0
0
Como o EPDR é o novo padrão dourado inovador. Por que sua organização deve adotar uma abordagem EPDR para segurança cibernética.
A cibersegurança evolui com os tempos e sempre precisa ficar um passo à frente de grupos maliciosos que buscam prejudicar organizações e indivíduos por vários benefícios. A era da proteção simples (como o Antivírus tradicional) já passou há muito tempo. Em seu lugar, hoje, temos o E-PDR (Endpoint Prevention, Detection and Response) como o novo padrão dourado da terceira onda de segurança cibernética.
Neste guia, vou levá-lo através de uma breve história de antigos conceitos EDR e ajudá-lo a entender o que está atualmente englobado pelo guarda-chuva E-PDR. Depois, investigaremos como as organizações devem implementar o E-PDR com sucesso em seus próprios sistemas de TI e como isso deve ir além de um certo conjunto de tecnologias e soluções.
Como você verá à medida que avançamos, o Endpoint Prevention, Detection and Response (E-PDR) é mais do que um conjunto de soluções de TI, é uma abordagem para a segurança cibernética e uma filosofia em si. Eu vou ajudá-lo a explorar seus inquilinos e encontrar as melhores maneiras de aplicá-los ao seu cenário particular. Aqui vamos nós!
A. O que é EPDR (Endpoint Prevention, Detection and Response)?
Então, o que é E-PDR,tanto em termos leigos quanto em termos mais avançados?
O que ele faz, o que você precisa, que tipos de ferramentas ele contém e como aplicá-lo?
Aqui estão respostas para tudo isso e muito mais.
Mas primeiro, vamos ver onde as raízes do E-PDR começaram.
1. O velho padrão EDR
E-PDR é provavelmente um novo termo para seus ouvidos (e olhos) agora, mas se você está livremente ciente das principais tendências de cibersegurança da década, o EDR deve soar familiar.
O termo EDR surgiu pela primeira vez quando o Dr. Anton Chuvakin, da equipe de especialistas em segurança de TI do Gartner, o cunhou como “detecção e respostade ameaças de ponto final ” para” ferramentas focadas principalmente em detectar e investigar atividades suspeitas (e vestígios de tais) outros problemas em hosts/endpoints“. O acrônimo para esta nova categoria de ferramentas definida por ele foi E-TDR (Endpoint Threat Detection and Response), ou apenas EDR para abreviar.
Até então, o único termo de segurança comparável era o de EPP (Endpoint Protection Platform),mas os EPPs eram severamente limitados em escopo e capacidade em comparação com a próxima geração de soluções EDR. Normalmente, um EPP era composto por um Antivírus, um firewall e uma ferramenta de criptografia de dados. Eles eram basicamente um antivírus mais chique do que a maioria, apenas eficaz contra ameaças conhecidas.
Comparado a um EPP, o EDR foi um divisor de águas: era eficaz contra ameaças conhecidas e desconhecidas também, já que estava adicionando mais camadas ao mix de cibersegurança, como a proteção DNS.
Em pouco tempo desde que o conceito foi lançado, considerando que os atores de ameaças também combinaram suas técnicas de ataque para tornar o EDR necessário, as suítes EDR tornaram-se a melhor oferta de segurança de todos os gigantes de cibersegurança. Cada uma das suítes EDR que se tornaram disponíveis no mercado era ligeiramente diferente, dependendo do provedor. Ainda assim, eles tinham uma coisa em comum, como implicado pelo próprio nome de EDR (Endpoint Detection and Response): cada um tentou cobrir as funcionalidades básicas de detectar e responder a ameaças no nível de ponto final.
Você pode saber mais sobre o que o EDR engloba no guia de Bianca no EDR. Pelo bem da história, vamos apenas dizer que o EDR era uma revolução da segurança cibernética em sua época, em uma época em que o mundo estava vindo para enfrentar o fato de que soluções reativas tradicionais como o Antivirus não são mais suficientes.
