A detecção e resposta de terminal, ou EDR, é um software desenvolvido para proteger automaticamente os usuários finais, dispositivos de terminal e ativos de TI de uma organização contra ameaças cibernéticas que passam despercebidas pelo software antivírus e por outras ferramentas tradicionais de segurança de terminal.
O EDR coleta dados continuamente de todos os terminais na rede, como computadores desktop, notebooks, servidores, dispositivos móveis, dispositivos de IoT (Internet das Coisas), entre outros. Ele analisa esses dados em tempo real em busca de evidências de ameaças cibernéticas conhecidas ou suspeitas e pode responder automaticamente para evitar ou minimizar os danos das ameaças identificadas.
Reconhecido pela primeira vez pelo Gartner em 2013, o EDR desfruta de ampla adoção corporativa atualmente, e por um bom motivo.
Estudos estimam que até 90% dos ciberataques bem-sucedidos e 70% das violações de dados bem-sucedidas se originam em dispositivos de terminal. Embora antivírus, antimalwares, firewalls e outras soluções tradicionais de segurança de terminal tenham evoluído com o tempo, eles ainda estão limitados a detectar ameaças de terminal conhecidas, baseadas em arquivos ou em assinaturas. Eles são muito menos eficazes, por exemplo, para impedir ataques de engenharia social, como mensagens de phishing que atraem as vítimas para divulgar dados confidenciais ou visitar sites falsos com códigos maliciosos. (o phishing é o método de entrega mais comum para ransomware). Além disso, eles não tem poder algum contra um número crescente de ciberataques "sem arquivo" que operam exclusivamente na memória do computador para evitar completamente a varredura de arquivos ou assinaturas.
Mais importante, as ferramentas tradicionais de segurança de terminal não conseguem detectar ou neutralizar ameaças avançadas que passam por elas. Isso permite que essas ameaças espreitem pelas rede por meses, coletando dados e identificando vulnerabilidades em preparação para o lançamento de um ataque de ransomware, uma exploração de dia zero ou outro ciberataque em larga escala.
O EDR atua onde essas soluções tradicionais de segurança de terminal não conseguem agir. Os recursos de análise de detecção de ameaças e resposta automatizada podem, geralmente sem intervenção humana, identificar e conter ameaças potenciais que penetram no perímetro da rede antes que elas causem sérios danos. O EDR também fornece ferramentas que as equipes de segurança podem usar para descobrir, investigar e prevenir ameaças suspeitas e emergentes por conta própria.
Embora existam diferenças entre os fornecedores, as soluções de EDR geralmente combinam cinco recursos principais: coleta contínua de dados de terminal, análise e detecção de ameaças em tempo real, resposta automatizada a ameaças, isolamento e correção de ameaças e suporte para investigação de ameaças.
O EDR coleta dados continuamente de todos os dispositivos terminal na rede, sobre processos, desempenho, mudanças de configuração, conexões de rede, downloads ou transferências de arquivos e dados e comportamentos do usuário final ou do dispositivo. Os dados são armazenados em um data lake ou banco de dados central, normalmente hospedado na cloud.
A maioria das soluções de segurança de EDR coleta esses dados instalando uma ferramenta leve de coleta de dados, ou um agente, em cada dispositivo de terminal, mas alguns podem contar com recursos no sistema operacional do terminal.
O EDR usa algoritmos avançados de análise e machine learning para identificar padrões que indicam ameaças conhecidas ou atividades suspeitas em tempo real, à medida que elas se desenvolvem.
Em geral, o EDR procura dois tipos de indicadores: indicadores de comprometimento (IOCs), que são ações ou eventos consistentes com um possível ataque ou violação, e indicadores de ataque (IOAs), que são ações ou eventos associados a ameaças cibernéticas ou criminosos cibernéticos conhecidos.
Para identificar esses indicadores, o EDR correlaciona os próprios dados de terminal em tempo real com os dados de serviços de inteligência de ameaças, que fornecem informações continuamente atualizadas sobre ameaças cibernéticas recentes, além das táticas usadas, das vulnerabilidades de terminal ou infraestrutura de TI exploradas, entre outros. Os serviços de inteligência de ameaças podem ser proprietários (operados pelo provedor de EDR), de terceiros ou baseados na comunidade. Além disso, muitas soluções de EDR também mapeiam dados para o Mitre ATT&CK, uma base de conhecimento global com a qual o governo dos EUA contribui que é de acesso livre e conta com táticas e técnicas de ameaças cibernéticas de hackers.
