alphaspirit - stock.adobe.com
Três razões para empresas incluírem EDR nos planos de resposta a incidentes
Esta solução combina monitoramento contínuo em tempo real e análise de dados com uma resposta automatizada baseada em regras, auxiliando todo processo de contenção de um ataque, desde a detecção de eventos maliciosos até a neutralização das ameaças que passam pela rede, diz eles do Redbelt Security.
A Redbelt Security aconselha todas as empresas a implementar um Plano de Resposta a Incidentes (PRI) para minimizar danos financeiros e de reputação, que podem ser causados por incidentes de cibersegurança. De acordo com o relatório “Cost of a Data Breach”, realizado pela IBM no ano passado, as companhias que testaram regularmente seu PRI economizaram uma média de US$ 2,66 milhões em custos de violação em comparação com aquelas sem um plano.
“Nós procuramos mostrar aos nossos clientes também que, quando um ransomware acontece, o tempo de resposta das equipes de segurança cibernética é um fator determinante para a contenção da ameaça e mitigação bem-sucedida do impacto. Com ferramentas cada vez mais sofisticadas, os cibercriminosos conseguem criptografar totalmente os dados de uma empresa em minutos. Portanto, é essencial que o PRI contenha um direcionamento claro, com processos e tecnologias, para que as equipes consigam atuar de forma rápida e eficaz em suas atividades, mitigando as consequências da violação e reduzindo o tempo e os custos de recuperação”, afirma Marcos Almeida, gerente do Red Team e de inteligência de ameaças na Redbelt Security.
É essencial também que a companhia conte com uma ferramenta de proteção de endpoint capaz de agregar inteligência à estratégia de resposta ao incidente, como a Endpoint Detection and Response (EDR). Isto porque é uma solução para proteção de endpoint que combina monitoramento contínuo em tempo real e análise de dados com uma resposta automatizada baseada em regras, sendo capaz de auxiliar em todo o processo de contenção de um ataque, desde a detecção de eventos maliciosos até a neutralização de ameaças que passam por uma rede.
Segundo Almeida existem três 3 razões fundamentais para que as empresas considerem a inclusão de uma solução EDR no plano de resposta a incidentes:
-
-
-
-
-
-
-
-
-
-
-
-
- Um EDR consegue detectar um ataque em seus estágios iniciais, por ser alimentada por inteligência artificial (IA), usando automação para identificar e interromper um ataque em seus estágios iniciais e evitar que ocorram danos generalizados. Com a ajuda de IA e machine learning, uma ferramenta EDR moderna pode identificar anomalias no ambiente, como comportamento de ransomwares, e eliminar automaticamente esses processos logo após a detecção. O EDR ajuda a isolar os dispositivos infectados e interromper o movimento lateral.
-
-
-
-
-
-
-
-
-
-
-
- Ajuda a identificar os dispositivos usados durante uma violação e a isolar completamente os recursos afetados. Diferentemente de soluções legadas, como os antivírus, essa solução oferece às companhias visibilidade detalhada de todas as atividades e endpoints. A coleta e monitoramento de eventos feita pelo EDR eliminam as suposições envolvidas na compreensão do impacto e disseminação de artefatos infectados em uma empresa. Dessa forma, os analistas podem colocar os dispositivos comprometidos em quarentena e minimizar interrupções nos negócios. Auxilia ainda na proteção de infraestruturas isoladas, detectando e bloqueando ameaças mesmo se não houver conexão com a internet.
- Contribui para a análise da causa raiz como parte do ciclo de recuperação por meio da cobertura abrangente de dados forenses, pois fornece às equipes de segurança recursos de busca de ameaças para entender a causa raiz das violações, encontrar o vetor inicial de ataque e identificar as contas e endpoints que foram comprometidos. Essa reconstrução do cenário permite que as equipes de segurança tenham uma visão completa sobre o escopo da invasão, evitando problemas futuros.
“O EDR fornece uma abordagem de segurança holística necessária para travar batalhas bem-sucedidas em um cenário de fraudes cibernéticas. É uma solução que fornece tanto medidas cruciais de contenção de curto prazo, impedindo que a violação cause mais danos à rede, quanto benefícios estratégicos de longo prazo, possibilitando que as empresas fortaleçam sua postura de segurança para que possam se defender de invasões emergentes e desconhecidas”, conclui Almeida.