EDR e XDR: Onde eles se encaixam na minha estratégia de segurança?

Por muitos anos proteger o endpoint esteve entre as principais prioridades da segurança da informação, pois uma vez que esse ativo fosse comprometido, poderia gerar prejuízos milionários para a organização. Entretanto, com o aumento da complexidade das ameaças, ter uma solução tradicional para proteção do endpoint como o EPP (Endpoint Protection Platform) deixou de ser suficiente. As novas abordagens de cibersegurança assumem que uma empresa será invadida e que a diferença está, não mais na eficiência da prevenção, mas no tempo em que essa invasão é identificada.

O relatório The 2018 State of Endpoint Security Risk, do Ponemon Institute, aponta que os custos de um ataque cibernético aumentaram de U$ 5mi para U$ 7.1mi, com custo médio de U$ 440 por endpoint comprometido; e que o tempo médio entre a intrusão e a detecção foi de 102 dias. Essas estatísticas direcionam para a necessidade de mudança na abordagem de proteção para os endpoints e para a infraestrutura como um todo.

Numa estratégia de defesa, se os defensores implementam contramedidas mais rápido do que o atacante evolui, esses ofensores precisarão dispender de mais recursos para obter êxito. Não basta caçar fantasmas, é preciso responder em tempo hábil.

Quando um ataque ocorre, é preciso identificar o que aconteceu, por onde ele entrou, quais os computadores afetados e qual a causa raiz. Para ajudar nessa tarefa surgiu o conceito de EDR (Endpoint Detection and Response). Em 2013, o pesquisador do Gartner, Anton Chivakin, definiu EDR como ferramentas que focam na detecção e investigação de atividades suspeitas (ou vestígios de tais), além de outros problemas nos endpoints. Alguns fabricantes têm implementado funções de EDR dentro de uma solução avançada de antimalware (EPP), mas cabe ressaltar que esses são conceitos distintos. Para que uma solução seja caracterizada como um EDR, ela deve ter basicamente os seguintes recursos:

  • Monitoramento: capacidade de acompanhamento contínuo das atividades executadas no endpoint;
  • Registro de eventos: toda atividade executada no endpoint deve ser registrada e armazenada em local centralizado para posterior análise e correlação;
  • Análise: eventos armazenados são analisados em busca de evidências de atividades suspeitas ou maliciosas, gerando inteligência para a tomada de decisão e mitigação.

Se por um lado as soluções de EDR trouxeram maior visibilidade e rastreabilidade dos incidentes, por outro, ela exigiu mudança de postura das organizações. Aquelas que adquiriram uma solução de EDR tinham o objetivo de identificar os ataques de forma prematura e bloqueá-los antes que o estrago fosse maior. Porém, de acordo com o Ponemon Institute, somente 46% delas estão utilizando a solução com todos os recursos e, levou, em média 3 meses para que ela fosse totalmente implantada.

Adquirir e implantar uma solução de EDR pode trazer outras dificuldades:

  • Volume muito grande de logs e falso-positivos: Quando uma solução de segurança começa a gerar alertas desnecessários, ela se torna apenas um adereço sem a devida atenção. É preciso usar configurações específicas para aprimorar as detecções;
  • Equipe não capacitada para a tarefa de análise e investigação;
  • Falta de integração entre as soluções: Adquirir centenas de soluções de segurança não necessariamente tornam sua rede mais segura. É preciso fazer com que elas se conversem, caso contrário elas se tornarão fontes de despejo de dados sem correlação;
  • Falta de visibilidade além do Endpoint: As soluções de EDR coletam os dados dos eventos daquele endpoint, mas tem dificuldade em correlacionar com outros componentes da infraestrutura, principalmente quando estes não são gerenciados ou estão em nuvem.

Para gerar essa vantagem frente aos atacantes e sobrepor as desvantagens do EDR, surgiu o conceito do XDR. Nesse termo, o D significa Detecção, o R Resposta e o grande diferencial está no X, que significa qualquer fonte de dados, não somente o Endpoint.

Essas soluções trazem uma visão não apenas do endpoint, mas de todos os elementos do ataque, extrapolando para correlação com outros endpoints, interpretando dados de outras origens para dar uma inteligência maior na análise dos incidentes. Endpoints gerenciados e não-gerenciados, smartphones, tablets, câmeras, impressoras, serviços de nuvem (AWS, Office365, etc) tudo que estiver conectado à sua infraestrutura (on-premise, em nuvem ou híbrida) pode ser fonte de informações e inteligência para um XDR.

Alguns analistas de mercado pregam que o EDR está morto e que o XDR é o futuro para gerar uma vantagem competitiva frente aos atacantes bem preparados. Antes de escolher uma solução de EDR ou XDR, consulte os especialistas para identificar o nível de maturidade da sua organização, a capacitação da sua equipe para lidar com mais essa camada de proteção e, por fim, crie um plano de implementação levando em conta cada uma das especificidades e complexidades desse tipo de solução.

Sem resposta

Deixe um comentário

Seu endereço de email não será publicado.