Warning: Constant WP_MEMORY_LIMIT already defined in /var/www/html/esyner.info/web/wp-config.php on line 134
O que difere o EDR (Endpoint Detection and Response) do Antivírus tradicional e desafios a proteção de endpoints | ESCS Esyner Cyber Security Info& Blog

Os antivírus (AV) são softwares tradicionalmente conhecidos e amplamente utilizados nos endpoints[1] para proteção dos Sistemas Operacionais (S.O) contra ameaças que advêm de softwares maliciosos.

As soluções AV possuem um software (agente) que se atualiza com a base de dados de ameaças conhecidas, também conhecida por assinatura, isto é, quando uma correspondência é encontrada, o arquivo é reconhecido como uma ameaça. O software AV também se utiliza do modelo heurístico, que realiza previsões baseadas em comportamentos, não obstante para tentar observar o comportamento de um arquivo ou processo no S.O, todavia o principal método de detecção/proteção, ainda, é o banco de dados de assinaturas.

Os agentes evoluíram para novas funcionalidades, aumentando a proteção dos Sistemas Operacionais, tais como: Firewalls, bloqueios de conteúdos/software/hardware, proteção a caixa postal etc.

Ameaças e Riscos aos endpoints

O ambiente de transformação digital e integração proporcionou o crescimento de novas ameaças provenientes do uso de diversos tipos de endpoints. Dentro deste contexto, os usuários possuem diversos mecanismos de acesso (dispositivos) e com acesso a novos recursos da rede, aplicativos e serviços diversos, tanto em nível local ou por meio de Cloud entre outros meios.

As novas interações de mobilidade e teletrabalho, evidenciou a utilização de equipamentos próprios (BYOD[2])  para acesso remoto as redes corporativas ou mesmo de maneira limitada para trabalho em casa, por obvio tal cenário leva a um ambiente complexo de controle e proteção, não sendo diferente para os antivírus. O BYO cria uma brecha de segurança, pois não valida ou proporciona a aplicação centralizada de políticas de um sistema Corporativo de AV.

Havia culturalmente uma percepção que o antivírus resolvia os problemas de segurança nos sistemas operacionais e o Firewall na rede, infelizmente o contexto contemporâneo é bem distindo, o fato é que os antivírus protegem parte dos serviços, mas não mitigam riscos como novos vírus (sem vacina como os Zero Day[3]), vulnerabilidades de sistemas, brechas de segurança e a indústria do RaaS (Ransomware as a Service https://www.linkedin.com/pulse/ransomware-service-raas-amea%C3%A7a-constante-que-colocou-guedes-oliveira )

EDR (Endpoint Detection and Response)

Os fabricantes de AV ajustaram a proteção para o uso de um modelo de detecção e resposta, sendo-os mais inteligentes e eficazes, melhorando o processo heurístico para uma análise consistente de comportamento, ajustados as novas ameaças.

            Abaixo segue a lista de funcionalidades dos EDRs

  • Realiza o monitoramento e detecção em tempo real de ameaças – incluindo aquelas que podem não ser facilmente reconhecidas ou definidas pelo antivírus padrão.
  • Utiliza análise de comportamento, portanto, pode detectar ameaças desconhecidas com base em um comportamento anômalo do tradicional do S.O;
  • Coleta e análisa os dados que determinam os padrões de ameaças e alertam as empresas sobre ameaças;
  • Utiliza recursos forenses podem ajudar a determinar o que aconteceu durante um evento de segurança;
  • As soluções isolam e/ou direcionam ataques ou comportamentos suspeitos para uma quarentena, utilizando métodos como sandboxing;
  • O EDR pode incluir correção ou remoção automatizada de certas ameaças, interagindo com SIEM (Security Information Event Management) e SOAR (Security Orchestration Automation and Response);

O que um EDR (Endpoint Detection and Response) não protege

As soluções de EDR não realizam a proteção completa de ameaças, logo abaixo segue alguns exemplos de não mitigação por parte destas soluções:  

  • Co-relacionamento de Eventos;
  • Zero Day, novos vírus;
  • Movimento alteração proveniente de um Ransomware;
  • Comando e controle de uma máquina invadida;
  • Ações de vazamento de dados;
  • Espionagem industrial;
  • Aplicação da não confiança para quaisquer conexões;
  • Controle de conexões;
  • Validação de conexões;
  • Micro segmentação para Servidores e usuários, evitando o movimento de exploração dos Ransomware;
  • Auditoria e validação via contexto de conexão;
  • Proteção contra Bugs e Vulnerabilidades;

Finalmente, o entendimento da evolução do AV para o EDR, pode-se afirmar que as soluções evoluem para automação e métodos assertivos contra as novas ameaças, no entanto, sabe-se que o EDR aplicado é apenas uma das camadas de proteção, sendo-a fundamental, mas complementar a outros métodos de remediação como o Zero Trust.

Andrey Guedes Oliveira

Diretor da Esyner Cyber Segurança, Professor de Tecnologia da UNIP, Mestre em Telecomunicações pela PUC, MBAs em Gestão Empresarial e Projetos.


[1] A expressão Endpoint se refere a qualquer dispositivo de comunicação primária, como celulares, notebooks, desktops, servidores, entradas de rede etc.

[2] BYO (Bring Your Own Device) sigla para uso do seu próprio equipamento nas redes corporativas ou certo nível de acesso.

[3] Zero Day é a palavra para uma ameaça (malware) não identificada e sem proteção pelos sistemas tracionais de segurança da informação.