2. Por que a prevenção é fundamental e deve ser adicionada a uma configuração EDR
Mas o simples EDR, da maneira como foi inicialmente concebido, não pode acompanhar nem a inovação que ocorre no outro campo, o acampamento dos operadores de malware. À medida que a ameaça evolui, a prevenção precisa tomar um primeiro lugar na matriz de funcionalidades edr cornerstone.
Desde o nosso principal produto, o inovador motor de filtragem de tráfego bidirecional, DarkLayer GUARD™, tornou a prevenção nossa principal abordagem para a segurança cibernética desde o início de nossa jornada, fomos naturalmente a primeira empresa a assumir a liderança em colocar a Prevenção em uma tecnologia E-PDR aprimorada.
Se a arquitetura de segurança de uma organização está apenas focando em detectar ameaças e responder a elas (portanto, apenas no D & R do EDR), não é mais suficiente. Quando um novo tipo de ameaça ocorre (e os operadores de malware estão ficando muito criativos), o EDR simples não vai mais cortá-lo. A prevenção é a única garantia de garantir que sua organização não faça as próximas manchetes do tipo errado.
Assim, o E-PDR é a nova geração do EDR que o mundo precisa para se manter a salvo das mais recentes ameaças avançadas e persistentes.
3. The New Threatscape and Why EPDR Is the New Golden Standard
De certa forma, como eu continuo dizendo, a segurança cibernética tende a ser um jogo perpétuo de gato e rato, com papéis invertidos entre os defensores e os atacantes. Os defensores (provedores de cibersegurança) encontram uma maneira de bloquear todos os ataques recebidos, de modo que os atacantes (operadores de malware ou hackers, como são mais frequentemente chamados) precisam encontrar novas maneiras de alcançar seus alvos.
Nos últimos 2-3 anos, as técnicas de pesquisa e inovação dos atacantes tomaram uma curva ascendente sem precedentes. Os ataques de TI estão se profissionalizando cada vez mais. Ransomware-as-a-Service é apenas um exemplo da tendência. Com tanto a ganhar com alvos corporativos, a indústria de ataques cibernéticos maliciosos está recebendo enormes investimentos em inovação também.
Depois que os atacantes inovam, assim como os defensores, para ficar à frente da curva. Alguns atacantes de cibersegurança têm sucesso e outros ficam para trás, ou se tornando obsoletos ou simplesmente falíveis. Tudo depende de quanto eles fazem de P & D uma prioridade. Na Heimdal Security™, a pesquisa e o desenvolvimento sempre foram nosso principal motor para nos impulsionar, a propósito.
O E-PDR é o exemplo mais recente desse tipo de inovação, mas neste caso, o sistema de EDR foi aprimorado com o componente de Prevenção essencial, ficando permanentemente à frente dos operadores de malware. De certa forma, epdr está quebrando o círculo, podemos dizer. Em um campo como cibersegurança, onde não pode haver garantias, a Prevenção, Detecção e Resposta do Endpoint é o mais próximo que todos podemos chegar para garantir que os hackers não possam nos pegar de surpresa.
4. Proteção ou Prevenção em E-PDR?
Apesar de usarmos o termo E-PDR pela primeira vez (em nossa página de tecnologia EDR),notamos que, ultimamente, ele começou a surgir online. Não poderíamos estar mais entusiasmados que ele está pegando, já que toda a comunidade cibernética poderia se beneficiar disso se tornando o novo padrão.
Mas, em alguns casos, notamos outros analistas e especialistas em segurança cibernética usando o E-PDR como um acrônimo para Endpoint Protection, Detection and Response. Se você já viu isso em uma oferta de cibersegurança, note que a suíte não é tão avançada quanto um EPDR com Prevenção em sua gama de soluções. A proteção é um componente reativo e mais básico, semelhante a um mecanismo antivírus tradicional. O tempo para esse tipo de proteção já passou.
