O que é segurança de endpoints?

O software de antivírus original protege os endpoints contra formas conhecidas de malware - Trojans, worms, adware e mais.

O software de antivírus tradicional escaneava os arquivos em um dispositivo de endpoint em busca de assinaturas de malware, strings de bytes características de vírus ou malware conhecidos. O software alertava o usuário ou o administrador quando um vírus era encontrado e fornecia ferramentas para isolar e remover o vírus e reparar arquivos infectados.

O software de antivírus de hoje, muitas vezes chamado de antivírus de próxima geração (NGAV), pode identificar e combater novos tipos de malware, incluindo o que não deixa assinatura. Por exemplo, o NGAV pode detectar malware sem arquivos, que é o malware que reside na memória e injeta scripts maliciosos no código de aplicações legítimas. O NGAV também pode identificar atividades suspeitas usando heurísticas, que comparam padrões de comportamento suspeitos com os de vírus conhecidos, e varredura de integridade, que escaneia arquivos em busca de sinais de infecção por vírus ou malware.

O software antivírus sozinho pode ser adequado para proteger um pequeno número de endpoints. Qualquer coisa além disso geralmente requer uma plataforma de proteção corporativa, ou EPP. Uma EPP combina NGAV com outras soluções de segurança de endpoint, incluindo:

• Controle da web: às vezes chamado de filtro da web, esse software protege os usuários e sua organização contra códigos maliciosos ocultos em sites ou dentro de arquivos baixados pelos usuários. O software de controle da web também inclui recursos de lista branca e lista negra que permitem à equipe de segurança controlar quais sites os usuários podem visitar.
• Classificação de dados e prevenção de perda de dados: essas tecnologias documentam onde dados sensíveis estão armazenados, seja na nuvem ou localmente, e impedem o acesso não autorizado ou a divulgação desses dados.
• Firewalls integrados: esses firewalls são hardware ou software que aplicam a segurança da rede impedindo o tráfego não autorizado para dentro e para fora da rede.
• Gateways de e-mail: esses gateways são softwares que filtram e-mails recebidos para bloquear ataques de phishing e engenharia social.
• Controle de aplicativos: essa tecnologia permite que as equipes de segurança monitorem e controlem a instalação e o uso de aplicativos nos dispositivos e podem bloquear o uso e a execução de aplicativos não seguros ou não autorizados.

Uma EPP integra essas soluções de endpoint em um console de gerenciamento central, onde as equipes de segurança ou os administradores de sistema podem monitorar e gerenciar a segurança de todos os endpoints. Por exemplo, uma EPP pode designar as ferramentas de segurança apropriadas para cada endpoint, atualizar ou corrigir essas ferramentas conforme necessário e administrar as políticas de segurança corporativas.

As EPPs podem ser locais ou baseadas em nuvem. No entanto, o analista do setor Gartner (link fora de ibm.com), que primeiro definiu a categoria de EPP, observa que "as soluções EPP desejáveis são principalmente gerenciadas na nuvem, permitindo o monitoramento contínuo e a coleta de dados de atividade, juntamente com a capacidade de tomar ações de remediação remota, seja o endpoint na rede corporativa ou fora do escritório".

As EPPs focam na prevenção de ameaças conhecidas ou ameaças que se comportam de maneiras conhecidas. Outra classe de solução de segurança de endpoint, chamada de detecção e resposta de endpoint (EDR), permite que as equipes de segurança respondam a ameaças que conseguem passar pelas ferramentas de segurança preventiva de endpoint.

As soluções de EDR monitoram continuamente os arquivos e aplicações que entram em cada dispositivo, procurando atividades suspeitas ou maliciosas que indicam malware, ransomware ou ameaças avançadas. O EDR também coleta continuamente dados de segurança detalhados e telemetria, armazenando-os em um data lake onde podem ser usados para análise em tempo real, investigação de causa raiz, caça a ameaças e mais.

O EDR geralmente inclui análises avançadas, análise comportamental, inteligência artificial (IA) e aprendizado de máquina, recursos de automação, alertas inteligentes e funcionalidades de investigação e remediação que permitem às equipes de segurança:

• Correlacionar indicadores de comprometimento (IOCs) e outros dados de segurança dos endpoints com feeds de inteligência de ameaças para detectar ameaças avançadas em tempo real.
• Receber notificações de atividades suspeitas ou ameaças reais em tempo real, juntamente com dados contextuais que podem ajudar a isolar a causa raiz e acelerar a investigação de ameaças.
• Realizar análise estática (análise de código suspeito ou infectado) ou análise dinâmica (execução de código suspeito em isolamento).
• Definir limites para comportamentos dos endpoints e alertas para quando esses limites são excedidos.
• Automatizar respostas, como desconectar e isolar dispositivos individuais, ou bloquear processos, para mitigar danos até que a ameaça possa ser resolvida.
• Determinar se outros dispositivos de endpoint estão sendo impactados pelo mesmo ataque cibernético.

Muitas EPPs mais novas ou mais avançadas incluem alguns recursos de EDR, mas para uma proteção completa do endpoint, que engloba prevenção e resposta, a maioria das empresas deve empregar ambas as tecnologias.

Detecção e resposta estendidas, ou XDR, amplia o modelo de detecção e resposta a ameaças do EDR para todas as áreas ou camadas da infraestrutura, protegendo não apenas dispositivos de endpoint, mas também aplicações, bancos de dados e armazenamento, redes e cargas de trabalho em nuvem. Como uma oferta de software como serviço (SaaS), o XDR protege recursos locais e na nuvem. Algumas plataformas XDR integram produtos de segurança de um único fornecedor ou provedor de serviços em nuvem, mas as melhores também permitem que as organizações adicionem e integrem as soluções de segurança que preferem.