Aprendizado e descoberta 3min de Leitura - 01 de outubro de 2021

O que é detecção e resposta de Endpoint (EDR)?

EDR

This post is also available in: Português Español

Independente do segmento em que atue, praticamente todo gestor sabe que precisa lidar com a segurança digital. Afinal, não é segredo para ninguém que existem crackers agindo 24 horas por dia, criando meios cada vez mais inovadores de atacar. Assim, é comum ver empresas investindo em antivírus convencionais para tentar se proteger – sem saber que provavelmente isso não é o suficiente.

Em um primeiro momento, pode causar estranheza imaginar que tais soluções podem não dar conta do recado. É que os antivírus precisam ser atualizados automaticamente diversas vezes ao dia para serem capazes de enfrentar novas ameaças. Porém, este período entre as atualizações pode abrir brechas para possíveis infecções. Outro ponto de atenção é que os softwares convencionais não reagem aos problemas automaticamente, e nem acionam medidas protetivas, limitando-se a reportar o incidente ao usuário e esperar dele uma ação.

Fatos como esses ajudaram a crescer o interesse em soluções mais eficazes, como o EDR – sigla em inglês para Endpoint Detection and Response. Traduzindo, significa Detecção e Resposta para Endpoints, que são os dispositivos finais que se conectam à rede de uma empresa – como servidores, laptops e desktops dos funcionários, tablets, smartphones e, em alguns casos, smartwatches.

O que chama atenção nos EDRs é a sua pró-atividade contra possíveis ameaças, dando sequência a medidas adequadas para neutralizar falhas e evitar maiores danos – o que lhe confere uma postura ativa e preventiva de segurança.

Esse diferencial se torna ainda mais estratégico quando se tem em mente que os endpoints podem armazenar arquivos sensíveis e informações altamente sigilosas para os negócios – como planilhas financeiras, contatos de clientes e planejamentos futuros, por exemplo.

Funcionamento do EDR

Uma das vantagens do EDR é atuar em cada ponto de conexão à rede, considerando todas as portas de acesso como um potencial alvo dos cibercriminosos.

Nesse contexto, fornece aos analistas de segurança as ferramentas necessárias para identificar pró-ativamente ameaças e proteger a empresa. Assim, possui uma série de recursos que intensificam a capacidade de gerenciar o risco de cibersegurança.

Entre esses recursos está a coleta e a análise contínua de dados, que se reportam a um sistema centralizado. Por isso, é possível obter total visibilidade do estado dos endpoints da rede através de um único local.

A partir disso, o EDR pode automatizar a coleta, o processamento de dados e algumas atividades de resposta pré-definidas. Isso permite que uma equipe de segurança obtenha rapidamente um contexto preciso sobre um possível incidente de segurança, para então investir em eventuais medidas adicionais.

Principais características do EDR

Outro benefício dos sistemas EDR é o fluxo de triagem de incidentes. A plataforma realiza a triagem de situações potencialmente suspeitas ou maliciosas de forma automática, permitindo que os analistas de segurança priorizem suas investigações – que também devem ter autonomia para procurar por si só possíveis invasões.

É algo que faz lembrar o quanto é essencial o contexto para diferenciar os verdadeiros ataques dos falsos positivos. Por isso, um EDR deve usar o máximo de dados disponíveis para tomar decisões embasadas sobre ameaças em potencial.

Vale a pena ressaltar que a mudança de contexto compromete a capacidade de um analista em responder de forma rápida e eficaz a incidentes de segurança. Esses profissionais devem ser capazes de adotar medidas imediatas para responder a tais situações após analisar as evidências associadas – fornecidas pelo EDR.

O fato é que a resposta apropriada a uma ameaça depende de muitos fatores. Por isso, uma solução de EDR deve apresentar aos analistas várias opções de resposta, como erradicação e quarentena de uma infecção específica, por exemplo.

Proteção no home office

A segurança de um endpoint sempre será fundamental em uma estratégia de cibersegurança nas empresas. Assim, mesmo que as defesas baseadas em rede bloqueiem dúzias de ataques cibernéticos, alguns passarão despercebidos. E há brechas que podem burlar tais defesas, como malwares transmitidos por pendrives e HD´s externos, por exemplo.

Por isso, uma solução EDR se sobressai, já que aumenta a probabilidade de identificar e responder a essas ameaças. Em um contexto no qual o home office é cada vez mais presente, nota-se a crescente importância de soluções do tipo, à medida que as organizações apoiam o trabalho remoto como nunca antes.

Porém, os colaboradores que trabalham em casa podem não estar protegidos contra ameaças cibernéticas da mesma forma que os profissionais que atuam no escritório. E mais: podem estar usando dispositivos pessoais – ou que não tenham as atualizações e patches de segurança mais recentes. Além disso, um ambiente mais descontraído como a própria casa pode deixar os funcionários mais relapsos em relação à segurança.

São possibilidades que expõem a empresa e seus funcionários a riscos de cibersegurança. Isso torna a segurança robusta de endpoint essencial, uma vez que ela protege o colaborador contra infecções e pode impedir que os cibercriminosos usem seu dispositivo como um trampolim para atacar a rede corporativa inteira.

This post is also available in: Português Español