint sai de uma abordagem reativa para outra que possa detectar e prevenir ameaças antes mesmo delas chegarem à empresa. A detecção e resposta contínua às ameaças avançadas permitem que a equipe se concentre na expansão de estratégias de resposta a incidentes e na priorização de alertas, além de obter visibilidade completa dos terminais para identificar e corrigir as ameaças mais rapidamente.

A detecção e resposta para endpoint não será apenas mais um acessório para a proteção do endpoint, ela será o link para completar a estratégia de segurança corporativa. Esta abordagem reforça a solução de segurança endpoint e inclui tecnologias essenciais como antivírus e controle de aplicativos, mas também ajuda a gerenciar e remediar ameaças de dados de forma mais eficaz em geral.

. Por: Bruno Zani, gerente de engenharia de sistemas da Intel Security.