O que é detecção e resposta de endpoint?

À medida que cada vez mais funcionários acedem remotamente à rede da sua empresa ou trazem os seus próprios dispositivos para o local de trabalho, a procura por soluções que monitorizem os terminais acelerou. Afinal, todo e qualquer dispositivo que se conecta à nossa rede é uma ameaça potencial aos nossos sistemas e dados.

O que é software de detecção e resposta de endpoint

Endpoint Detection and Response (EDR) é um tipo de software projetado para monitorar os endpoints em uma rede em busca de atividades suspeitas.

Um ‘endpoint’ é qualquer dispositivo que se conecte às nossas redes, como um laptop, desktop ou dispositivo móvel.

As soluções EDR concentram-se principalmente em fornecer visibilidade de atividades relacionadas a malware e outros vetores de ataque. A maioria das soluções de EDR é capaz de agregar e correlacionar dados de eventos de uma ampla variedade de fontes. Por exemplo, eles podem monitorar simultaneamente endpoints de ambientes locais e baseados em nuvem e exibir os resultados por meio de um único console. Eles também podem coletar e analisar feeds de inteligência sobre ameaças para ajudá-los a identificar vários tipos de malware.

Tal como está, a maioria das soluções EDR estão disponíveis apenas para ambientes Windows, no entanto, algumas soluções mais recentes podem ser instaladas em outros sistemas operacionais, como Linux, Unix, iOS e Android.

Como o EDR se compara a outras tecnologias de monitoramento de log

O mundo da segurança de dados está repleto de siglas e chavões usados para descrever tecnologias semelhantes entre si, o que naturalmente cria confusão para os tomadores de decisão. Abaixo estão algumas comparações que podem ajudar a esclarecer as diferenças entre EDR e outras tecnologias semelhantes.

EDR VS Antivírus

Dado que o objetivo principal de uma solução EDR é identificar ameaças à segurança em endpoints, alguns podem presumir que o software EDR é igual ao software antivírus. No entanto, este não é realmente o caso. Você poderia pensar em uma solução AV como parte de uma solução EDR, mas como produtos independentes, eles diferem em vários aspectos importantes.

Em primeiro lugar, as soluções EDR têm um alcance muito maior do que a maioria das soluções AV tradicionais.

O principal objetivo do software antivírus é verificar, detectar e remover vírus e outros tipos de malware de um endpoint. Uma solução EDR, por outro lado, também fornecerá soluções de firewall, sistemas de prevenção de intrusões, ferramentas de lista branca, ferramentas de monitoramento, um painel e muito mais.

Uma solução EDR pode ajudar a proteger contra ameaças persistentes avançadas (APT), algo que as soluções antivírus tradicionais não conseguem fazer, pois não possuem recursos de auditoria em tempo real.

A maioria das soluções antivírus funciona combinando assinaturas de vírus conhecidos, o que é bom para detectar ameaças existentes, mas não ajuda muito quando as ameaças são únicas e direcionadas.

Uma solução EDR utilizará uma ampla gama de técnicas e fontes de dados para identificar malware, incluindo vetores de ataque que não foram identificados anteriormente.

Uma solução EDR pode agregar e correlacionar dados de eventos de servidores DNS, soquetes, despejos de memória, chamadas de sistema, endereços IP e muito mais, na tentativa de identificar e responder a atividades suspeitas.

EDR x SIEM

As soluções EDR e SIEM têm muitas funcionalidades/capacidades sobrepostas, o que pode levar as pessoas a pensar que são iguais. A principal diferença entre os dois é que o gerenciamento de eventos e informações de segurança (SIEM) não se limita ao monitoramento de endpoints.

Por exemplo, as soluções SIEM podem agregar dados de eventos de firewalls, servidores, roteadores, switches, proxies e sistemas de prevenção de invasões (IPS).

Eles também podem coletar dados de log de aplicativos, bancos de dados e repositórios. Na verdade, qualquer coisa que seja capaz de gerar logs de eventos pode ser monitorada por uma solução SIEM. O mesmo não acontece com as soluções EDR.

EDR versus DCAP

Auditoria e proteção centradas em dados (DCAP) é outro acrônimo usado para descrever plataformas que podem coletar e correlacionar dados de eventos de várias fontes, incluindo ambientes locais e baseados em nuvem.

No entanto, ao contrário das soluções EDR e SIEM, as soluções DCAP concentram-se nas alterações feitas em contas privilegiadas e dados confidenciais, como informações de saúde protegidas (PHI), informações de cartão de pagamento (PCI) e outras formas de informações de identificação pessoal (PII). Existem outros termos vinculados ao DCAP, como User Behavior Analytics (UBA), Privileged Access Management (PAM), Identity Access Management (IAM) e muito mais.

Ao contrário da maioria das soluções SIEM, as soluções EDR e DCAP são capazes de gerar alertas em tempo real, que podem ser enviados para sua caixa de entrada ou aplicativo móvel. Isso permite que os administradores respondam rapidamente a ameaças potenciais.

Algumas das soluções DCAP mais sofisticadas são capazes de detectar e responder automaticamente a eventos que correspondam a uma condição limite predefinida, como várias tentativas de login malsucedidas ou quando um determinado número de arquivos foi criptografado em um determinado período de tempo.

Obviamente, isso é útil quando se trata de impedir a propagação de ransomware. Por exemplo, se um número X de arquivos tiver sido criptografado em Y segundos, um script personalizado pode ser executado que pode desativar uma conta de usuário, interromper um processo específico, alterar as configurações do firewall, iniciar um backup, desligar o servidor afetado e assim por diante. sobre.

Como você pode ver, as soluções EDR, AV, SIEM e DCAP não estão exatamente competindo por tecnologias. Na verdade, eles podem se complementar se usados para os fins pretendidos.