Blue team
Nos últimos anos a cibersegurança tem tido uma grande evolução, seja pelos ataques que têm ocorrido, seja pelas preocupações constantes dos utilizadores e organizações, seja no espetro de produtos que vão surgindo, ou na evolução dos mesmos
Por Rui Pereira, CTO na CSO . 14/12/2022
Não é de estranhar que alguns fabricantes alargam o seu portefólio de produtos construindo uma matriz de várias tecnologias, efetuando a correlação dos vários indicadores que cada tecnologia disponibiliza, permitindo uma outra capacidade de deteção através de uma melhor observação de tendências e padrões do comportamento, garantindo uma melhor eficácia à resposta dos vários vetores de ataque a uma organização. A também utilização de técnicas de Machine Learning e inteligência artificial abrem um novo paradigma na deteção de ameaças. Tendo em conta toda esta evolução, os atores maliciosos também concentram os seus esforços no utilizador e/ou no seu endpoint, uma vez que o utilizador é o grande ponto de falha nas organizações, daí que o ataque a um endpoint é algo que não deve ser desprezado pelas organizações. Tendo em conta que o trabalho remoto é uma realidade cada vez maior, a utilização de computadores portáteis é uma constante, verifica-se que a ligação do endpoint a redes desprotegidas é algo que acontece com frequência e é mais uma forma de ligação (que tem de ser permitida) que as organizações têm de contemplar nas suas políticas de segurança. O acesso dos endpoint via redes desprotegidas é um dos vetores de ataque dos atores maliciosos, pelo que nem sempre se consegue impedir a entrada de software malicioso no endpoint, mas pode-se impedir que o mesmo efetue o seu propósito. É neste ecossistema que entra o EDR, o termo EDR significa Endpoint Detection and Response, sendo muitas vezes também referido de Endpoint Detection and Threat Response (EDTR ou ETDR conforme a ordem das palavras), e conforme as funcionalidades que cada fabricante disponibiliza no seu produto. Como o termo indica uma solução de EDR é uma solução que regista o comportamento a nível do endpoint, efetua deteções de ameaças e toma ações de reposta por forma a evitar e neutralizar as ameaças. Um dos focos do EDR é impedir que um endpoint infetado, seja um problema para a organização, impedindo a transmissão da infecção para o resto dos endpoints e para o resto da rede, impedindo que o malware se propague e adicionalmente possibilitando a remediação do mesmo. Com esta filosofia um software malicioso pode estar presente num endpoint, mas a sua ação pode ser detetada pelo próprio e assim o software malicioso ser bloqueado, ou no caso de já estar comprometido, impedir que se estabeleçam as comunicações desse software para o exterior e para outros endpoints. Tipicamente para que o agente EDR no endpoint não seja muito pesado, existem consolas centrais (e que também podem ser geridas na cloud), que fazem o trabalho computacional pesado da deteção de comportamentos anómalos na exfiltração de dados, comunicações para o exterior (ou para outros endpoints), encriptação de ficheiros, outras técnicas e vetores de ataque. Conforme a filosofia de cada fabricante, podemos ter casos de estudo de técnicas de Anti-Vírus, UBA (User Behavioral Analysis), assinaturas conhecidas, Machine Learning, Inteligência Artificial, IOC (indicators of Compromise), IOA (Indicators of Attack), utilização de SandBox, etc. Conforme já aqui falado, além da deteção uma das componentes do EDR é a resposta. Mecanismos de resposta que desencadeiam ações no agente EDR, permitem que um ataque não suceda e não se propague (e não passe desse endpoint). Estes mecanismos de resposta podem ser automáticos ou efetuados manualmente por uma equipa que faz a análise em tempo real da informação disponibilizada pela consola de EDR. Um dos maiores motivos para adquirir uma solução EDR é a proteção e contenção de ameaças diretamente no endpoint. Um outro grande motivo será o automatismo da resposta, quanto mais automática for a deteção e consequente resposta, e menos forem os casos de falsos positivos, mais rápida e eficaz será a solução, eliminando ações manuais que envolvem a análise de eventos e informação. Só por si, uma solução de EDR não protege uma organização contra as ameaças maliciosas, o EDR é uma componente numa solução mais abrangente de cibersegurança, e que deve ser tida em conta de forma a proteger o endpoint e impedir que o mesmo seja um problema para a organização.
Conteúdo co-produzido por MediaNext e CSO |