A análise e os algoritmos de EDR também podem fazer a própria investigação, comparando dados em tempo real com dados históricos e linhas de base estabelecidas para identificar atividades suspeitas, atividades incomuns do usuário final e qualquer coisa que possa indicar um incidente ou ameaça de segurança cibernética. Eles também podem separar os "sinais", ou ameaças legítimas, do "ruído" de falsos positivos, para que os analistas de segurança possam se concentrar nos incidentes que importam.
Muitas empresas integram o EDR com uma solução de SIEM (gerenciamento de eventos e informações de segurança), que reúne informações relacionadas à segurança em todas as camadas da infraestrutura de TI, não somente para terminais, mas para aplicativos, bancos de dados, navegadores da web, hardwares de rede, entre outros. Os dados do SIEM podem enriquecer a análise do EDR com contexto adicional para identificar, priorizar, investigar e corrigir ameaças.
O EDR resume dados importantes e resultados de análises em um console de gerenciamento central que também atua como a interface com o usuário (IU) da solução. No console, os membros da equipe de segurança obtêm visibilidade total de todos os terminais e problemas de segurança associados, em toda a empresa, e iniciam investigações, respostas a ameaças e correções envolvendo todos e quaisquer terminais.
A automação é o que possibilita a "resposta" realmente rápida no EDR. Com base em regras predefinidas pela equipe de segurança, ou "aprendidas" ao longo do tempo por algoritmos de machine learning, as soluções de EDR podem, de maneira automatizada, fazer o seguinte:
- Alertar os analistas de segurança sobre ameaças específicas ou atividades suspeitas
- Realizar a triagem ou priorizar alertas de acordo com a severidade
- Gerar um relatório de 'rastreamento' que rastreie todas as paradas de um incidente ou ameaça na rede, até a causa raiz
- Desconectar um dispositivo de terminal ou desconectar um usuário final da rede
- Parar processos do sistema ou do terminal
- Impedir que um terminal execute (detone) um arquivo ou anexo de e-mail malicioso ou suspeito
- Acionar um software antivírus ou antimalware para verificar outros terminais na rede em busca da mesma ameaça
O EDR pode automatizar as atividades de investigação e correção de ameaças (veja abaixo). Além disso, ele pode ser integrado a sistemas de SOAR (orquestração, automação e resposta de segurança) para automatizar playbooks de resposta de segurança (sequências de respostas a incidentes) que envolvem outras ferramentas de segurança.
Toda essa automação ajuda as equipes de segurança a responder aos incidentes e às ameaças mais rapidamente, a fim de minimizar os danos causados à rede. Ela também ajuda as equipes de segurança a trabalhar da maneira mais eficiente possível com os membros disponíveis.
Depois que uma ameaça é isolada, o EDR fornece recursos que os analistas de segurança podem usar para investigar melhor a ameaça. Por exemplo, a análise forense ajuda os analistas de segurança a identificar a causa raiz de uma ameaça, identificar os diversos arquivos afetados e apontar a(s) vulnerabilidade(s) que o invasor explorou para entrar e mover-se pela rede, obter acesso a credenciais de autenticação ou realizar outras atividades maliciosas.
Com essas informações, os analistas podem usar ferramentas de correção para eliminar a ameaça. A correção pode envolver
- Destruir arquivos maliciosos para eliminá-los de terminais
- Restaurar configurações danificadas, configurações de registro, dados e arquivos de aplicativos
- Aplicar atualizações ou correções para eliminar vulnerabilidades
- Atualizar regras de detecção para evitar uma recorrência
A investigação de ameaças (também chamada de investigação de ameaças cibernéticas) é um exercício de segurança proativo no qual um analista de segurança procura na rede ameaças ainda desconhecidas ou ameaças conhecidas que ainda não foram detectadas ou corrigidas pelas ferramentas automatizadas de segurança cibernética da empresa. Lembre-se de que as ameaças avançadas podem permanecer por meses antes de serem detectadas, reunindo informações do sistema e credenciais de usuários em preparação para uma violação em grande escala. A investigação eficaz e oportuna de ameaças pode reduzir o tempo necessário para detectar e corrigir essas ameaças e limitar ou evitar danos causados pelo ataque.
