EDR e XDR: A Evolução da Segurança de Endpoint

EDR e XDR: A Evolução da Segurança de Endpoint. Como o conceito de EDR evoluir para se tornar mais amplo e eficaz.

O CCSI publicou um artigo, que reproduzimos aqui para os leitores do nosso Blog Minuto da Segurança, que ajuda a entender a tendência mais importante na segurança de endpoint hoje – a transição da detecção e resposta de endpoint (EDR), até recentemente o estado da arte em proteção corporativa para endpoints, para detecção e resposta estendidas ( XDR ), que é construído sobre o EDR, mas oferece um novo paradigma em proteção holística para terminais, redes e cargas de trabalho corporativas.

O que é EDR?

Endpoint Detection and Response (EDR) é uma solução de segurança que monitora e registra dados de endpoint em tempo real, detecta comportamento suspeito e permite que analistas de segurança obtenham acesso direto aos endpoints para responder às ameaças. As soluções de EDR podem armazenar, aprimorar e consolidar dados de endpoint para permitir alertas automatizados e análise manual.

A maioria das soluções de EDR tem quatro funções principais:

  • Detecção de eventos – a capacidade de rastrear anomalias de endpoint e detectar atividades maliciosas, analisando toda a atividade no endpoint, em vez de apenas verificar se há malware.
  • Contenção de eventos – quando ocorre um incidente de segurança, as soluções de EDR devem ser capazes de impedir a propagação da ameaça pela rede, bloqueando e isolando terminais.
  • Investigação de eventos – o EDR permite que os analistas realizem uma investigação forense abrangente de incidentes, criando um banco de dados consolidado de dados de segurança de endpoint.
  • Resposta – uma função fundamental do EDR é permitir que os analistas respondam imediatamente quando ocorre um incidente. Isso envolve a triagem, a identificação da ameaça e a execução de ações como limpar e recriar a imagem do terminal.

Um processo EDR típico para identificar e responder a um incidente envolve:

  1. Monitoramento de endpoint – coleta contínua de dados de todos os dispositivos endpoint.
  2. Análise comportamental – as anormalidades são detectadas por meio da análise de tráfego. A solução EDR estabelece padrões de comportamento para cada dispositivo, detecta atividades que se desviam dos padrões normais e identifica atividades potencialmente maliciosas.
  3. Colocar endpoints afetados em quarentena – após a detecção de atividade maliciosa, o EDR isola automaticamente os endpoints e processos suspeitos no dispositivo são interrompidos.
  4. Rastrear o ponto de entrada original – a solução EDR reúne dados sobre os possíveis pontos de entrada para um ataque e fornece um contexto mais amplo, além da atividade do terminal atual. Isso pode ajudar os analistas a identificar e responder à ameaça em outros terminais. 
  5. Fornecer mais dados sobre o incidente – dá aos analistas tudo o que precisam para investigar e resolver totalmente o caso.

Limitações de EDR

Embora o EDR seja extremamente valioso, ele apresenta vários desafios para as organizações:

  • EDR depende muito de agentes de coleta de dados, o que cria vários problemas. Os agentes precisam ser implantados em todos os terminais, o que é complexo e sujeito a erros em um ambiente corporativo. Também existe a possibilidade de que atores mal-intencionados assumam o controle dos agentes, contaminem dados de segurança no sistema EDR e até mesmo usem agentes para comprometer o endpoint. 
  • É difícil ou impossível implantar agentes EDR em muitos dispositivos IoT. Esses dispositivos geralmente não são seguros e são extremamente vulneráveis ​​a ataques. 
  • O EDR adiciona mais uma ferramenta à já inchada pilha de ferramentas usada nos modernos Security Operations Center ( SOC ). Isso adiciona complexidade e sobrecarga para analistas de segurança, que já estão sobrecarregados.
  • O EDR oferece uma visão estreita, porque monitora apenas terminais. Ele não pode combinar dados de endpoint com eventos de segurança que ocorrem no nível da rede ou dados de outras ferramentas de segurança, que podem ser extremamente relevantes para responder a um incidente.
  • Os sistemas operacionais modernos fornecem ferramentas de proteção de endpoint bastante avançadas, como o Microsoft Defender Advanced Threat Protection, que oferece recursos aproximadamente equivalentes a algumas ferramentas comerciais de EDR. Isso torna menos valioso investir e implantar uma solução EDR completa.

