EDR versus NGAV: qual é a diferença?

Conheça o cenário de ameaças atual

Em nosso mais recente relatório anual de investigação de ameaças de 2023, nossos times de threat hunters relataram que o volume observado de intrusões interativas (ou seja, atividade de intrusão em que um ator de ameaças opera com acesso interativo no ambiente de uma vítima) aumentou em 40% em relação ao ano anterior. O relatório também mostra uma queda no tempo para comprometimento (ou seja, o tempo que um invasor leva para começar a se mover lateralmente dentro da rede) para apenas 79 minutos, abaixo do valor mínimo histórico anterior de 84 minutos em 2022.

O aumento da velocidade e do volume de ataques pode ser atribuído a vários fatores, incluindo:

• A pandemia da COVID-19 e as determinações de isolamento, que aumentaram drasticamente a quantidade de tempo que as pessoas passam online;
• A mudança para o trabalho remoto (uma tendência já existente que se acelerou devido à COVID-19), que aumentou a superfície de ataque das organizações;
• A proliferação de dispositivos conectados e da tecnologia de Internet das Coisas (IoT), que fornecem uma infinidade de pontos de entrada para cibercriminosos;
• A mudança para a nuvem, que exige uma estratégia de segurança fundamentalmente diferente em comparação às redes locais tradicionais;
• A tecnologia 5G, que está impulsionando ainda mais o uso de dispositivos conectados; e
• A disponibilidade de hackers “como serviço”, o que torna ransomware e outros ataques de malware disponíveis para pessoas sem conhecimento técnico para realizar esses ataques.

Essas tendências, combinadas com a crescente sofisticação dos adversários e um conjunto de técnicas, táticas e procedimentos (TTPs) em constante avanço, demandam que as organizações desenvolvam e implementem uma estratégia e ferramentas abrangentes de cibersegurança. Além disso, as organizações precisam garantir que aprenderam as principais lições com a detecção de ciberameaças, e que seja possível atribuir os ataques a prováveis adversários e classificações de táticas.

Neste artigo, revisaremos dois dos elementos mais críticos de todas as arquiteturas de cibersegurança, detecção e resposta de endpoint (EDR) e antivírus de próxima geração (NGAV), e os fatores que as organizações precisam considerar ao selecionar e integrar essas ferramentas na estratégia de cibersegurança mais ampla.

Visão geral: detecção e resposta de endpoint (EDR)

Detecção e resposta de endpoint (EDR) é uma solução de cibersegurança que detecta e mitiga ciberameaças monitorando dispositivos de endpoint e analisando dados de endpoint continuamente.

As soluções de EDR funcionam fornecendo visibilidade contínua e abrangente em tempo real sobre a atividade de todos os endpoints. A análise comportamental e a inteligência acionável são aplicadas aos dados de endpoint para impedir que um incidente se transforme em um ataque.

Uma verdadeira ferramenta de EDR deve ter as seguintes capacidades:

• Pesquisa de dados e investigação de incidentes
• Triagem de alertas ou validação de atividades suspeitas
• Detecção de atividades suspeitas
• Investigação de ameaças ou exploração de dados
• Interrupção de atividade mal-intencionada

Visão geral: Antivírus de próxima geração (NGAV)

Antivírus de próxima geração (NGAV) é uma ferramenta de cibersegurança que utiliza uma combinação de inteligência artificial (IA), detecção comportamental, algoritmos de machine learning (ML) e mitigação de exploit para antecipar e prevenir ameaças conhecidas e desconhecidas.

Ao contrário das soluções tradicionais de antivírus, o NGAV é baseado na nuvem, permitindo implementação mais rápida e que não sobrecarrega o endpoint. Além disso, ele elimina ou reduz significativamente o fardo de manter o software, gerenciar a infraestrutura e atualizar bancos de dados de assinaturas.

Uma solução de NGAV conta com as seguintes capacidades:

• Detecção de ameaças conhecidas e desconhecidas e ataques sem arquivo
• Arquitetura baseada na nuvem que não afeta o desempenho de endpoint nem requer hardware ou software adicional
• Implementação e atualização rápidas e simples

Qual é a diferença entre NGAV e EDR?

EDR e NGAV compartilham o propósito comum de ajudar organizações a prevenir ciberataques para reduzir riscos. No entanto, essas soluções são usadas em momentos diferentes e funcionam de formas distintas.

O NGAV é o componente de prevenção da segurança de endpoint, que tem como objetivo impedir a entrada de ciberameaças em uma rede. Embora o NGAV seja uma importante primeira linha de defesa da organização, ele não é infalível. Nenhuma solução, por mais avançada que seja, é capaz de fornecer 100% de proteção.

Quando as ameaças contornam uma solução de antivírus NGAV, a EDR detecta essa atividade e permite que as equipes contenham o adversário antes que ele se movimente lateralmente na rede. Para continuar a analogia, se o NGAV é uma primeira linha de defesa, a EDR é uma rede de segurança que captura ameaças que possam passar despercebidas.

