A empresa suíça de segurança Exeon Analytics adverte contra confiar apenas em soluções convencionais de EDR (Endpoint Detection & Response) ao proteger endpoints. Porque o software do agente nem sempre roda no ponto final, o que gera fragilidades na rede de defesa.
Muitos endpoints em redes híbridas modernas não oferecem suporte aos agentes necessários para isso e, onde esses agentes estiverem em execução, eles podem ser prejudicados e desativados por ataques sofisticados. Além disso, devido à tendência de trabalhar em casa e BYOD (traga seu próprio dispositivo), as equipes de TI e segurança geralmente não têm acesso a endpoints pertencentes a funcionários que também podem ser usados por outros membros da família.
"As soluções EDR fornecem informações em tempo real sobre endpoints e detectam ameaças como malware e ransomware", disse Gregor Erismann, CCO da Exeon Analytics. “Ao monitorar continuamente os endpoints, as equipes de segurança podem descobrir atividades maliciosas, investigar ameaças e tomar as medidas adequadas para proteger a organização. No entanto, como o EDR fornece apenas visibilidade dos endpoints, muitas vulnerabilidades e desafios permanecem, aumentando muito o risco de ataques cibernéticos despercebidos.”
Muitos endpoints não são suportados pelo EDR
Além da possível desativação de agentes EDR nos endpoints, esses riscos também incluem o abuso da técnica de "hooking" que o EDR usa para monitorar processos em execução. Ele permite que ferramentas EDR monitorem programas, detectem atividades suspeitas e coletem dados para análise comportamental. No entanto, os invasores podem usar a mesma técnica para acessar um endpoint remoto e importar malware.
Os endpoints não suportados pelo EDR incluem switches e roteadores mais antigos em particular, mas também um grande número de dispositivos IoT e IIoT que podem se tornar gateways despercebidos para malware. Outro problema para as soluções de EDR podem ser os ambientes SCADA, onde sistemas críticos individuais podem estar fora do controle da empresa e, portanto, fora do perímetro de segurança do EDR.
Detecção e resposta de rede como solução alternativa
"Network Detection and Response (NDR) é uma maneira muito eficaz de fechar brechas de segurança como essa", diz Erismann. “Uma das grandes vantagens das soluções de NDR baseadas em dados de log, como o ExeonTrace, é que elas não podem ser desativadas por invasores e, portanto, os algoritmos de detecção não podem ser contornados. Mesmo que um invasor consiga comprometer o sistema EDR, atividades suspeitas ainda serão registradas e analisadas. A combinação de EDR e NDR cria um sistema de segurança abrangente para toda a rede.”
Além disso, o NDR não apenas permite o monitoramento do tráfego de rede entre dispositivos de rede conhecidos, mas também identifica e monitora dispositivos desconhecidos. Tais soluções são, portanto, um remédio eficaz contra os perigos da sombra de TI descontrolada. Além disso, o NDR também integra dispositivos finais sem agentes EDR na análise de rede e, portanto, na estratégia de segurança de toda a empresa. Por fim, com base na análise de dados de log, o NDR também reconhece firewalls e gateways configurados incorretamente, que também poderiam atuar como gateways para invasores.
Não são necessários agentes de software
🔎 Exeon Trace mostra visualizações da rede (Imagem: Exeon).
Como as soluções NDR como ExeonTrace não requerem agentes, elas permitem visibilidade total de todas as conexões de rede e fluxos de dados. Assim, eles oferecem uma visão geral melhor de toda a rede corporativa e de todas as ameaças potenciais dentro dela. Além disso, a coleta de dados baseada em rede é significativamente mais inviolável do que os dados baseados em agentes, o que facilita o cumprimento das regulamentações de conformidade. Isso se aplica em particular à perícia digital exigida pelas autoridades de supervisão.
NDR com ExeonTrace
A solução ExeonTrace NDR é baseada na análise de dados de log de rede e, portanto, não requer espelhamento de tráfego. Os algoritmos do ExeonTrace foram desenvolvidos especialmente para a análise de metadados e, portanto, não são afetados pelo crescente tráfego de rede criptografado. Como o ExeonTrace não requer nenhum hardware adicional e permite a análise de várias fontes de dados, incluindo aplicativos de nuvem nativos, a solução é particularmente adequada para redes fortemente virtualizadas e distribuídas.
Mais em Nextgen.Exeon.com
Sobre Exeon
A Exeon Analytics AG é uma empresa suíça de cibertecnologia especializada na proteção de infraestruturas de TI e OT por meio de análises de segurança orientadas por IA. A plataforma Network Detection and Response (NDR) ExeonTrace oferece às empresas a oportunidade de monitorar redes, detectar imediatamente ameaças cibernéticas e, assim, proteger com eficiência o cenário de TI de sua própria empresa - de forma rápida, confiável e totalmente baseada em software.