5. Outros termos relacionados ao E-PDR
Existem outros termos alternativos sendo usados em vez de EDR, mas eles realmente não abrangem tanto quanto o padrão E-PDR. Caso os note em sua pesquisa, aqui está um aviso sobre o que eles significam:
- XDR significa Detecção e Resposta Estendida – é semelhante ao antigo padrão EDR, mas apenas ligeiramente aprimorado; não tão eficaz quanto o E-PDR, porém;
- MDR significa Detecção e Resposta Gerenciada – esta é outra categoria de serviços, diferente tanto do EDR quanto do E-PDR, e que envolve a assistência prática de especialistas humanos. É também algo que oferecemos em nosso portfólio de serviços, mas não confundir com a suíte E-PDR;
- EPP significa Endpoint Protection Platform – como explicado acima ao cobrir a história do conceito EDR, às vezes era usado de forma intercambiável com EDR, mas na verdade se refere a uma plataforma mais simples, contendo principalmente soluções reativas como o Antivirus.
B. Como implementar o E-PDR em sua organização
O EPDR é a melhor proteção em que você pode investir para a proteção proativa contínua e otimização de seus sistemas e operações de TI. Mas, embora isso seja fácil de dizer e entender em um nível teórico, muitos administradores de TI e CISOs ainda estão encontrando dificuldades para discernir o melhor caminho a seguir para aplicar o E-PDR no nível do solo.
Aqui está tudo o que você precisa saber sobre trazer seus sistemas de TI para um verdadeiro padrão de segurança E-PDR.
1. Escolher o E-PDR certo (Suíte de Prevenção, Detecção e Resposta de Ponto Final)
Há muitas plataformas legítimas e muitas e-PDR por aí. Aqui está o que prestar atenção quando você está examinando-os.
- Interatividade cruzada: O Endpoint Prevention, Detection and Response Suite possui componentes interinterativos ou é uma coleção estática de ferramentas?
- Verdadeira prevenção, não apenas proteção: Como mencionado acima, a plataforma E-PDR que você escolherá precisa ter a Prevenção como uma funcionalidade chave (o que o P deve defender), não apenas proteção;
- Com o objetivo de proteger ameaças internas, bem como ameaças externas: A plataforma E=PDR certa também deve cobrir a ameaça interna (através da PAM – uma solução de Gerenciamento de Acesso Privilegiado) e através de algo que impeça o BEC (Business Email Compromise);
- Patching automatizado proativo – o patching ainda é uma das áreas menos bem tratadas na segurança das organizações em todo o mundo, e como inúmeros estudos têm apresentado (veja o chamado‘paradoxo de patching’),você não pode realmente lidar com isso com mais esforço humano e recursos. A única solução é ter um sistema à prova de falhas na loja que gerencia automaticamente vulnerabilidades com demandas mínimas no tempo da equipe;
- Um forte componente de IA: embora ter experiência humana a bordo de qualquer iniciativa é essencial e nunca ficará desatualizado, às vezes um sistema de IA bem treinado pode captar pistas que passam a atenção humana. Uma solução E-PDR verdadeiramente inovadora é auto-aperfeiçoar e auto-realização principalmente através de sua IA integrada.
Claro, embora eu não queira impedi-lo de explorar outras opções, devo mencionar que nossa suíte E-PDR contém tudo isso e muito mais. Não só é eficaz no sentido imediato de fornecer Prevenção, Detecção e Resposta endpoint, mas também consegue revolucionar o local de trabalho, reduzindo o desperdício de tempo tanto para os administradores do sistema quanto para os usuários, aumentando a produtividade e o ROI.
2. E-PDR deve ser mais do que um conjunto em camadas de soluções de segurança, deve ser uma filosofia
Mas o E-PDR deve ser mais do que uma seleção de ferramentas projetadas para cobrir várias lacunas de segurança.
Mesmo que todas as condições acima sejam cumpridas e você tenha implementado um ótimo sistema E-PDR, você ainda precisa adotar um código de conduta para impor uma mentalidade de segurança.
