A segurança cibernética eficaz – e econômica – é uma arte de equilíbrio. E este equilíbrio tem se tornado cada dia mais necessário para acompanhar a crescente complexidade das ameaças cibernéticas. Essa complexidade tem levado os times de segurança a darem mais atenção aos endpoints e, mais que isso, agregar mais funcionalidades a eles. O […]
A segurança cibernética eficaz – e econômica – é uma arte de equilíbrio. E este equilíbrio tem se tornado cada dia mais necessário para acompanhar a crescente complexidade das ameaças cibernéticas. Essa complexidade tem levado os times de segurança a darem mais atenção aos endpoints e, mais que isso, agregar mais funcionalidades a eles.
O gerente de marketing de produto da Kaspersky, Nikita Zaychikov, explica que o novo contexto de ameaças tem feito com que organizações de todos os tamanhos busquem formas mais seguras e confiáveis de compartilhar informações e, também, ferramentas de segurança que as ajudem a evitar ataques mais complexos e frequentes. É neste cenário que as soluções de EDR (Endpoint Detection and Response). “Todos os produtos EDR visam identificar, investigar e responder melhor a ameaças avançadas e complexas, como ransomware ou as que utilizam backdoors . É uma camada extra em cima da proteção de endpoint que está continuamente procurando ameaças avançadas e reagindo a elas”, explica.
Não por acaso, o executivo lembra que um estudo recente da Kaspersky apontou que 2/3 das empresas enfrentaram algum tipo de ransomware nos últimos anos. Para estas empresas, as soluções de EDR podem apresentar funcionalidades como uma máquina de detecção, por exemplo, que analisa ameaças usando machine learning e executando possíveis correções em um sandbox. Elas também podem incluir mecanismos de análise em tempo real, monitoramento de memória e busca de padrões de comportamento.
“O recurso EDR mais importante pode ser a visibilidade dos endpoints, que permite analisar ataques passados e ameaças atuais e, depois de identificar e analisar as ameaças, responde a elas de forma automatizada, economizando tempo e recursos”, explica, lembrando que o EDR não substitui a Endpoint Protection Platform (EPP), mas complementa suas funcionalidades em caso de ameaças mais complexas. “Endpoints são importantes. Especialmente agora, depois de 2020, eles se tornaram mais importantes do que antes com o aumento dos perímetros das empresas, mas há tipos de ataques que exigem mais”.
Solução para múltiplos ataques
De acordo com Zaychikov, as ameaças existentes hoje podem ser divididas em três tipos: Commodity, Evasivas e Complexas. Mais comum, o primeiro tipo é mais facilmente detectado e, principalmente, pode ser automaticamente remediada com sistemas de prevenção automática. “Este tipo de ataque pode ser evitado com o uso de EPPs tradicionais, que são parte essencial da segurança corporativa e tornam os sistemas mais resilientes. Na grande maioria das vezes, as empresas os instalam e os esquecem, porque fazem bem o seu trabalho de proteção automática”, explica.
No entanto, no caso dos ataques Evasivos ou Complexos, os EPPs precisam contar com as funcionalidades extras fornecidas pelas soluções de EDR. Os primeiros são desenvolvidos para evitar sistemas de detecção automática e podem trazer consequências significativas, exigindo modelos de detecção baseados em machine learning, além de visibilidade e análise para que sejam combatidos. O mesmo vale para ataques complexos, que são mais difíceis de detectar e geralmente são baseados em estratégias persistentes e multi vetoriais, só detectáveis por soluções avançadas e investigações mais profundas.
Zaychikov lembra que os EPPs não foram desenvolvidos para combater ataques como estes: a análise profunda de um ataque teria que ser feita manualmente e o tempo demandado impediria respostas rápidas. Já as soluções de EDR contam com funcionalidades como detecção avançada, visibilidade, ferramentas de investigação e respostas rápidas. “Elas foram desenvolvidas para responder a essas limitações: você identifica, analisa e responde rapidamente a possíveis ataques. Essa é a principal diferença entre os dois”, explica.
