O que é detecção e resposta de endpoint (EDR)?

A detecção de ameaças é um recurso fundamental de um recurso de EDR. Não é uma questão de saber se uma ameaça avançada atacará, mas sim de quando ela escapará de suas defesas de linha de frente. Ao entrar em seu ambiente, você deve ser capaz de detectar com precisão a ameaça para poder contê-la, avaliá-la e neutralizá-la. Esta não é uma tarefa fácil quando você está lidando com malware sofisticado que pode ser extremamente furtivo e capaz de se transformar de um estado benigno em um estado malicioso após cruzar o ponto de entrada.

Com a análise contínua de arquivos, o EDR poderá sinalizar arquivos ofensivos ao primeiro sinal de comportamento malicioso. Se um arquivo for considerado seguro, mas após algumas semanas começar a exibir atividade de criptomineração ou ransomware, o EDR detectará o arquivo e o processo de avaliação, análise, alertando sua organização para ação.  

Além da análise contínua de arquivos, é importante observar que um EDR é tão bom na detecção de arquivos quanto a inteligência de ameaças cibernéticas que o alimenta. A inteligência de ameaças cibernéticas aproveita dados em grande escala, recursos de aprendizado de máquina e análise avançada de arquivos para ajudar a detectar ameaças. Quanto maior a inteligência de ameaças cibernéticas, maior a probabilidade de sua solução de EDR identificar a ameaça. Sem qualquer inteligência sobre ameaças cibernéticas, uma solução de EDR é ineficaz.

Depois de detectar um arquivo malicioso, o EDR deve ser capaz de conter a ameaça. Arquivos maliciosos visam infectar o maior número possível de processos, aplicativos e usuários. A segmentação pode ser uma grande defesa em seu data center para evitar o movimento lateral de ameaças avançadas. A segmentação é útil, mas um EDR robusto pode ajudar a conter um arquivo malicioso antes de testar as bordas das áreas segmentadas da rede. Ransomware é um tremendo exemplo de por que você precisa conter ameaças. O ransomware pode ser difícil de remover. Depois de criptografar as informações, seu EDR precisa conter totalmente o ransomware para mitigar os danos. Como controle adicional, o EDR oferece a capacidade de isolar a rede, evitando criptografia adicional na rede.

Depois que o arquivo malicioso for detectado e contido, o EDR deve investigar. Se o arquivo passou pelo perímetro pela primeira vez, há claramente uma vulnerabilidade. Talvez a equipe de inteligência de ameaças nunca tenha visto esse tipo de ameaça avançada antes. Talvez um dispositivo ou aplicativo esteja desatualizado e precise ser atualizado. Sem recursos de investigação adequados, sua rede não obterá informações sobre por que uma ameaça passou. Como resultado, sua rede provavelmente enfrentará essas mesmas ameaças e problemas novamente. O EDR fornece o tipo de revisão por incidente necessária para revelar esses problemas e impedir a exploração futura por meio do mesmo vetor de ameaça sempre que possível.

No processo investigativo, o sandboxing é um recurso crítico. O sandboxing pode ser usado no perímetro, para ajudar a conceder ou negar acesso, mas também pode ser usado efetivamente após o ponto de entrada. Sandboxing é quando o arquivo é isolado em um ambiente simulado e testado e monitorado. O EDR pode fornecer sandboxing por meio do Cisco Secure Malware Analytics integrado.

Dentro desse ambiente simulado e isolado, o EDR tentará determinar a natureza do arquivo sem potencialmente arriscar a segurança do ambiente maior. Nesse processo, o EDR pode entender os atributos e a natureza desse arquivo malicioso e aprender com ele. Ao avaliar completamente o arquivo, o EDR pode se comunicar com a equipe de inteligência de ameaças cibernéticas que executa o EDR e se adaptar a ameaças futuras.

O componente mais óbvio de um EDR precisa ser sua capacidade de eliminar a ameaça. Se você detectar, conter e investigar uma ameaça, isso é ótimo. Mas se você não pode eliminá-lo, então basicamente você continua, sabendo que seu sistema está comprometido. Isso não é aceitável. Para eliminar adequadamente as ameaças, o EDR precisa de visibilidade excepcional para responder a perguntas como:

• Onde o arquivo se originou?
• Com quais dados e aplicativos diferentes esse arquivo interagiu?
• O arquivo foi replicado?

A visibilidade é crucial para a eliminação. Ser capaz de ver toda a linha do tempo de um arquivo é crucial. Não é tão fácil como simplesmente remover o arquivo que você observou. Ao eliminar o arquivo, você provavelmente precisará corrigir automaticamente várias partes da rede. Por esse motivo, o EDR deve fornecer dados acionáveis ​​sobre a vida útil do arquivo. Se o EDR tiver recursos retrospectivos, esses dados acionáveis ​​devem ser usados ​​para corrigir automaticamente os sistemas ao seu estado anterior à infecção.

Por fim, é muito importante entender que a melhor solução de EDR combina recursos de EPP e EDR. Uma verdadeira solução de segurança de endpoint de última geração protege no perímetro (EPP) e monitora continuamente no ambiente (EDR) para fornecer e gerenciar a segurança durante toda a vida útil dos arquivos.