0
0
As ferramentas de detecção e resposta ao ponto final (EDR) são uma pedra angular da maioria das defesas de segurança cibernética atualmente. Mas, embora a tecnologia tenha um papel importante a desempenhar na investigação de ameaças, muitas organizações cometeram o erro de confiar no EDR como sua primeira linha de defesa contra violações de segurança.
A realidade é que uma mentalidade de “assumir violação” significa que já é tarde demais. As soluções EDR são cada vez mais evitadas pelas mais recentes técnicas de malware e ataque, especialmente quando se trata de ransomware e explorações de zero-day.
As organizações não podem depender apenas do EDR para manter seus ambientes a salvo das ameaças mais recentes. Então, por que o EDR não é suficiente por si só, e o que as empresas podem fazer sobre isso?
Por que a detecção é tarde demais
A maior desvantagem do EDR é que é uma abordagem reativa. As ferramentas tradicionais do EDR dependem da análise comportamental, o que significa que a ameaça foi executada no ponto final e é uma corrida contra o tempo para pará-la antes que qualquer dano seja feito. Ao observar a intenção ou atividade maliciosa, o EDR irá bloqueá-lo, e a equipe de segurança irá se deslocar para a remediação e limpeza.
Em um momento em que os recursos qualificados são escassos, a produtividade do SOC é importante para proteger sua organização. Um EDR típico produz um alto volume de alertas e falsos positivos, impactando a capacidade da equipe soc de realizar tarefas proativas valiosas, como sistemas de patches e endurecimento.
Ameaças graves podem ser facilmente perdidas em todo esse barulho, tornando mais provável que os atores de ameaças voem sob o radar e alcancem tempos mais longos de moradia.
Como tal, a visibilidade em cada ponto final é fundamental para proteger uma organização. No entanto, uma empresa típica não sabe se todos os pontos finais são instrumentados, deixando buracos no tecido. Garantir que todos os dispositivos são cobertos tem sido cada vez mais desafiador por tendências como BYOD e trabalho remoto.
Para serem realmente eficazes, as organizações precisam ter total visibilidade em todos os pontos finais conectados à rede. No entanto, este muito raramente o caso. De fato, uma investigação da Deep Instinct descobriu que apenas 1% das empresas acreditavam que todos os seus pontos finais estavam protegidos.
Uma abordagem reativa não é mais suficiente
Alguns dos malwares mais rápidos podem infectar em menos de um segundo depois de executar no ponto final. O Ransomware, por exemplo, pode começar a criptografar sistemas antes de ser detectado e bloqueado, e o malware pode ter deixado invasores e artefatos para trás que são perdidos na remediação.
As variantes de malware mais rápidas e sofisticadas costumavam ser a província de gangues cibernéticas organizadas e atores patrocinados pelo Estado. Mas graças a uma economia de sombras cada vez mais bem desenvolvida, malwares avançados e explorações de zero-day nunca foram tão acessíveis. A tendência do ransomware-as-a-service (RaaS) é um exemplo proeminente, imitando a estrutura de ofertas saas legítimas para fornecer aos criminosos acesso acessível para executar novos ataques poderosos de ransomware. O comércio rápido de malware também levou a um aumento do número de variantes aparecendo na natureza, com centenas de milhares de novas versões aparecendo diariamente.
A necessidade de uma estratégia de prevenção em primeiro lugar
A abordagem de prevenção é necessária para impedir mais ataques antes que eles sejam implantados.
Embora o XDR aborde muitos dos problemas do EDR, ele ainda está preso a um modelo reativo que é vulnerável a malwares avançados e desconhecidos e é propenso a criar muitos alertas de segurança. De fato, a menos que seja bem gerenciado, o maior volume de alertas criados através do aumento da telemetria pode tornar as coisas ainda mais difíceis para as equipes do SOC lidarem.
Em vez de uma abordagem reativa que só pode lidar com ameaças à medida que emergem, as estratégias de segurança precisam se concentrar em torno de uma abordagem preventiva. O malware de entrada precisa ser detectado e bloqueado antes que possa ser executado dentro do ambiente de rede. Neutralizar ataques antes que eles possam executar reduz muito o risco de uma violação ocorrer. Isso também significa que as equipes soc podem usar de forma mais eficaz suas ferramentas EDR e XDR para investigar e remediar outras questões sem o medo constante de um ataque sério ocorrendo.
Para se antecipar às ameaças cibernéticas em movimento rápido, as soluções de segurança precisam se mover ainda mais rapidamente. A tecnologia de aprendizagem profunda apresenta uma das melhores oportunidades para o sucesso, pois sua natureza de autoaprendizagem pode nos permitir entender o DNA de um ataque sem ter que conhecer seu hash, e prever e prevenir ameaças desconhecidas.
FONTE: HELPNET SECURITY