Caso contrário, você corre o risco de ajudar hackers a encontrar a rachadura em suas defesas (o crack é uma ameaça interna através de comportamento imprudente) e explorá-lo para contornar seu E-PDR.
3. A abordagem essencial do E-PDR para a segurança cibernética e seus princípios
Assim, o E-PDR deve ser mais do que as soluções reais de plataforma e segurança usadas e também uma mentalidade ou uma filosofia. Aqui estão os princípios básicos que formam, em minha opinião, a abordagem de Prevenção, Detecção e Resposta de Endpoint (E-PDR).
#1. A CONSCIENTIZAÇÃO SOBRE SEGURANÇA CIBERNÉTICA É CRUCIAL PARA A SOBREVIVÊNCIA DOS NEGÓCIOS. COMECE DE BAIXO PARA CIMA
Você não pode impor um conjunto de regras aparentemente arbitrárias sobre todos em sua organização se eles não entendem corretamente por que eles precisam fazer as coisas de uma certa maneira. Tenha um treinamento de conscientização sobre segurança cibernética duas vezes por ano, e que todos os novos contratados passem pelos loops antes de começarem a trabalhar.
Uma coisa é ser dito para não clicar em nenhum link suspeito, e outra é que ele seja explicado com mais detalhes: como um link malicioso pode prejudicar a organização, como reconhecer um suspeito, e assim por diante.
Certifique-se de que os sistemas usados para o trabalho ajudam os usuários a serem compatíveis com a segurança,em vez de dificultar as coisas. Este também é um grande exemplo de como uma suíte E-PDR verdadeiramente performante pode ir além de sua funcionalidade imediata. Nossa suíte E-PDR facilita a segurança por design em todos os níveis de acesso em uma organização.
#2. O PRINCÍPIO DA CONFIANÇA ZERO DEVE SER APLICADO POR UNANIMIDADE
Ninguém deve ser isento do chamado princípio do Zero Trust,uma abordagem na qual todos os usuários não têm qualquer oportunidade de prejudicar a organização. Mesmo sem querer, qualquer pessoa pode ter um momento de descuidado e fazer algo arriscado, então todos devem ter contas básicas de usuário, não contas com privilégios administrativos.
Como eu digo várias 16h, remover os direitos administrativos em toda a sua organização e manuseá-los depois através de uma solução PAM (Privileged Access Management, gerenciamento de acesso privilegiado) é a melhor coisa imediata que você pode fazer para sua segurança.
Infelizmente, algumas empresas se sentem apreensivos em remover direitos administrativos para usuários importantes (como executivos da suíte C) e fazê-los pedir permissão para instalar novos aplicativos. É estranho, então eles preferem deixar suas contas como estão, com privilégios plenos.
Isso abre caminho para hackers que querem se infiltrar nos sistemas da organização através de um esforço dedicado de comprometer a conta de alto perfil, através de técnicas como caça à baleia ou spear-phishing.
Não se deixe levar pela aplicação do princípio do Zero Trust sem discriminação. Todos estarão a bordo disso assim que você também começar o treinamento de conscientização sobre segurança cibernética em andamento.
#3. NÃO IMPORTA O QUÃO AVANÇADA, QUALQUER TECNOLOGIA E-PDR FALHARÁ SEM EDUCAÇÃO EM SEGURANÇA CIBERNÉTICA
Acompanhar o treinamento inicial de conscientização sobre segurança cibernética é a parte mais negligenciada de uma abordagem sólida para a segurança de 360 graus. A consciência das pessoas sobre a segurança tende a desaparecer se elas não forem periodicamente lembradas das melhores práticas que precisam observar.
Especialmente para usuários de energia, os poucos que mantêm seus direitos administrativos (então, basicamente, os administradores reais do sistema), mais sessões de educação em segurança cibernética são cruciais.
#4. O THREATSCAPE ESTÁ EVOLUINDO E A SEGURANÇA CIBERNÉTICA (INCLUÍDO PELO E-PDR) TEM QUE EVOLUIR COM ELE
Garanta o presente, mas olhe para o futuro também. Uma suíte E-PDR que não evolui com os tempos está prestes a se tornar obsoleta mais cedo ou mais tarde.
