As organizações que buscam mais inteligência e automação em suas defesas de segurança devem incluir soluções de resposta e detecção para endpoint, impedindo novas ameaças e protegendo bens acessíveis por endpoints.
A justificativa para adotar a Segurança de Endpoint Inteligente
Um endpoint inteligente é aquele altamente automatizado para detectar problemas de segurança de forma mais rápida e precisa, responder imediatamente e corrigir problemas de forma completa. Quando desenvolvidos corretamente, endpoints inteligentes oferecem informações e forenses valiosos sobre os comportamentos das ameaças.
Para deter as ameaças cada vez mais sofisticadas, muitas organizações de segurança e TI têm se concentrado em detecção e resposta de endpoints (EDR). O desenvolvimento de endpoints verdadeiramente inteligentes exige uma estrutura de segurança abrangente e de fácil gerenciamento, que detecte e responda a ameaças de forma automática antes que danos sejam causados. Se um endpoint inteligente for o seu objetivo estratégico, integração e flexibilidade significativas são aspectos importantes a se considerar em uma solução de EDR.
Por que a EDR é tão importante?
Além de interromper o grande volume de ameaças, a detecção e a proteção contra ameaças avançadas se tornou essencial para manter endpoints confiáveis. A segurança de endpoint complementa as medidas de segurança centralizadas com proteção adicional no ponto de entrada de diversas ameaças, além de bloquear previamente as tentativas de invasão.
Outra dura realidade é que as ameaças avançadas estão, por natureza, atacando mais de um endpoint por vez para obter acesso a dados e sistemas importantes, por meio de múltiplos pontos de apoio. É cada vez mais raro que uma violação de segurança esteja contida dentro de um único sistema ou aplicativo, em grande parte porque muitos ataques são bem sucedidos em evitar produtos pontuais de segurança.
Além disso, os responsáveis pela segurança são pressionados ao seu limite, tentando ser especialistas em ameaças emergentes e responder a tempo para impedir violações de dados iminentes. As ameaças evoluem, exigindo que administradores aprendam e também evoluam. Informações significativas e automação são necessárias para manter os profissionais de segurança informados e em constante evolução.
Isso significa uma mudança na ênfase, de tentar impedir ataques e identificá-los com precisão e rapidez, sinalizando fortemente quando eles ocorrerem. É essencial a identificação de quais endpoints estão sendo atacados, quais dados estão vulneráveis e quão rápido podem ser corrigidos antes que grandes danos ocorram..
É aí que entra a EDR. De acordo com o Gartner¹, o mercado de EDR é definido por soluções que possuem os quatro recursos primários abaixo:
1. Detectar incidentes de segurança.
2. Conter o incidente no endpoint, para que o tráfego da rede ou a execução de processos possa ser controlada remotamente.
3. Investigar incidentes de segurança.
4. Corrigir endpoints para um estado antes da infecção.
Juntos, esses recursos auxiliam as organizações que muito dependeram dos processos manuais a lidar com as ameaças de forma mais inteligente, eficiente e oportuna. Em 2018, 80% das plataformas de proteção de endpoint dos líderes e visionários incluirão recursos de detecção e resposta de endpoint – crescimento de 45% em relação a 2016².
A EDR está relacionada a velocidade e agilidade; ajuda organizações a reduzirem as janelas de exposição a ameaças, de semanas a dias, para apenas minutos. A melhor EDR examina todo ruído produzido pela maioria das defesas de segurança, o que normalmente é demonstrado com números desordenados de alertas ou aumento de incidentes falsos positivos. Atualmente, com o custo de corrigir uma violação de dados superior a dezenas de milhares de dólares por dia, a pressão intensificou-se na identificação de problemas com maior confiabilidade e velocidade, na correção imediata desses problemas e na proteção contra outras incursões de endpoint e exfiltração de dados.
No fim do dia, endpoints inteligentes precisam ser capazes de identificar o problema, evitá-lo e limitar o dano quando as ameaças de fato atingem. Uma coisa é dizer que você tem um problema; outra totalmente diferente é corrigir o problema imediatamente ou impedi-lo completamente.
O que procurar em uma solução de EDR
Historicamente, o foco das soluções de EDR tem sido nas defesas de primeiro nível – principalmente detecção e investigação. Obviamente, essas etapas são importantes, mas rapidamente estão se tornando nada mais do que uma mera obrigação. À medida que as ameaças continuam aumentando e tornando-se mais sofisticadas, as organizações irão precisar buscar soluções que sejam proativas na prevenção e na correção de ataques de forma rápida e completa, caso esses ataques consigam ultrapassar as barreiras.
