O que é EDR?
A sigla EDR vem de Endpoint Detection & Response; destrinchando o nome, fica nítido o foco de atuação dessa ferramenta em um ambiente:
– Endpoint, pois atua no nível do usuário que e sempre foi o elo mais fraco de todo ambiente, pois na maioria dos casos o mesmo não possui a capacidade de identificar quando algo suspeito está ocorrendo em seu computador e muitas vezes não toma as devidas precauções antes de acessar ou executar conteúdos de terceiros ou potencialmente suspeitos;
– Detection, pois procura identificar e dar visibilidade à ameaças e/ou comportamentos suspeitos realizados a partir do Endpoint, seja por ação do usuário ou não em tempo real, o que é essencial quando falamos de ameaças persistentes ou sem utilização de malware (malwareless);
– Response, pois realiza uma coleta detalhada de evidências para otimizar o processo de identificação de ameaças, dando uma visão global da superfície de ataque, o que auxilia diretamente na tomada de decisão em uma resposta à incidentes de segurança.
Dessa forma fica simples responder a pergunta: Porque a sua empresa precisa de um EDR?
Um EPP (Endpoint Protection Platform) convencional na maioria dos casos possui visibilidade limitada, restrita ao nível de execução no Endpoint. O EDR integrado ou não à solução de EPP, permite que você monitore o Endpoint no nível de rede dando maior visibilidade à ameaças ocultas.
Outro ponto importante é capacidade de detecção e análise em tempo real de incidentes de forma agrupada, possibilitando que tenha de forma rápida a visibilidade de impacto do ataque em curso, diferentemente de um EPP onde seria necessário verificar os logs, máquina a máquina , até identificar o vetor de ataque. Além destes podemos falar da capacidade de resposta automatizada à incidentes, que passam pelos processos de detecção, coleta de artefatos/evidências, alertas de eventos, e em alguns casos ação de resposta automatizada. Todo esse processo em um EPP é muito custoso e demanda um tempo precioso, quando falamos de uma situação de ataque o menor tempo de resposta é crucial para conter a ameaça e evitar a persistência no ambiente.
Dito isto, temos a conclusão de que uma empresa que não possui uma solução de EDR não está protegida o suficiente para evitar ataques avançados ou que se utilizem de técnicas malwareless, que podem passar desapercebidos pelas soluções convencionais de EPP.
Dando um pouco mais de detalhes sobre as capacidades de um EDR, temos muitos fabricantes que oferecem soluções de EDR integradas com suas soluções convencionais de Endpoint Protection, com diferenças e vantagens sutis entre eles.
Entre os principais recursos “agregados” que cada fabricante pode oferecer estão:
– Sandbox para incrementar a capacidade de detecção de Zero-Day baseado em comportamento;
– Recorder e Process Dump para análise forense;
– Análise de comportamento inteligente (auto-aprimorável);
– Compatibilidade com MITRE Framework;
– Playbooks customizáveis;
– Deny & Allow list;
– Endpoint Isolation para mitigação imediata de ataques;
– File Explorer para busca de IOCs em Endpoints de forma remota;
Com isso, é possível dizer que você pode escolher a solução de EDR que mais se adeque às necessidades da sua empresa.
A Shield Security, parceira dos maiores “Players” de EDR do mercado como Symantec/Broadcom, Trend Micro, McAfee e Fireeye, pode te ajudar a encontrar a solução ideal para seu ambiente, focando sempre na transparência para entregar uma solução sob medida.
Agora que já conhece o básico de um EDR, que tal entrar em contato para conhecer detalhes do nosso portfólio de produtos e serviços? Estaremos à disposição para atendê-los!
