A detecção e resposta de endpoint (EDR), também conhecida como detecção e resposta a ameaças de endpoint (ETDR), é uma solução integrada de segurança de endpoint que combina o monitoramento contínuo em tempo real e a coleta de dados de endpoint com recursos automatizados de resposta e análise baseados em regras. O termo foi sugerido por Anton Chuvakin, do Gartner, para descrever sistemas de segurança emergentes que detectam e investigam atividades suspeitas em hosts e endpoints, empregando um alto grau de automação para permitir que as equipes de segurança identifiquem e respondam rapidamente a ameaças.
As principais funções de um sistema de segurança de EDR são:
A adoção do EDR deverá aumentar significativamente nos próximos anos. De acordo com o relatório Endpoint Detection and Response - Global Market Outlook (2017-2026) da Stratistics MRC, as vendas de soluções de EDR, no local e baseadas na nuvem, devem chegar a US$ 7,27 bilhões até 2026, com uma taxa de crescimento anual de quase 26%.
Um dos fatores que impulsionam o aumento da adoção de EDR é o aumento no número de endpoints conectados às redes. Outro fator importante é o aumento da sofisticação dos ataques cibernéticos, que geralmente se concentram em endpoints como alvos mais fáceis para a infiltração de uma rede.
A segurança do EDR fornece um hub integrado para coleta, correlação e análise de dados de endpoint, bem como para coordenar alertas e respostas a ameaças imediatas. As ferramentas de EDR têm três componentes básicos:
Agentes de coleta de dados de endpoint. Os agentes de software realizam o monitoramento de endpoint e coletam dados, como processos, conexões, volume de atividades e transferências de dados, para um banco de dados central.
Resposta automatizada. As regras pré-configuradas em uma solução de EDR podem reconhecer quando os dados de entrada indicam um tipo conhecido de violação de segurança e disparam uma resposta automática, como para desconectar o usuário final ou enviar um alerta a um membro da equipe.
Análise geral e forense. An endpoint detection and response system may incorporate both real-time analytics, for rapid diagnosis of threats that do not quite fit the pre-configured rules, and forensics tools for threat hunting or conducting a post-mortem analysis of an attack.
Novos recursos e serviços estão expandindo a capacidade das soluções de EDR de detectar e investigar ameaças.
Por exemplo, serviços de terceiros de inteligência sobre ameaças, como o Trellix Global Threat Intelligence, aumentam a eficácia das soluções de segurança de endpoint. Os serviços de inteligência sobre ameaças fornecem a uma organização um conjunto global de informações sobre as ameaças atuais e suas características. Essa inteligência coletiva ajuda a aumentar a capacidade de um EDR de identificar explorações, especialmente ataques de várias camadas e de dia zero. Muitos fornecedores de segurança de EDR oferecem assinaturas de inteligência sobre ameaças como parte da solução de segurança de endpoint.
Além disso, os novos recursos de investigação em algumas soluções de EDR podem aproveitar a IA e a autoaprendizagem para automatizar as etapas de um processo de investigação. Esses novos recursos podem aprender os comportamentos básicos de uma organização e usar essas informações, juntamente com uma variedade de outras fontes de inteligência sobre ameaças, para interpretar as descobertas.
Outro tipo de inteligência sobre ameaças é o projeto Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) em andamento no MITRE, um grupo de pesquisa sem fins lucrativos que trabalha com o governo dos EUA. O ATT&CK é uma base de conhecimento e uma estrutura criada com base no estudo de milhões de ataques cibernéticos do mundo real.
O ATT&CK categoriza as ameaças cibernéticas de acordo com vários fatores, como as táticas usadas para se infiltrar em um sistema de TI, o tipo de vulnerabilidade do sistema explorada, as ferramentas de malware usadas e os grupos criminosos associados ao ataque. O foco do trabalho é identificar padrões e características que permanecem inalterados, independentemente de pequenas alterações em uma exploração. Detalhes como endereços IP, chaves de registro e números de domínio podem mudar com frequência. No entanto, os métodos do invasor, ou "modus operandi", geralmente permanecem os mesmos. Um EDR pode usar esses comportamentos comuns para identificar ameaças que podem ter sido alteradas de outras maneiras.
Como os profissionais de segurança de TI enfrentam ameaças cibernéticas cada vez mais complexas, bem como uma maior diversidade no número e nos tipos de endpoints que acessam a rede, eles precisam de mais ajuda da análise e resposta automatizadas fornecidas pelas soluções de detecção e resposta de endpoint.