Existem dois principais atributos de design que você deve procurar como parte da funcionalidade de EDR: integração com base em arquitetura comum e gerenciamento centralizado. Como as organizações já têm numerosas soluções de segurança como antivírus, IPS, gateways e firewalls em suas infraestruturas de segurança, a melhor abordagem é ter uma arquitetura integrada comum, que permita que essas e outras soluções de segurança trabalhem em conjunto para compartilhar informações e responder de forma mais rápida. O gerenciamento através de uma única janela melhora a visibilidade, reduz a complexidade e impede que existam lacunas e sobreposições de soluções diferentes.
Alguns dos pontos de integração e recursos de EDR específicos, que você deve procurar como parte de uma solução de endpoint inteligente, são:
• Acesso e integração a um ambiente de inteligência contra ameaças que suporte detecção de ameaças a endpoints e compartilhamento de informações em tempo real
• Conexão abrangente a um web gateway seguro, que impede a maioria das entregas de malwares conhecidos e de dia zero, onde quer que o endpoint vá – mesmo fora da rede.
• Integração contínua com segurança de endpoint tradicional (AV, HPS, Firewall, HIPS)
• Gerenciamento centralizado para maior visibilidade, monitoramento e rápido acesso a eventos e respostas automatizadas.
• Recursos de caça e automação, que acelerem radicalmente a habilidade de detectar e remover ameaças avançadas
Conclusão
Nenhum profissional de segurança quer reconhecer que seus sistemas não conseguem parar todos os ataques avançados atuais e do futuro. Infelizmente, a realidade é que a velocidade com que as táticas de ameaça estão evoluindo faz com que sejam necessárias, para a maioria das organizações, grandes atualizações e modernizações de suas defesas de endpoint. Tornar uma nova geração de endpoints mais adaptados e inteligentes é uma grande prioridade e a EDR está no núcleo desse esforço.
Sem uma segurança de endpoint mais rápida, mais confiável e mais eficiente, os profissionais de segurança e TI levarão mais tempo apagando incêndios e correndo atrás da próxima novidade de ameaças avançadas, muitas vezes muito tempo depois de o dano estar feito. A EDR auxilia a rebalancear a equação em favor de defesas integradas, colaborativas e automatizadas que detectam e agem rapidamente para reduzir a janela de tempo que ameaças novas e emergentes têm para causar estragos. Também oferece mais informações sobre o comportamento, as origens e os métodos utilizados pelos atacantes, para que os administradores possam aproveitar esses detalhes forenses para blindar suas políticas e educar os usuários.
A Intel Security há muito tempo tem sido líder no mercado de segurança de endpoint; suas soluções são desenvolvidas em volta de conceitos-chave de integração, automação e gerenciamento centralizado. A empresa oferece uma grande variedade de produtos inteligentes de segurança de endpoint, incluindo McAfee Endpoint Security 10 e McAfee Active Response. O McAfee Endpoint Security 10 aproveita tecnologias que se comunicam entre si e aprendem umas com as outras em tempo real, para combater ameaças avançadas e entregar informações com perícia de ameaças utilizável. Também é construído através de uma estrutura projetada com o futuro em mente e é extensível, para que ainda mais suas soluções de endpoint possam ser gerenciadas de forma central à medida que sua empresa cresce.
O McAfee Endpoint Security 10 conta com conexão nativa ao McAfee Web Gateway local e da nuvem. Isso ajuda as equipes de segurança a mudar da correção constante para uma defesa estratégica, impedindo que a vasta maioria dos malwares conhecidos e de dia zero alcancem sistemas de endpoint.
Um dos principais elementos do McAfee Active Response é a sua capacidade de integrar-se perfeitamente com antivírus, gateway e sistema de detecção de intrusões. Isso não só fortalece o investimento que as organizações já fizeram, mas também facilita o compartilhamento de inteligência de segurança com base na atividade em diferentes locais de endpoint e conhecimentos práticos da troca de inteligência de ameaças da empresa.
Essas soluções são gerenciadas de forma central pelo McAfee ePolicy Orchestrator, um console de gerenciamento total. Além disso, o grupo Foundstone Services da organização leva a proteção de endpoint e a resposta a incidentes a outro nível, combinando a correção com medidas preventivas inovadoras.
A Infomach é uma das mais importantes integradoras de soluções de segurança no Brasil, sendo responsável pela proteção de mais de 100.000 usuários corporativos de empresas e governos.
Clique no banner e solicite uma proposta personalizada para o seu negócio!