XDR: O Futuro do EDR

Um artigo da Lockheed Martin publicado em 2011 descreveu o conceito da kill chain. O conceito é simples – em vez de configurar controles de segurança e presumir que os malfeitores os encontrarão, a organização pode analisar todas as etapas necessárias para que um invasor seja bem-sucedido em uma violação de segurança. 

No contexto de um endpoint, o objetivo do invasor é normalmente obter acesso a um endpoint, comprometê-lo, usá-lo para realizar movimento lateral e acessar outros ativos mais confidenciais e, finalmente, exfiltrar os dados. O modelo de Kill Chain  incentiva a organização a colocar controles de segurança em todos os estágios da cadeia de destruição, garantindo que os invasores atinjam um obstáculo em cada etapa de sua campanha.

Nos últimos anos, o EDR tornou-se mais uma ferramenta de defesa cibernética em uma série de defesas. As organizações o implantaram para que, se e quando um invasor acessasse um endpoint, ele pudesse registrar sua atividade e interrompê-lo. Mas isso perde a visão mais ampla de toda a Kill Chain, que vai muito além dos terminais.

XDR estende o conceito de EDR. Em vez de apenas registrar o que acontece em um terminal, permite que a organização registre toda a Kill Chain. Ele pode fornecer visibilidade completa em todas as fases do ataque, permitindo que a organização pare automaticamente o invasor ou inicie uma investigação e resposta manuais em cada estágio.

Com o XDR, as equipes de segurança podem monitorar qualquer mudança no ambiente, independentemente de sua origem. O ambiente de TI está crescendo em complexidade, com funcionários usando smartphones e computadores pessoais, uma enorme proliferação de infraestrutura e serviços baseados em nuvem e sistemas baseados em contêiner que lançam enormes clusters distribuídos, nos quais cada contêiner individual pode ser comprometido. O XDR torna possível detectar atividades suspeitas em qualquer um desses locais e “conectar os pontos” a outras atividades no nível da rede ou do terminal.

Veja como a XDR pode melhorar a eficiência operacional das equipes de segurança e, por extensão, ajudá-las a identificar e responder a incidentes com mais rapidez e eficácia:

  • A XDR implementa o modelo kill chain no complexo ambiente de TI atual, indo além dos endpoints tradicionais, para combinar dados de todas as fontes de dados possíveis. 
  • XDR é uma plataforma unificada, em vez de uma mistura de ferramentas que precisam ser integradas e operadas separadamente. Isso torna mais fácil implantar, atualizar, dimensionar e gerenciar.
  • O XDR reduz a necessidade de treinamento aprofundado e certificação adicional para equipes de segurança, porque consolida vários recursos de segurança em uma interface e fluxo de trabalho unificados.
  • O XDR cria uma visão ampla que permite que toda a organização de segurança identifique os agentes mal-intencionados em tempo real, em várias camadas do ambiente de TI. Ele permite que eles respondam de maneira ágil ao estágio atual do invasor na kill chain. Ao contrário do EDR, os analistas podem responder a ameaças antes que o invasor alcance um endpoint ou depois de comprometer o endpoint e seguir em frente.

Conclusão

As ferramentas EDR ajudam a identificar e responder a ameaças em endpoints, mas são limitadas por causa de sua visão estreita do ambiente de segurança. O XDR pode levar o conceito de EDR um passo adiante, dando às organizações uma visão unificada dos eventos de segurança em várias camadas nos ambientes de TI e respondendo aos invasores onde quer que estejam, em qualquer estágio da cadeia de destruição. O XDR também apresenta eficiência operacional, porque não é mais uma ferramenta para os analistas integrarem e gerenciarem separadamente, mas uma plataforma unificada que consolida a atividade de investigação e resposta em uma interface.

Fonte: CCSI

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Hackers éticos ganharam milhões em programas em recompensa
  2. Mensagem secreta ou invasão do Comando Estratégico dos EUA?
  3. Lei que criminaliza o Stalking é sancionada pelo Presidente Jair Bolsonaro
  4. FBI e CISA alertam sobre APT explorando falha no Fortinet
  5. Fabricante do Android Gigaset injeta malware em celulares
  6. Microsoft lança patches 4 falhas adicionais do Exchange

Deixe sua opinião!