O que é Detecção de terminal e resposta?
- Glossário do IAM
- O que é Detecção de terminal e resposta?
Detecção e reposta de terminais (EDR), também conhecido como detecção e resposta de ameaças de terminais (ETDR), é um termo guarda-chuva para uma solução de software que monitora continuamente os dispositivos de terminais computadores e notebooks usuários finais, servidores, dispositivos móveis e dispositivos de Internet das coisas (IdC) para coletar e analisar dados de ameaças e informar equipes de segurança sobre violações em tempo real.
Como funciona a deteção e resposta de terminais (EDR)?
Como EDR é um termo muito amplo, os recursos e as capacidades específicas das soluções individuais de EDR variam entre os fornecedores e até mesmo durante implementações. De forma geral, as ferramentas de detecção e resposta de terminais se encaixam nas três categorias a seguir:
- Plataforma de EDR dedicada
- Grupo de ferramentas menores que, usadas em conjunto, realizam a detecção e resposta de terminais
- Recurso de EDR integrado em outro produto de segurança, como software antivírus de última geração. Alguns fornecedores de gerenciamento de informações e eventos de segurança (SIEM) oferecem EDR como parte do pacote.
As soluções de EDR funcionam agregando telemetria de dispositivos de terminais, incluindo registros, detalhes de arquivos, processos em execução, monitores de desempenho e dados de configuração e analisando tudo para detectar possíveis padrões de ameaça.
Os sistemas de EDR mais simples são apenas ferramentas de alerta. Elas coletam, analisam e exibem dados de funcionários humanos para visualizar e agir em cima disso.Os dados são salvos em um banco central e podem ser alimentados em uma solução SIEM.
Sistemas de EDR mais avançados incluem recursos como:
- Mecanismos de resposta automatizada que podem tomar determinadas ações corretivas caso uma ameaça seja detectada, como a desconexão de um usuário final, interrompimento de processos comprometidos ou desativação total de um dispositivo de terminal.
- Ferramentas de resposta de ameaça que ajudam os funcionários humanos de segurança a entender o que está acontecendo, que dispositivos e sistemas foram afetados, como deter o ataque e como impedir futuros ataques.
- Recursos de aprendizado de máquina e análise de IA que usam análises de comportamento para dar contexto às atividades de dispositivos e identificar ameaças novas e emergentes, incluindo aquelas que não se encaixam nas regras pré-configuradas de EDR. Isto pode incluir comportamento incomum de mapeamento até estruturas MITRE ATT&CK gratuitas para ajudar a detectar padrões.
- Ferramentas forenses que ajudam equipes de segurança a estabelecer horários, identificar sistemas afetados e coletar provas durante respostas de ocorrências e análises pós-violação. Os funcionários de segurança também podem usar ferramentas forenses de EDR para procurar proativamente outras ameaças não detectadas no ambiente de dados.
A importância de EDR
Os sistemas de EDR estão cada vez mais populares devido ao pico de dispositivos de terminais conectados a redes empresariais, incluindo computadores e notebooks, bem como telefones e dispositivos de IdC. Os agressores veem estes dispositivos como "alvos fáceis" que podem ser usados para violar redes, utilizando malwares e métodos cada vez mais sofisticados para atacá-los.
As ferrametnas de detecção e resposta de ameaças podem ser confundidos com soluções antivírus. Muitos sistemas de EDR são fornecidos em conjunto com softwares antivírus ou como dados de avaliação no banco de dados de uma solução antivírus.
No entanto, softwares antivírus só protegem dispositivos de terminais contra tipos de malware conhecidos e listados no banco de dados do produto. Por outro lado, o EDR usa uma análise inteligente para detectar ameaças novas e emergentes, incluindo ameaças que não são detectadas por softwares antivírus, como malwares sem arquivo, ataques que utilizam credenciais roubadas, ameaças persistentes avançadas (APTs) e malwares tão novos que nem foram catalogados em nenhum banco de dados de antivírus.
As soluções antivírus fornecem apenas informações básicas aos usuários, como quantas e que tipos de ameaças o software bloqueou em um determinado período. Os sistemas de EDR registram dados contextuais altamente valiosos sobre ataques, como informações sobre o agressor, sendo capaz de desvendar tendências históricas que as empresas podem usar para informar suas estratégias de segurança.
Como as empresas usam EDR
Além de detectar ameaças que normalmente passariam por soluções antivírus e outras ferramentas de segurança, os sistemas de EDR aceleram a resposta a ocorrências, auxiliam nos esforços de mitigação, fornecem às equipes de segurança visibilidade completa sobre o comportamento dos terminais entre os ambientes de dados, possibilitando uma caça proativa a ameaças.
Permitir que a equipe de segurança tenha um papel ativo na segurança de terminais é essencial para uma implementação de EDR bem-sucedida. Além de acompanhar alertas de EDR, as empresas precisam de uma estratégia de gerenciamento de correção robusta para manter os dispositivos de terminais atualizados. Muitas vezes, as atualizações de software incluem correções de segurança importantes e a negligência da aplicação delas o quanto antes pode comprometer drasticamente a segurança de um terminal.
Erros de configurações da nuvem são outro problema comum que podem degradar a segurança do terminal. A visibilidade que as soluções de EDR oferecem sobre as configurações de terminais ajudam equipes de TI e segurança a evitar ajustes incorretos de nuvem. Da mesma forma, um ambiente de nuvem mantido de forma adequada aprimora a segurança dos terminais.