Comercial e Empresarial
Proteja sua empresa contra criminosos cibernéticos.
Iniciar Teste GrátisDetecção e reposta de terminais (EDR), também conhecido como detecção e resposta de ameaças de terminais (ETDR), é um termo guarda-chuva para uma solução de software que monitora continuamente os dispositivos de terminais computadores e notebooks usuários finais, servidores, dispositivos móveis e dispositivos de Internet das coisas (IdC) para coletar e analisar dados de ameaças e informar equipes de segurança sobre violações em tempo real.
Como EDR é um termo muito amplo, os recursos e as capacidades específicas das soluções individuais de EDR variam entre os fornecedores e até mesmo durante implementações. De forma geral, as ferramentas de detecção e resposta de terminais se encaixam nas três categorias a seguir:
As soluções de EDR funcionam agregando telemetria de dispositivos de terminais, incluindo registros, detalhes de arquivos, processos em execução, monitores de desempenho e dados de configuração e analisando tudo para detectar possíveis padrões de ameaça.
Os sistemas de EDR mais simples são apenas ferramentas de alerta. Elas coletam, analisam e exibem dados de funcionários humanos para visualizar e agir em cima disso.Os dados são salvos em um banco central e podem ser alimentados em uma solução SIEM.
Sistemas de EDR mais avançados incluem recursos como:
Os sistemas de EDR estão cada vez mais populares devido ao pico de dispositivos de terminais conectados a redes empresariais, incluindo computadores e notebooks, bem como telefones e dispositivos de IdC. Os agressores veem estes dispositivos como "alvos fáceis" que podem ser usados para violar redes, utilizando malwares e métodos cada vez mais sofisticados para atacá-los.
As ferrametnas de detecção e resposta de ameaças podem ser confundidos com soluções antivírus. Muitos sistemas de EDR são fornecidos em conjunto com softwares antivírus ou como dados de avaliação no banco de dados de uma solução antivírus.
No entanto, softwares antivírus só protegem dispositivos de terminais contra tipos de malware conhecidos e listados no banco de dados do produto. Por outro lado, o EDR usa uma análise inteligente para detectar ameaças novas e emergentes, incluindo ameaças que não são detectadas por softwares antivírus, como malwares sem arquivo, ataques que utilizam credenciais roubadas, ameaças persistentes avançadas (APTs) e malwares tão novos que nem foram catalogados em nenhum banco de dados de antivírus.
As soluções antivírus fornecem apenas informações básicas aos usuários, como quantas e que tipos de ameaças o software bloqueou em um determinado período. Os sistemas de EDR registram dados contextuais altamente valiosos sobre ataques, como informações sobre o agressor, sendo capaz de desvendar tendências históricas que as empresas podem usar para informar suas estratégias de segurança.
Além de detectar ameaças que normalmente passariam por soluções antivírus e outras ferramentas de segurança, os sistemas de EDR aceleram a resposta a ocorrências, auxiliam nos esforços de mitigação, fornecem às equipes de segurança visibilidade completa sobre o comportamento dos terminais entre os ambientes de dados, possibilitando uma caça proativa a ameaças.
Permitir que a equipe de segurança tenha um papel ativo na segurança de terminais é essencial para uma implementação de EDR bem-sucedida. Além de acompanhar alertas de EDR, as empresas precisam de uma estratégia de gerenciamento de correção robusta para manter os dispositivos de terminais atualizados. Muitas vezes, as atualizações de software incluem correções de segurança importantes e a negligência da aplicação delas o quanto antes pode comprometer drasticamente a segurança de um terminal.
Erros de configurações da nuvem são outro problema comum que podem degradar a segurança do terminal. A visibilidade que as soluções de EDR oferecem sobre as configurações de terminais ajudam equipes de TI e segurança a evitar ajustes incorretos de nuvem. Da mesma forma, um ambiente de nuvem mantido de forma adequada aprimora a segurança dos terminais.