A tecnologia EDR – Endpoint Detection and Response é também conhecida como deteção e resposta de ameaça de terminal. Trata-se de uma solução integrada de segurança de endpoint (terminal, em português) que combina a monitorização contínua, em tempo real, e recolhe dados de endpoint com resposta automatizada, baseada em regras e recursos de análise.
Qual a necessidade de criar uma solução EDR?
Estudos indicam que a maior parte dos ataques cibernéticos bem-sucedidos são originados a partir de terminais. É normal os terminais estarem instalados com soluções como antivírus, anti-malware, firewalls e outras formas tradicionais de segurança de endpoint. Estas respostas de segurança têm evoluído ao longo do tempo, mas ainda estão muito limitadas à deteção de ameaças de endpoint já conhecidas.
Este tipo de solução é menos eficaz quando é necessário, por exemplo, interromper ataques de phishing que induzam as vítimas a divulgar dados confidenciais ou a visitar sites falsos que contêm códigos maliciosos.
As ferramentas tradicionais de segurança de endpoint ainda não conseguem detetar ou neutralizar ameaças mais avançadas. Isso permite que os hackers se instalem na rede o tempo necessário para reunir dados e identificar vulnerabilidades, antes de lançarem um ataque em larga escala, como o caso do ransomware (ataque malicioso que bloqueia o acesso aos dados do seu computador e exige um pagamento para recuperá-lo).
A EDR reúne os sistemas de segurança emergentes que detetam e investigam atividades suspeitas em hosts e endpoints. Com um grau elevado de automação, permitem às equipas de segurança identificar e responder de forma rápida às ameaças em curso.
O trabalho da EDR começa onde as soluções de segurança tradicionais terminam. A análise de deteção de ameaças e recursos automatizada pode identificar e travar potenciais perigos no perímetro da rede, sem a intervenção humana, antes de causarem danos sérios.
O que distingue as soluções EDR das restantes?
As soluções EDR são diferenciadoras. Fazem o registo das atividades nos terminais e fornecem à equipa responsável pela cibersegurança a visibilidade necessária para descobrir eventuais incidentes, que de outra forma seriam impercetíveis. Este tipo de ferramenta oferece recursos avançados de deteção e resposta a ameaças, incluindo pesquisa de dados de incidentes, alertas, validação de atividades suspeitas e contenção de atividades maliciosas.
Quais as vantagens da aquisição de uma EDR?
São inúmeros os benefícios que traz uma solução EDR. Entre os quais se destacam a maior visibilidade da atividade dos endpoints, a adoção de recursos de deteção aprimorados, menor tempo de resposta e análise forense elaborada. Para implementar uma solução como esta é necessário que estipule os objetivos, escolha a solução que melhor se adapta à realidade da sua organização, configure as regras de deteção e defina os respetivos alertas.
Em que situações deve ser ponderada a instalação de EDR?
- Aumento de terminais conectados às redes;
- Probabilidade de infiltração de terceiros na rede e acesso a informação de forma indevida;
- Estrutura protegida apenas por normas de prevenção – muitas organizações carecem da visibilidade necessária para monitorizar efetivamente os endpoints e, em caso de incidente, a sua correção pode tornar-se demorada e dispendiosa;
- Maior nível de sofisticação dos ataques cibernéticos, que geralmente se concentram nos endpoints como alvos mais fáceis para se infiltrar numa rede.
Os ataques informáticos estão cada vez mais sofisticados e a EDR tornou-se crucial na segurança cibernética moderna. Se considera este conteúdo útil para o seu negócio, visite o nosso blogue. A nossa equipa de especialistas está sempre atenta a novos temas de interesse para empresas e empresários.