Além de detectar ameaças, a EDR também coleta dados sobre o ataque, incluindo as TTPs usadas. Isso fornece informações contextualizadas à equipe de segurança que incluem atribuição, quando relevante, fornecendo detalhes sobre o ator de ameaças e outras informações conhecidas sobre o ataque. Assim, a equipe é capaz de responder às ameaças rapidamente e solucioná-las com precisão para limitar os danos. Após conter o ataque, a ferramenta de EDR também ajudará a equipe a reunir mais detalhes sobre como o ataque ocorreu e se espalhou, possibilitando a prevenção de ataques semelhantes no futuro.

Minha organização precisa de NGAV e EDR?

Dada a crescente sofisticação dos adversários e suas TTPs em constante avanço e evolução, é importante que as organizações utilizem soluções de EDR e NGAV para fortalecer a defesa.

Quando a prevenção falhar, sua solução de segurança de endpoint atual pode deixar a organização na mão. Os invasores se aproveitam dessa situação para permanecer na sua rede e navegar dentro dela.

Sem ferramentas adequadas de detecção de ameaças, falhas silenciosas permitem que invasores se movimentem livremente pelo ambiente por dias, semanas ou até meses. Os hackers podem usar esse tempo para criar backdoors para retornarem quando quiserem no futuro.

As empresas devem combinar o poder das soluções de EDR e NGAV?

A maioria dos sistemas NGAV e EDR são soluções separadas. No entanto, essas ferramentas não são autônomas nem devem ser implementadas isoladamente.

Em vez disso, elas devem se complementar e ser usadas em conjunto para fortalecer a postura de segurança geral. Além disso, essas ferramentas devem ser integradas na estratégia e arquitetura de cibersegurança abrangentes da organização, que devem conter capacidades de segurança adicionais, como investigação de ameaças, bem como políticas claras e convincentes sobre acesso e gerenciamento de identidade (IAM), autenticação multifatorial (MFA) e Zero Trust.

Como nenhuma solução única oferece proteção absoluta, uma estratégia de segurança múltipla ajuda a preencher lacunas e limitações associadas a ferramentas individuais, que geralmente são os principais pontos de exploração de adversários.

Como avaliar soluções de NGAV e EDR

O cenário de fabricantes de cibersegurança se tornou cada vez mais concorrido nos últimos anos, dificultando a seleção de uma ferramenta adequada às necessidades específicas das organizações.

Exploraremos aqui alguns dos critérios mais importantes que as empresas devem procurar ao avaliar e selecionar ferramentas de proteção de endpoint, como NGAV e EDR:

Integração: um dos fatores mais importantes a serem considerados ao selecionar uma solução de NGAV ou EDR é como ela se integrará à arquitetura mais ampla de cibersegurança sem adicionar complexidade nem exigir qualquer infraestrutura de gerenciamento no local. As principais considerações incluem:

• Integração com inteligência de ameaças para permitir a avaliação imediata das origens, do impacto e da gravidade das ameaças no ambiente e fornecer orientação para a melhor resposta e remediação de ameaças.
• Disponibilidade de extensas interfaces de programação de aplicativo (APIs) para conectar várias aplicações e garantir compartilhamento de dados oportuno e eficiente.
• Integração com tecnologias adjacentes, como controle de dispositivos, firewalls, investigação de ameaças e outras ferramentas e soluções de segurança.

Solução baseada na nuvem: utilizar a tecnologia de nuvem é a única maneira de garantir impacto zero em endpoints e permitir pesquisa, análise e investigação em tempo real. As soluções de EDR e NGAV nativas em nuvem oferecem às organizações menor tempo de implantação, melhor desempenho de endpoint e maior facilidade de operação para a equipe de TI.

Tecnologias avançadas: as soluções de EDR e NGAV devem usar tecnologias inovadoras, como IA/ML, proteção de comportamento e mitigação de exploit, para evitar as TTPs em rápida mudança usadas por adversários para atacar organizações, incluindo malware comum, malware de dia zero e até ataques avançados livres de malware. Para o NGAV, depender apenas de métodos baseados em assinaturas ou indicadores de comprometimento (IOCs) pode causar “falhas silenciosas” que permitem que comprometimentos de dados ocorram. Por outro lado, a detecção de endpoint e a resposta a incidentes eficazes exigem abordagens comportamentais com busca de indicadores de ataque (IOAs) para alertar a empresa sobre atividades suspeitas antes que um comprometimento ocorra.

Prevenção online e offline: os endpoints precisam ser protegidos, estejam eles online ou offline. Soluções compatíveis com processamento de dados e tomada de decisões no endpoint permitem detecção e prevenção altamente precisas e também mantêm o endpoint protegido em qualquer lugar, esteja ele em uso ou não.

Tempo para retorno do valor imediato: no cenário atual de cibersegurança, o tempo é importante. Soluções de EDR e NGAV que levam horas para implementar e começar a operar, sem hardware ou software adicionais, sem ajuste nem configuração melhoram bastante a postura de segurança da organização.

Experimente o Falcon Prevent