Os antivírus (AV) são softwares tradicionalmente conhecidos e amplamente utilizados nos endpoints[1] para proteção dos Sistemas Operacionais (S.O) contra ameaças que advêm de softwares maliciosos.
As soluções AV possuem um software (agente) que se atualiza com a base de dados de ameaças conhecidas, também conhecida por assinatura, isto é, quando uma correspondência é encontrada, o arquivo é reconhecido como uma ameaça. O software AV também se utiliza do modelo heurístico, que realiza previsões baseadas em comportamentos, não obstante para tentar observar o comportamento de um arquivo ou processo no S.O, todavia o principal método de detecção/proteção, ainda, é o banco de dados de assinaturas.
Os agentes evoluíram para novas funcionalidades, aumentando a proteção dos Sistemas Operacionais, tais como: Firewalls, bloqueios de conteúdos/software/hardware, proteção a caixa postal etc.
Ameaças e Riscos aos endpoints
O ambiente de transformação digital e integração proporcionou o crescimento de novas ameaças provenientes do uso de diversos tipos de endpoints. Dentro deste contexto, os usuários possuem diversos mecanismos de acesso (dispositivos) e com acesso a novos recursos da rede, aplicativos e serviços diversos, tanto em nível local ou por meio de Cloud entre outros meios.
As novas interações de mobilidade e teletrabalho, evidenciou a utilização de equipamentos próprios (BYOD[2]) para acesso remoto as redes corporativas ou mesmo de maneira limitada para trabalho em casa, por obvio tal cenário leva a um ambiente complexo de controle e proteção, não sendo diferente para os antivírus. O BYO cria uma brecha de segurança, pois não valida ou proporciona a aplicação centralizada de políticas de um sistema Corporativo de AV.
Havia culturalmente uma percepção que o antivírus resolvia os problemas de segurança nos sistemas operacionais e o Firewall na rede, infelizmente o contexto contemporâneo é bem distindo, o fato é que os antivírus protegem parte dos serviços, mas não mitigam riscos como novos vírus (sem vacina como os Zero Day[3]), vulnerabilidades de sistemas, brechas de segurança e a indústria do RaaS (Ransomware as a Service https://www.linkedin.com/pulse/ransomware-service-raas-amea%C3%A7a-constante-que-colocou-guedes-oliveira )
EDR (Endpoint Detection and Response)
Os fabricantes de AV ajustaram a proteção para o uso de um modelo de detecção e resposta, sendo-os mais inteligentes e eficazes, melhorando o processo heurístico para uma análise consistente de comportamento, ajustados as novas ameaças.
Abaixo segue a lista de funcionalidades dos EDRs
- Realiza o monitoramento e detecção em tempo real de ameaças – incluindo aquelas que podem não ser facilmente reconhecidas ou definidas pelo antivírus padrão.
- Utiliza análise de comportamento, portanto, pode detectar ameaças desconhecidas com base em um comportamento anômalo do tradicional do S.O;
- Coleta e análisa os dados que determinam os padrões de ameaças e alertam as empresas sobre ameaças;
- Utiliza recursos forenses podem ajudar a determinar o que aconteceu durante um evento de segurança;
- As soluções isolam e/ou direcionam ataques ou comportamentos suspeitos para uma quarentena, utilizando métodos como sandboxing;
- O EDR pode incluir correção ou remoção automatizada de certas ameaças, interagindo com SIEM (Security Information Event Management) e SOAR (Security Orchestration Automation and Response);
O que um EDR (Endpoint Detection and Response) não protege
As soluções de EDR não realizam a proteção completa de ameaças, logo abaixo segue alguns exemplos de não mitigação por parte destas soluções:
- Co-relacionamento de Eventos;
- Zero Day, novos vírus;
- Movimento alteração proveniente de um Ransomware;
- Comando e controle de uma máquina invadida;
- Ações de vazamento de dados;
- Espionagem industrial;
- Aplicação da não confiança para quaisquer conexões;
- Controle de conexões;
- Validação de conexões;
- Micro segmentação para Servidores e usuários, evitando o movimento de exploração dos Ransomware;
- Auditoria e validação via contexto de conexão;
- Proteção contra Bugs e Vulnerabilidades;
Finalmente, o entendimento da evolução do AV para o EDR, pode-se afirmar que as soluções evoluem para automação e métodos assertivos contra as novas ameaças, no entanto, sabe-se que o EDR aplicado é apenas uma das camadas de proteção, sendo-a fundamental, mas complementar a outros métodos de remediação como o Zero Trust.
Andrey Guedes Oliveira
Diretor da Esyner Cyber Segurança, Professor de Tecnologia da UNIP, Mestre em Telecomunicações pela PUC, MBAs em Gestão Empresarial e Projetos.
[1] A expressão Endpoint se refere a qualquer dispositivo de comunicação primária, como celulares, notebooks, desktops, servidores, entradas de rede etc.
[2] BYO (Bring Your Own Device) sigla para uso do seu próprio equipamento nas redes corporativas ou certo nível de acesso.
[3] Zero Day é a palavra para uma ameaça (malware) não identificada e sem proteção pelos sistemas tracionais de segurança da informação.