O que é EDR (endpoint detection and response)?

A EDR coleta dados continuamente de todos os endpoints da rede: computadores desktop e notebooks, servidores, dispositivos móveis, dispositivos IoT (Internet das Coisas) etc. Ele analisa esses dados em tempo real em busca de provas de ameaças cibernéticas conhecidas ou suspeitas e pode responder automaticamente para impedir ou minimizar os danos de tais ameaças.

Reconhecida pela primeira vez pela Gartner em 2013, a EDR hoje é amplamente adotada pelas empresas, por um bom motivo.

Estudos estimam que até 90% dos ataques cibernéticos bem-sucedidos e 70% das violações de dados bem-sucedidas se originam em dispositivos de endpoint.

Embora antivírus, antimalware, firewalls e outras soluções tradicionais de segurança de endpoints tenham evoluído com o passar do tempo, elas ainda se limitam à detecção de ameaças de endpoint conhecidas, baseadas em arquivos ou baseadas em assinatura. Eles são muito menos eficazes, por exemplo, em impedir ataques de engenharia social, como mensagens de phishing que induzem as vítimas a divulgar dados confidenciais ou a acessar sites falsos com código malicioso. (Phishing é o método de entrega mais comum de ransomware.) E eles são impotentes contra um número crescente de ataques cibernéticos “sem arquivos” que operam exclusivamente na memória do computador para evitar completamente a verificação de arquivos ou assinaturas.

E o mais importante é que as ferramentas tradicionais de segurança de endpoint não conseguem detectar nem neutralizar ameaças avançadas que passam despercebidas por elas. Isso permite que essas ameaças se escondam e circulem na rede por meses, coletando dados e identificando vulnerabilidades, preparando-se para lançar um ataque de ransomware, vulnerabilidade de dia zero ou outro ataque cibernético em grande escala.

A EDR é o ponto de partida dessas soluções tradicionais de segurança de endpoint. Sua análise de detecção de ameaças e recursos de resposta automatizada podem, muitas vezes sem intervenção humana, identificar e conter possíveis ameaças que penetram no perímetro da rede antes que possam causar danos graves. A EDR também fornece ferramentas que as equipes de segurança podem usar para descobrir, investigar e prevenir ameaças suspeitas e emergentes por conta própria.

Embora existam diferenças entre os fornecedores, as soluções de EDR normalmente combinam cinco recursos principais: coleta contínua de dados de endpoints, análise em tempo real e detecção de ameaças, resposta automatizada a ameaças, isolamento e remediação de ameaças, e suporte para caça a ameaças.

A EDR coleta dados de forma contínua (dados sobre processos, desempenho, mudanças de configuração, conexões de rede, downloads ou transferências de arquivos e dados, comportamento do usuário final ou do dispositivo) de cada dispositivo de endpoint na rede. Os dados são armazenados em um banco de dados central ou data lake, geralmente hospedado na nuvem.

A maioria das soluções de segurança de EDR coleta esses dados instalando uma ferramenta leve de coleta de dados, ou agente, em cada dispositivo de endpoint; algumas podem recorrer aos recursos do sistema operacional do endpoint.

A EDR usa funções de análise avançada e algoritmos de aprendizado de máquina para identificar padrões que indicam ameaças conhecidas ou atividades suspeitas em tempo real, à medida que elas se desenvolvem.

Em geral, a EDR procura dois tipos de indicadores: indicadores de comprometimento (IOCs), que são ações ou eventos compatíveis com um possível ataque ou violação; e indicadores de ataque (IOAs), que são ações ou eventos associados a ameaças cibernéticas ou cibercriminosos conhecidos.