É importante escolher uma plataforma E-PDR de um provedor que demonstre seu compromisso com a inovação e melhoria contínua. Não quero ser muito auto-engrandecedor, mas este é o cerne de nossos esforços aqui na Heimdal Security™ e acreditamos fortemente que é o único caminho a seguir.
Assim, estamos trazendo novos desenvolvimentos e técnicas inovadoras em nossa suíte E-PDR (como um forte mecanismo de análise alimentado por IA) várias vezes por ano. A experiência do usuário e o tempo livre para todos os funcionários de nossas organizações de clientes também estão na vanguarda de nossos esforços. É assim que o futuro da Prevenção e Resposta endpoint se parece.
#5. ALMEJAR A RESILIÊNCIA CIBERNÉTICA E ESTAR PREPARADO PARA ENFRENTAR O PIOR
Agora, mais do que nunca, a segurança cibernética é uma questão de continuidade de negócios. Os planos de recuperação de desastres são ótimos no papel, mas eles se concentram principalmente apenas nos aspectos de hardware de suas redes de TI.
Ameaças novas e complexas requerem recalibrar sua mentalidade, não apenas sua segurança. A nova mentalidade deve ser aumentar suas defesas ao máximo (veja o princípio do Zero Trust acima), mas também esperar o pior e ter um plano de backup.
Aqui está como você pode se recuperar e seu negócio pode sobreviver mesmo que o pior dos piores aconteça. Além de proteger seus sistemas com prevenção, detecção e resposta endpoint topo de linha (E-PDR), seu comportamento organizacional também importa.
Comece com essas ações-chave:
- Faça backups frequentes de todos os seus dados: Mesmo que você perca o acesso a eles e nunca o recupere, você ainda deve ser capaz de continuar de onde parou (depois de alterar todos os pontos de acesso e reconfigurar a segurança, é claro).
- Tenha políticas rigorosas para os funcionários de onboarding e offboarding: além de minimizar o risco de ameaça interna através de componentes dedicados do seu layout E-PDR (como uma solução PAM), você precisa ter cuidado com o acesso que você confia a quem, e para garantir que os funcionários anteriores não mantenham nenhum ponto de acesso.
Conclusão: E-PDR e o Campo de Cibersegurança do Amanhã
Existem muitas direções emocionantes nas quais o E-PDR pode e precisa evoluir. Em nossa abordagem a ele, estamos trazendo muita pesquisa de IA para aperfeiçoar todas as diferentes camadas em nossa suíte E-PDR e garantir que cada componente colabore inteligentemente com os outros. Achamos que você não pode se destacar na Endpoint Prevention, Detection e Response com soluções que apenas reagem cegamente a estímulos e não podem passar para o próximo nível de prever o que os criminosos tentarão a seguir.
Nosso outro foco, além de fortemente fortificar o componente de IA do nosso conjunto de soluções E-PDR, é melhorar a experiência do usuário e a facilidade de uso para todas elas. À medida que a segurança se torna mais complexa, as soluções também tendem a se tornar mais difíceis de usar, e empunhando-as é um assunto cada vez mais profissionalizado. Mas nem toda empresa tem interesse ou recursos para ter uma equipe completa de profissionais de cibersegurança a bordo, nem deveria ter que fazer isso.
É aí que entramos – acreditamos que a segurança cibernética não deve ser apenas performática de ponta, mas também deve ser uma brisa para usar. Nosso conjunto unificado de módulos personalizáveis e soluções em camadas alcança perfeita simplicidade, automação, com um toque de assistência humana quando necessário. Dessa forma, os administradores do sistema podem se concentrar em tarefas mais produtivas, o tempo é economizado para eles e usuários regulares e não há mais atrasos na proteção de todas as possíveis brechas de segurança.
FONTE: HEIMDAL SECURITY