Por que Detecção e Resposta de Endpoint (EDR)?
A Sophos oferece uma variante mais cara com o adicional “EDR” tanto para Intercept X Advanced, quanto para Intercept X Advanced for Server. Como somos frequentemente questionados em consultorias de compra sobre o que exatamente significa esse “EDR” e se o custo adicional realmente vale a pena, gostaria de neste artigo abordar mais detalhadamente o escopo das funções da EDR e seus benefícios.
A funcionalidade EDR, além do Intercept X Advanced, já está disponível há muito tempo para estações de trabalho. Desde 9 de maio, o produto também está disponível para servidores.
Como a EDR pode ajudar
De forma um pouco mais simples, com o Intercept X Advanced com EDR você pode investigar mais a fundo duas coisas essenciais: o que exatamente aconteceu após um ataque e existe o risco de que algo mais possa acontecer em um futuro próximo?
1. O que aconteceu?
Para descobrir o que aconteceu após um ataque, à primeira vista você não precisa necessariamente pagar o custo adicional pela EDR. A Sophos já oferece há muito tempo a função Análise da Causa Raiz (RCA), que está incluída no escopo de funções do Intercept X. No entanto, as possibilidades de análise de um ataque são decisivamente ampliadas por uma atualização para Intercept X Advanced com EDR.
Com EDR você pode descobrir,
- o que realmente aconteceu após um ataque
- se uma ameaça se espalhou
- quais insights o SophosLabs coletou de todos os clientes Sophos sobre um programa específico
- se ainda há malware dormente em sua empresa
- se você pode dar o sinal verde ao seu chefe de que nenhum dado foi roubado
Com o EDR, você tem acesso a métodos de inteligência artificial para analisar um processo ou arquivos com aprendizado de máquina de forma ainda mais precisa. Além disso, durante uma análise, você pode isolar temporariamente o computador afetado para ganhar tempo suficiente.
2. Algo mais vai acontecer?
Uma tática comum de atacantes é colocar um pequeno programa em algum lugar do seu computador que, inicialmente, não faz nada de mal e, por isso, não parece suspeito. Através desse comportamento inofensivo, certos mecanismos de segurança podem ser contornados inicialmente. No entanto, em algum momento, esse programa vai acordar e causar danos.
Graças aos recursos de busca estendidos do Intercept X Advanced com EDR, é possível procurar por essas “ameaças adormecidas” em toda a empresa. Muitas vezes, esses programas já se espalharam por vários sistemas e se escondem atrás de nomes de arquivos falsos. Com o EDR, a Sophos oferece a função útil de pesquisar todos os dispositivos da empresa por valores de hash. Dessa forma, você descobre rapidamente em quais dispositivos da empresa um programa já foi detectado e com quem ele se comunicou. Assim, você pode, por exemplo, detectar servidores de comando e controle ou localizar servidores dos quais dados podem ter sido vazados.
Qual é o valor agregado da EDR?
Se um ataque ocorre em uma empresa, confia-se principalmente nos mecanismos de proteção do Sophos Intercept X Advanced. Depois disso, no entanto, deve-se examinar mais de perto os dados coletados do ataque e descobrir se algum dado foi roubado ou se a ameaça, por exemplo, se espalhou para outros sistemas. Isso normalmente exigiria uma horda de especialistas forenses que não fariam nada além de procurar em logs o dia todo para tirar conclusões. A Sophos, por outro lado, aposta em métodos de inteligência artificial para sua solução EDR. Os processos na rede são, portanto, analisados com aprendizado de máquina e com a ajuda dos SophosLabs e não mais por humanos. Isso significa que este trabalho agora pode ser teoricamente realizado por uma pessoa que não precisa ser um perito forense de TI. 😎
Preciso de EDR agora ou não?
A resposta à pergunta se você deve pagar o custo adicional pelo EDR ou não depende de dois fatores:
Fator 1: Interesse
Você é daqueles para quem basta que o Intercept X Advanced registre, após um ataque, que a ameaça foi contida e todos os dados foram limpos? Então, você provavelmente não precisa de EDR.
No entanto, você gostaria de examinar o ataque com mais detalhes e analisar o processo com mais precisão? Você gostaria de saber se há mais programas maliciosos em computadores ou servidores na empresa que simplesmente ainda não se manifestaram? Então eu diria que você deveria considerar o custo adicional do EDR.
Fator 2: Requisitos de conformidade
As ferramentas EDR são necessárias, o mais tardar, quando uma empresa precisa provar, após um ataque, que nenhum dado foi roubado. Estamos a falar de requisitos de conformidade que devem ser garantidos em certas áreas, como, por exemplo, o PCI (Payment Card Industry) ou a saúde. Também nesta área se enquadra o RGPD (Regulamento Geral de Proteção de Dados), que estabelece que os dados confiáveis devem ser protegidos de acordo com o estado da técnica.
Tal lei torna naturalmente uma empresa vulnerável. Em vez de exigir resgate para a descriptografia dos dados da empresa, como em um ataque de ransomware, as empresas agora podem ser extorquidas por somas ainda maiores devido a uma violação do GDPR ou dos requisitos de conformidade.
As funções EDR da Sophos ajudam-no a cumprir os requisitos de conformidade e, em caso de emergência, a provar se os dados foram perdidos ou não. Se considera que uma ferramenta como esta é útil para a sua empresa, então o investimento em Sophos Intercept X Advanced com EDR não estaria, de facto, fora de lugar.
Teste Sophos Intercept X Advanced com EDR
Se você ainda não tem uma conta Sophos Central, pode criar uma no site da Sophos e testar todas as funções, incluindo “Sophos Intercept X Advanced com EDR” para computadores e servidores, gratuitamente por 30 dias.
Se você já possui uma conta Sophos Central e o período de teste de 30 dias expirou, você pode solicitar uma licença para “Sophos Intercept X Advanced com EDR” em nossa loja:
