O que é EDR e por que é fundamental para a segurança das pequenas e médias empresas? - Blog de segurança

O cenário atual de ameaças e a segurança de endpoints

Mais de 7 bilhões de dispositivos globais em um mundo sempre ligado e continuamente conectado criam um alvo fácil para o invasor atual. Seja trabalhando para monetizar dados ou para fazer uma declaração política, os adversários contam com bons recursos e pessoal na batalha pelo acesso e controle dos endpoints. Os métodos tradicionais de segurança de endpoint, como software antivírus, não são páreo para a crescente sofisticação e volume de ameaças avançadas encontradas no cenário atual de ameaças. De acordo com o Ponemon Institute, mais de 52% das empresas sofreram um incidente de segurança que contornou as defesas tradicionais. As ameaças modernas à segurança cibernética escapam à detecção baseada em assinaturas e são inúteis contra ameaças avançadas, como riscos internos, ataques de dia zero e malware sem arquivos. Essa crescente lacuna de segurança é o catalisador para soluções de detecção e resposta de endpoints.

O que é EDR?

As violações de dados levam em média 197 dias para serem descobertas, e as organizações geralmente recebem notificações por meio de autoridades policiais ou de serviços comerciais de titulares de cartão, em vez de detectarem elas mesmas a violação. Reduzir o tempo que os invasores passam em uma organização - chamado tempo de permanência - e detectar incidentes mais cedo pode trazer uma melhoria drástica nos custos de violação de dados e na proteção da reputação da marca. A Gartner Research define soluções de detecção e resposta de endpoint (EDR) como aquelas que registram e armazenam comportamentos em nível de sistema de endpoint, usam várias técnicas de análise de dados para detectar comportamento suspeito do sistema, fornecem informações contextuais, bloqueiam atividades maliciosas e fornecem sugestões de remediação para restaurar os afetados. sistemas. Geralmente existem duas abordagens de produto para EDR: software de EDR autogerenciado ou um serviço gerenciado. Organizações de todos os tamanhos e setores estão adotando a EDR e a detecção de anomalias como uma forma crucial de prevenir, detectar, responder e prever ataques de segurança cibernética. Além disso, a Gartner Research prevê um aumento de 3x na adoção de EDR até 2020.

O que são considerados recursos críticos de EDR?

O mercado de EDR ainda está evoluindo, com soluções e fornecedores que variam amplamente em termos de recursos e escopo. No entanto, a maioria das soluções EDR abrange estas cinco capacidades principais:

Desde insights sobre o desenvolvimento de ataques a endpoints até a análise da causa raiz e o bloqueio de ameaças reais, a detecção rápida é essencial para interromper as ameaças antecipadamente. Embora muitas pequenas e médias empresas (SMBs) entendam a necessidade de uma melhor eficácia da segurança, elas podem não estar familiarizadas com todas as opções para detecção avançada de ameaças ou saber por onde começar. Com muita frequência, equipes de TI sobrecarregadas optam por recriar a imagem de um laptop sem uma investigação completa da causa raiz e uma investigação forense do escopo do comprometimento. O resultado? Um ciclo de novos compromissos à medida que o adversário capitaliza as fraquezas sistémicas nas pessoas, nos processos e na tecnologia que têm um impacto negativo na resiliência dos negócios.

Quais são as limitações da segurança antivírus tradicional?

O software antivírus (AV) é uma ferramenta de segurança tradicional que depende de uma biblioteca cada vez maior de reconhecimento baseado em assinaturas. Os invasores se adaptam ao cenário de ameaças em evolução, alterando e modificando suas táticas, muitas vezes fazendo engenharia reversa de ferramentas antivírus para aprender como contornar a detecção, de acordo com “Endpoint Protection and Response: a SANS Survey” de junho de 2018. Com a divulgação de mais e Com mais violações de dados, as PMEs percebem que o software antivírus tem algumas desvantagens consideráveis. Algumas limitações do antivírus incluem:

• Visibilidade ineficaz: como depende da detecção baseada em assinaturas, o antivírus tradicional não detecta ameaças emergentes desconhecidas ou ataques de dia zero. Os invasores costumam fazer pequenas alterações no malware para criar uma nova variante com um novo valor de hash; eles se tornam hábeis em encobrir seus rastros. O EDR pode detectar ameaças novas e desconhecidas, bem como proteger contra ameaças internas, sejam elas maliciosas ou inadvertidas, descobertas com análise comportamental.
• Insight limitado sobre as ações dos invasores: o software antivírus, bem como os antivírus de última geração, concentram-se em técnicas de prevenção, em vez de detecção e investigação. O EDR ajuda a identificar como o invasor entrou em uma organização e o caminho do comprometimento chamado “cadeia de destruição da segurança cibernética”. O EDR também permite a investigação forense, para que você possa detectar movimentos laterais dentro da sua organização e garantir que os dispositivos comprometidos sejam totalmente detectados.
• Uma falsa sensação de segurança: antes a ferramenta de segurança fundamental de todas as organizações, a eficácia do antivírus diminuiu nos últimos anos, à medida que a economia hacker explodiu para monetizar ameaças como ransomware e evitar a detecção com um baixo custo. abordagem lenta. O antivírus tradicional detecta apenas 47% dos comprometimentos de endpoints, de acordo com um estudo de pesquisa de endpoints SANS (5). As organizações podem ser enganadas por uma falsa sensação de invencibilidade que cria uma lacuna de risco devido a um investimento insuficiente em segurança.
• Falsificação de credenciais: credenciais comprometidas são logins legítimos de combinações de nome de usuário e senha em computadores que foram expostos por meio de uma violação de dados. Esses logins roubados são logins válidos que funcionam se as senhas não tiverem sido redefinidas. Os hackers podem usar mais de 1,4 bilhão de credenciais roubadas que existem na deep e dark web para obter acesso a sistemas confidenciais e parceiros da cadeia de suprimentos de pequenas e médias empresas de grandes empresas. Embora as ferramentas antivírus não detectem falsificação de credenciais, as soluções EDR com análise comportamental podem detectar adversários que fazem login em momentos suspeitos ou de países onde sua organização não opera.

Embora as ferramentas antivírus e antivírus de última geração (NGAV) ofereçam algum nível de proteção, são necessárias defesas de segurança em camadas para mitigar ameaças furtivas e mutantes. A detecção e resposta de endpoint (EDR) é uma dessas abordagens. As organizações podem acelerar a eficácia da segurança cibernética ao integrar EDR e gerenciamento de eventos e informações de segurança (SIEM), tudo com um serviço gerenciado e um centro de operações de segurança (SOC) 24 horas por dia, 7 dias por semana. Esses três componentes, quando devidamente integrados e gerenciados, fornecem às pequenas e médias empresas uma proteção avançada contra ameaças, poderosa e eficiente.

Nossa abordagem

Compreendemos os desafios que você enfrenta na batalha pela segurança de endpoints. Netsurion EDR otimiza sua eficácia com um serviço gerenciado e SOC 24 horas por dia, 7 dias por semana, aumentando sua equipe com experiência em segurança difícil de encontrar. Desenvolvido especificamente para pequenas e médias empresas, ele aproveita a automação e o aprendizado de máquina para obter insights mais profundos, inteligência sobre ameaças acionáveis e para identificar ações adversárias em tempo real. O EventTracker EDR permite detectar rapidamente, responder com eficiência e se recuperar de ataques cibernéticos sem a complexidade e o alto custo associados ao software EDR inchado centrado na empresa. O EventTracker EDR é naturalmente muito mais eficaz na redução do tempo de permanência do invasor quando integrado à nossa solução EventTracker SIEM (gerenciamento de informações de segurança e eventos).

Conclusão

Incidentes de segurança são inevitáveis. Organizações de todos os tamanhos também devem se adaptar ao cenário de ameaças em constante mudança e investir ainda mais em capacidades de detecção e resposta. Com suas equipes e recursos finitos de TI e segurança, as organizações de pequenas e médias empresas devem se concentrar na redução da superfície de ataque que as torna vulneráveis aos invasores e em permitir soluções integradas, como SIEM cogerenciado e serviço de EDR gerenciado, que forneçam segurança de defesa profunda.