Para o executivo, existe hoje no mercado um consenso de que esse tipo de solução deve ser utilizada complementando os EPPs, tanto que o próximo passo lógico do mercado é a convergência das duas soluções em apenas uma. Enquanto isso não acontece, ele lembra que o EDR oferece melhor visibilidade e resposta instantânea a ameaças complexas. Isso porque a solução monitora continuamente os terminais com o objetivo de identificar, investigar e responder.
Como o EDR oferece ferramentas para visibilidade, investigação e resposta, as equipes de TI e segurança podem monitorar o que está acontecendo em todos endpoints e entender a escala da ameaça. Isso porque os recursos de investigação permitem identificar causa raiz de uma ameaça. A solução também permite a busca ativa de quaisquer ameaças escondidas na infraestrutura da empresa. E, segundo Zaychikov, isso independe do tamanho da empresa.
Um caso de uso para cada tipo de cliente
Zaychikov lembra que o mercado conta hoje com três tipos de organizações. O primeiro, reúne empresas tecnicamente agressivas e que utilizam a tecnologia como diferencial competitivo. No segundo grupo estão as empresas mais convencionais, que utilizam a tecnologia para aumentar a produtividade e, por fim, as em presas mais conservadoras, que têm aversão ao risco e foco no controle de custos de TI.
Para todos os casos, o executivo afirma existirem casos de uso para soluções EDR. Ele lembra que, com uso intensivo de tecnologia, as empresas do primeiro grupo demandam alta capacidade de detecção de ameaças e gerenciamento de incidentes. Nestes casos, as soluções EDR têm a função de equipar sues especialistas para monitorar, identificar e neutralizar ameaças complexas. “São empresas que precisam das melhores ferramentas e informações para segurança, além de escalabilidade”, diz.
Já as empresas do segundo grupo estão em um estágio em que precisam desenvolver processos de resposta a incidentes, demandando visibilidade, simplicidade, automação e escalabilidade. “Eles precisam começar a desenvolver estes processos, mas não têm tempo ou recursos para isso. Para elas, a soluções de EDR são simples e concentram todos os dados em uma única base”, afirma. As empresas do terceiro grupo, por seu foco em controle de custos, não querem investir muito em soluções de segurança. Ao mesmo tempo, precisam agregar visibilidade para automatizar sua proteção em caso de necessidade, o que torna soluções integradas de EDR e EPP ideais.
Zaychikov reconhece que o uso do EDR ainda não universal, mas que o mercado já conta dois tipos de soluções específicas. Uma voltada às empresas do primeiro grupo e outra que atende às demandas das organizações do segundo e terceiro grupos. Classificada como Expert EDR, a primeira conta com características como detecção baseada em análise de comportamento; busca de ameaças com análise retrospectiva; resposta rápida com ações avançadas; e gerenciamento com múltiplos alertas agregados a incidentes únicos.
Chamada Essential EDR, a solução voltada às empresas do segundo e terceiro grupos tem um foco maior em visibilidade a partir de concentração de dados em uma única base; análise de dados e visualização de ataques; definição de algumas respostas chave para as ameaças identificadas; e automação de respostas.
“É importante ter ofertas para diferentes segmentos do mercado, porque há diferentes casos de uso e necessidades”, afirma. Comparando os três tipos de organizações, Zaychikov lembra que as empresas do primeiro grupo são maduras, sabem exatamente o que estão procurando e não têm dúvidas sobre o uso de EDR. Ao mesmo tempo, as empresas dos dois outros grupos ainda estão procurando entender o que é o EDR e como ele pode trabalhar em sua infraestrutura.
Este processo de amadurecimento é natural e vem sendo acompanhado de perto pela Kaspersky desde que a companhia lançou sua primeira solução de EDR, há dois anos, período durante o qual as vendas vem crescendo ano a ano. “Também temos que aculturar empresas em determinadas regiões. A América Latina é a região mais importante agora, com um potencial de centenas de milhares de clientes”, revela, apontando os mercados do Brasil, Argentina, América Central e Colômbia, respectivamente, como os mais fortes.
“Para mim, é a região onde as pessoas sabem o quem precisam e não precisam. Não compram o que não precisam e não pagam por funcionalidades que não utilizarão. É onde o EDR vem ganhando força nos últimos anos. Dobramos nossas vendas ano sobre ano e temos visto adoção rápida em empresas de todos os tamanhos e segmentos”, conclui.