Para identificar esses indicadores, a EDR correlaciona seus próprios dados de endpoint em tempo real com dados de serviços de inteligência de ameaças, que fornecem informações sempre atualizadas sobre ameaças cibernéticas novas e recentes, as táticas utilizadas, as vulnerabilidades de endpoints ou da infraestrutura de TI que elas exploram etc. Os serviços de inteligência de ameaças podem ser próprios (operados pelo provedor de EDR), de terceiros ou baseados na comunidade. Além disso, muitas soluções de EDR também mapeiam dados para o Mitre ATT&CK, uma base de conhecimento global livremente acessível sobre as táticas e técnicas de ameaças cibernéticas dos hackers, para a qual o governo dos EUA contribui.

A análise e os algoritmos de EDR também podem fazer suas próprias investigações, comparando dados em tempo real com dados históricos e parâmetros estabelecidos para identificar atividades suspeitas, atividades aberrantes do usuário final e tudo que possa indicar um incidente ou uma ameaça à cibersegurança. Eles também podem separar os “sinais”, ou ameaças legítimas, do “ruído” dos falsos positivos, para que os analistas de segurança se concentrem nos incidentes que importam.

Muitas empresas integram a EDR a uma solução de SIEM (gerenciamento de informações e eventos de segurança), que reúne questões relacionadas à segurança em todas as camadas da infraestrutura de TI, não apenas endpoints, mas aplicações, bancos de dados, navegadores da internet, hardware de rede etc. Os dados do SIEM podem enriquecer a análise de dados de EDR com contexto adicional para identificar, priorizar, investigar e remediar ameaças.

A EDR resume dados importantes e resultados de análises em um console de gerenciamento central que também serve como interface de usuário (IU) da solução. Pelo console, os membros da equipe de segurança têm visibilidade total de todos os endpoints e problemas de segurança de endpoints, em toda a empresa, e iniciam investigações, respostas a ameaças e remediações envolvendo todo e qualquer endpoint.

A automação é responsável pela “resposta” (rápida) que faz parte da EDR. Com base em regras predefinidas definidas pela equipe de segurança (ou “aprendidas” ao com o tempo por algoritmos de aprendizado de máquina), as soluções de EDR podem automaticamente

• Alertar os analistas de segurança sobre ameaças específicas ou atividades suspeitas
• Fazer a triagem ou priorizar alertas de acordo com a gravidade
• Gerar um relatório de “rastreamento” sobre todas as paradas de um incidente ou ameaça na rede, chegando até sua causa raiz
• Desconectar um dispositivo de endpoint ou encerrar o acesso de um usuário final na rede
• Interromper processos do sistema ou do endpoint
• Impedir que um endpoint execute (detone) um arquivo ou anexo de e-mail malicioso ou suspeito
• Acionar um software antivírus ou antimalware para verificar outros endpoints na rede em busca da mesma ameaça

A EDR pode automatizar as atividades de investigação e remediação de ameaças (veja abaixo). Pode também ser integrada a sistemas SOAR (orquestração, automação e resposta de segurança) para automatizar playbooks de resposta de segurança (sequências de respostas a incidentes) que envolvam outras ferramentas de segurança.

Toda essa automação ajuda as equipes de segurança a responder a incidentes e ameaças com mais rapidez, para evitar ou minimizar os danos que podem causar à rede. Além disso, ajuda as equipes de segurança a trabalhar da forma mais eficiente possível com a equipe disponível.

Quando uma ameaça é isolada, a EDR fornece recursos que os analistas de segurança podem usar para investigar melhor a ameaça. Por exemplo, a análise forense ajuda os analistas de segurança a identificar a causa raiz de uma ameaça, identificar os vários arquivos afetados e as vulnerabilidades que o invasor explorou ao entrar e se movimentar pela rede, obter acesso às credenciais de autenticação ou realizar outras atividades maliciosas.