Os responsáveis pela investigação de ameaças usam uma variedade de táticas e técnicas, a maioria das quais conta com as mesmas origens de dados, as mesmas análises e os mesmos recursos de automação que o EDR usa para a detecção, a resposta e a correção de ameaças. Por exemplo, um analista que investiga ameaças pode querer procurar um arquivo específico, mudanças de configuração ou outro artefato com base em análises forenses ou dados do MITRE ATT&CK que descrevem os métodos de um invasor específico.
Para fornecer suporte à investigação de ameaças, o EDR disponibiliza esses recursos para analistas de segurança por meio de programação ou por meio de uma IU, para que eles possam realizar consultas de dados de procuras ad hoc, correlações com a inteligência de ameaças e outras investigações. As ferramentas de EDR destinadas especificamente à investigação de ameaças incluem desde linguagens de script simples (para automatizar tarefas comuns) até ferramentas de consulta de linguagem natural.
Uma EPP, ou plataforma de proteção de terminal, é uma plataforma de segurança integrada que combina softwares antimalware e antivírus de nova geração (NGAV) com softwares de controle da web/filtro da web, firewalls, gateways de e-mail e outras tecnologias tradicionais de segurança de terminal.
Novamente, as tecnologias de EPP estão focadas principalmente na prevenção de ameaças conhecidas, ou de ameaças que se comportam de maneiras conhecidas, nos terminais. O EDR tem a capacidade de identificar e conter ameaças desconhecidas ou potenciais que passam pelas tecnologias tradicionais de segurança de terminal. No entanto, muitos EPPs evoluíram para incluir recursos de EDR, como análise avançada de detecção de ameaças e análise de comportamento do usuário.
Assim como o EDR, o XDR (detecção e resposta estendidas) e o MDR (detecção e resposta gerenciadas) são soluções de detecção de ameaças corporativas orientadas por análise e IA. Eles diferem do EDR no escopo de proteção que fornecem e na forma como são entregues.
O XDR integra ferramentas de segurança em toda a infraestrutura híbrida de uma empresa, não somente terminais, mas redes, e-mail, aplicativos, cargas de trabalho na cloud e muito mais, a fim de que essas ferramentas possam interoperar e coordenar a prevenção, a detecção e a resposta a ameaças cibernéticas. Assim como o EDR, o XDR integra o SIEM, o SOAR e outras tecnologias de segurança cibernética corporativa. Uma tecnologia ainda emergente, mas em rápida evolução, o XDR tem o potencial de tornar os centros de operações de segurança (SOCs) sobrecarregados muito mais eficientes, unificando pontos de controle de segurança, telemetria, análises e operações em um único sistema corporativo central.
O MDR é um serviço terceirizado de segurança cibernética que protege uma organização contra ameaças que ultrapassam suas próprias operações de segurança cibernética. Os provedores de MDR geralmente oferecem serviços de monitoramento, detecção e correção de ameaças 24/7 por meio de uma equipe de analistas de segurança altamente qualificados que trabalham remotamente com tecnologias de EDR ou XDR baseadas em cloud. O MDR pode ser uma solução atraente para uma organização que precisa de conhecimento em segurança além do que possui em sua equipe ou de tecnologia de segurança além de seu orçamento.
Segurança de terminal automatizada e com tecnologia de IA para ajudar a detectar e corrigir ameaças praticamente em tempo real.
Serviços gerenciados de prevenção, detecção e resposta desenvolvidos com IA para uma defesa mais rápida contra ameaças em terminais.
Gerenciamento moderno de terminais para proteger seus usuários finais e seus dispositivos das últimas ameaças de segurança cibernética.
Adote uma abordagem de IA de cloud aberta para proteger e gerenciar qualquer dispositivo com uma solução de UEM.
As soluções de detecção e resposta de rede ajudam as equipes de segurança analisando a atividade da rede em tempo real.
Conecte cada usuário ao nível certo de acesso com a solução de IAM do IBM Security Verify.
Orquestre sua resposta a incidentes para unificar a organização caso ocorra um ataque cibernético.
Descubra as soluções de segurança que envolvem cada usuário, cada dispositivo e cada conexão.
Visibilidade centralizada e análise de segurança inteligente para detectar, investigar e responder às ameaças críticas de segurança cibernética.