EDR: detetar (e responder) antes que seja tarde

O termo Endpoint Detection and Response (EDR) tem aparecido nos últimos tempos como uma solução para – como o próprio nome indica – detetar ciberameaças e responder aos mesmos. Implementar uma solução de EDR pode melhorar a segurança dos dispositivos conectados à rede, assim como a infraestrutura de IT.

As organizações precisam de saber se sofreram uma quebra de segurança e responder o mais depressa possível para conter essa ameaça. Os produtos de EDR foram desenhados para isto mesmo: tiram vantagem da análise de comportamento em tempo real que podem dizer se um ataque está a ocorrer e tomar ação imediata antes de qualquer dano sério. 

A necessidade do EDR

“O antivírus tradicional evoluiu para a Deteção e Resposta de Endpoints (EDR), depois para a Deteção e Resposta Ampliadas (XDR), e atualmente para Deteção e Resposta Geridas (MDR)” Anthony Merry, Sophos

Com o cenário de ciberameaças a mudar, a tecnologia tem – obrigatoriamente – de mudar. Esta é uma das ideias defendidas por Anthony Merry, Senior Director Product Marketing na Sophos, que explica que “o antivírus tradicional evoluiu para a Deteção e Resposta de Endpoints (EDR), depois para a Deteção e Resposta Ampliadas (XDR), e atualmente para Deteção e Resposta Geridas (MDR)”.

Sabendo que lançar o ransomware e malware é, geralmente, “a última etapa de um ataque”, sabendo que os cibercriminosos “passam dias, semanas ou, às vezes, até meses” na infraestrutura, a pergunta que se coloca é “o que fazem durante todo esse tempo? Conseguiram roubar as passwords ou exfiltraram dados valiosos antes de implementar o ransomware?”, diz Anthony Merry.

“Para evitar a deteção por parte das soluções de cibersegurança, nos seus ataques os criminosos utilizam cada vez mais ferramentas de IT legítimas, exploram credenciais roubadas e permissões de acesso e tiram proveito de vulnerabilidades não corrigidas. Ao imitar utilizadores autorizados e aproveitar-se dos pontos fracos nas defesas de uma organização, conseguem evitar acionar as tecnologias de proteção automatizadas. Assim, as equipas de IT precisam de estar no terreno e também de receber ajuda para detetar este tipo de comportamentos, e as várias tecnologias de deteção e resposta ajudam-nas a interromper atividades suspeitas antes que se tornem ainda mais prejudiciais”, explica o Senior Director Product Marketing na Sophos.

Diogo Pata, Sales Engineer na WatchGuard Portugal, relembra que os ciberataques “mais avançados são planeados de forma a conseguirem contornar a proteção fornecida por soluções tradicionais de segurança. Com a profissionalização dos cibercriminosos, estes ataques estão a tornar-se cada vez mais frequentes e cada vez mais sofisticados”.

Neste cenário, refere Diogo Pata, “as plataformas de proteção de endpoint tradicionais (EPP) não fornecem visibilidade detalhada o suficiente sobre os processos e aplicações em execução nas redes das empresas. Mas atenção porque algumas soluções EDR no mercado não só não resolvem os problemas, como ainda aumentam os níveis de stress e o volume de trabalho dos administradores de segurança, já que delegam a responsabilidade de gerir alertas e obrigam os profissionais a classificar as ameaças manualmente. No momento de dar o passo seguinte na proteção da organização, é preciso ter também isto em conta”.

Proteção no cerne da questão

	“O EDR deve ser muito mais do que um simples antivírus, o produto deve ser capaz de responder a ameaças conhecidas e desconhecidas, fornecendo visibilidade e controlando as aplicações que são executadas na rede” Diogo Pata, Watchguard Portugal

Diogo Pata defende que o EDR deve “fornecer uma poderosa proteção de deteção e resposta de endpoint contra ataques de dia zero, ransomware, cryptojacking e outros ataques direcionados avançados, usando novos e emergentes modelos de machine learning e IA de deep learning. Com a visibilidade total sobre endpoints e servidores, o EDR é, assim, capaz de monitorizar e detetar atividades mal-intencionadas que podem passar pela maioria das soluções de antivírus tradicionais”.

Anthony Merry afirma que os produtos de EDR “devem ter a proteção no seu cerne; afinal de contas, se detivermos a execução de malware ou ransomware, não haverá necessidade de detetar o que foi feito e só responder posteriormente”.

“Os produtos EDR devem detetar todas as atividades pertinentes, das benignas às mais graves. Algumas ações por si só podem parecer inofensivas, mas quando encadeadas podem representar um sinal claro de atividade maliciosa. O ‘threat hunting’ passa por detetar todas as ações que indiquem comportamentos suspeitos/maliciosos; o desafio é que, com tantas deteções, os analistas de segurança têm de perceber onde devem concentrar o seu valioso tempo”, refere Merry.

Complementaridade ou ocupação do lugar do antivírus

“O EDR deve ser muito mais do que um simples antivírus”, alerta Diogo Pata, que acrescenta que o produto deve “ser capaz de responder a ameaças conhecidas e desconhecidas, fornecendo visibilidade e controlando as aplicações que são executadas na rede”.

“Embora os produtos de antivírus e de plataforma de proteção de endpoint sejam importantes para a análise de endpoints em busca de ameaças conhecidas, os seus benefícios são limitados sem uma monitorização contínua capaz de detetar ataques avançados, como APT, exploits e ataques fileless. Adicionar o EDR sobre uma solução antivírus de endpoint preenche as lacunas para uma segurança de endpoint abrangente e eficaz”, explica o Sales Engineer da WatchGuard Portugal.

Por seu lado, Anthony Merry defende que “o EDR tem mais capacidades do que um antivírus tradicional, tendo vindo ocupar-lhe o lugar”. O representante da Sophos diz, ainda, que “quanto mais as empresas forem capazes de ver o que está a acontecer em tempo real, melhor as suas equipas de TI/segurança poderão entender o quadro geral da sua situação. Vão poder ver as táticas dos agentes maliciosos e, munidos desse conhecimento, poderão responder de forma mais completa ao ataque. Estas são as capacidades de resposta do EDR e do XDR”.