Munidos dessas informações, os analistas podem usar ferramentas de remediação para eliminar a ameaça. A remediação pode envolver

• Destruição de arquivos maliciosos e sua eliminação dos endpoints
  
• Restauração de configurações danificadas, configurações de registro, arquivos de aplicações e dados
• Aplicação de atualizações ou patches para eliminar vulnerabilidades
• Atualização das regras de detecção para evitar a recorrência

A caça a ameaças (também chamada de caça a ameaças cibernéticas) é um exercício de segurança proativo no qual um analista de segurança procura ameaças conhecidas ou ainda desconhecidas na rede que ainda não foram detectadas ou corrigidas pelas ferramentas automatizadas de cibersegurança da organização. É importante lembrar que ameaças avançadas podem se esconder por meses antes de serem detectadas, coletando informações do sistema e credenciais de usuários em preparação para uma violação em grande escala.

Uma caça a ameaças eficaz e oportuna pode reduzir o tempo necessário para detectar e remediar essas ameaças e limitar ou evitar danos causados pelo ataque.

Os caçadores de ameaças usam diversas táticas e técnicas, a maioria das quais depende das mesmas fontes de dados e recursos de análise e automação que a EDR usa para detecção, resposta e remediação de ameaças. Por exemplo, um analista de caça a ameaças pode procurar um determinado arquivo, alteração de configuração ou outro artefato com base em análise forense, ou os dados do MITRE ATT&CK que descrevem os métodos de um invasor específico.

Para apoiar a caça a ameaças, a EDR disponibiliza esses recursos para analistas de segurança por meio de meios programáticos ou orientados pela IU, para que possam realizar pesquisas ad-hoc, consultas de dados, correlações com inteligência de ameaças e outras investigações. As ferramentas de EDR destinadas especificamente à caça a ameaças incluem tudo, desde linguagens de script simples (para automatizar tarefas comuns) até ferramentas de consulta em linguagem natural.

Uma EPP (endpoint protection platform) é uma plataforma de segurança integrada que combina um software antivírus (NGAV) e antimalware de última geração com um software de controle/filtro da web, firewalls, gateways de e-mail e outras tecnologias tradicionais de segurança de endpoint.

As tecnologias de EPP se concentram sobretudo na prevenção de ameaças conhecidas ou que se comportem de maneiras conhecidas nos endpoints. A EDR tem recursos para identificar e conter ameaças desconhecidas ou potenciais que driblam as tecnologias tradicionais de segurança de endpoint. No entanto, muitas EPPs evoluíram e passaram a incluir recursos de EDR, como análise avançada de detecção de ameaças e análise de comportamento do usuário.

Assim como a EDR, a XDR (detecção e resposta estendidas) e a MDR (detecção e resposta gerenciadas) são soluções de detecção de ameaças corporativas orientadas por análise de dados e IA. Elas diferem da EDR no escopo de proteção que fornecem e na maneira como são fornecidas.

A XDR integra ferramentas de segurança em toda a infraestrutura híbrida de uma organização (não apenas endpoints, mas redes, e-mail, aplicações, cargas de trabalho em nuvem etc.) para que essas ferramentas interoperem e coordenem a prevenção, detecção e resposta a ameaças cibernéticas. Assim como a EDR, a XDR integra SIEM, SOAR e outras tecnologias de cibersegurança corporativa. Sendo uma tecnologia ainda emergente, mas em rápida evolução, a XDR tem o potencial de tornar os centros de operações de segurança (SOCs) sobrecarregados muito mais eficientes e eficazes ao unificar pontos de controle de segurança, telemetria, análise de dados e operações em um único sistema corporativo central.

A MDR é um serviço terceirizado de cibersegurança que protege uma organização contra ameaças que driblam suas próprias operações de cibersegurança. Os provedores de MDR normalmente oferecem serviços de monitoramento, detecção e remediação de ameaças 24 horas por dia, 7 dias por semana, por meio de uma equipe de analistas de segurança altamente qualificados que trabalham remotamente com tecnologias de EDR ou XDR baseadas em nuvem. A MDR pode ser uma solução atraente para uma organização que precisa de experiência em segurança além do que possui em sua equipe, ou de tecnologia de segurança além de seu orçamento.