Quais as diferenças entre Endpoint Protection (EP) e Endpoint Detection and Response (EDR) e como os dois podem ajudar o seu negócio?

Com o aumento do trabalho em home office diante do cenário pandêmico que o mundo está passando, a proteção dos dispositivos nunca se fez tão essencial. O uso dos dispositivos como notebooks, desktops, smartphones, entre outros, em casa dispõe de muitos riscos para as organizações, visto que nem sempre o dispositivo estará conectado na rede corporativa. Além disso, com a proteção contra malwares nesses dispositivos através de uma solução robusta e completa, a organização consegue mitigar muitos riscos dos quais não seria possível caso não tivesse essa proteção.

Muitas organizações possuem várias camadas de segurança para proteção do perímetro da rede corporativa e quando os ativos se encontram fora desse perímetro o risco aumenta, pois não há mais uma barreira de proteção entre um ativo e um possível atacante. Caso o atacante consiga passar pelo perímetro de proteção de segurança, se o ativo não possuir uma proteção o atacante poderá ter acesso, além de estarem conectados diretamente a rede da organização, e no tráfego de informações que recebem e enviam, pode conter algo malicioso que se não for mitigado poderá afetar toda a organização. Vale ressaltar que hoje no mundo dos negócios os dados costumam ser o ativo mais valioso que uma empresa possui, e perder esses dados ou o acesso a eles pode colocar a empresa em risco tendo impacto diretamente na imagem, financeiro, estratégico ou regulatório. Por esses e outros motivos uma proteção para os ativos se tornou tão importante e essencial para as organizações.

E afinal, o que é um Endpoint Protection (EP)?

Quando se trata de Infraestrutura de TI e Segurança da informação, os endpoints são todos os dispositivos finais que se conectam à rede da organização, seja remotamente ou internamente. Dentre eles, temos os desktops, notebooks, servidores, smartphones, tablets, entre outros dispositivos que possuem conectividade com a rede.

Eles são compostos por soluções que detectam, preveem e respondem a ameaças, malwares e outros programas maliciosos que tentam entrar nos sistemas e redes da organização. Mais detalhes sobre o tema no artigo: “O que é endpoint protection?

 Para a proteção contra essas ameaças, as soluções mais completas de Endpoint Protection combinam várias tecnologias em uma interface com gestão centralizada. Dentre elas, podemos elencar:

  • Proteção anti-malware e antivírus: para proteger, detectar e corrigir malwares em vários tipos de ativos e sistemas operacionais diferentes;
  • Segurança proativa da web: para garantir uma navegação segura;
  • Classificação de dados e prevenção contra perda de dados (Data Classification and Data Loss Prevention): para evitar perda e exfiltração de dados;
  • Firewall integrado: para evitar e bloquear ataques de redes e usuários sem autorização;
  • Proteção interna contra ameaças: para analisar o comportamento de aplicações e proteger contra ações não intencionais e maliciosas;
  • Controle de periféricos: para controlar os acessos aos periféricos e mídias removíveis como USB, bluetooth, infravermelho, portas seriais e paralelas, entre outros;
  • Controle de aplicativos: para detectar e bloquear aplicativos que não são uma ameaça à segurança, mas que podem ser considerados inadequados para uso na organização.

Recursos que um Endpoint Protection possui em sua versão completa:

Além de poder proporcionar todas essas proteções, uma das vantagens de se ter um Endpoint Protection é poder gerenciar centralmente toda infraestrutura, garantindo uma visibilidade ampla, simplificando os processos de segurança e diminuindo os custos operacionais.

O que é Endpoint Detection and Response (EDR)?

As soluções de Endpoint Detection and Response (EDR) são responsáveis por detectar e responder aos incidentes e ameaças prevenindo tentativas de violação da segurança do ativo, possibilitando aos analistas de segurança o acesso direto a esses ativos para iniciar tratativas de ataques e ameaças, além de permitir a interrupção de atividades quando uma ameaça é detectada. Uma solução de EDR podem também armazenar e consolidar os dados do ativo possibilitando a criação de alertas automatizados e análises manuais.

As soluções de EDR podem conter diferentes tipos de recursos, mas as funções principais que a maioria possui são:

  • Detecção de eventos: analisam todas as atividades nos ativos buscando por ameaças e identificam atividades maliciosas, ao invés de apenas verificar a existência de malwares.
  • Contenção de eventos: impedem a propagação de ameaças pela rede, bloqueando e isolando os ativos, caso ocorra um incidente de segurança da informação.
  • Investigação de eventos: possuem um banco de dados, logs e informações dos ativos, possibilitando aos Analistas de Segurança a realização de uma investigação forense abrangente de eventos e incidentes.
  • Resposta: possibilitam aos analistas terem respostas imediatas quando ocorre um incidente de segurança. Mantém a triagem da identificação da ameaça possibilitando a execução de algumas ações para correção, como limpar e recriar a imagem do ativo.

Algumas soluções de EDR podem conter outros recursos que irão aumentar ainda mais a proteção dos ativos e auxiliar os analistas de segurança nas respostas a incidentes. Dentre eles:

Machine Learning (Aprendizado de máquina): realiza análises comportamentais com base no aprendizado da máquina para relatar atividades anômalas e suspeitas em um ativo. Pode detectar um malware que nunca foi identificado antes.

  • Proteção anti-ransomware:  impede que o ransomware criptografe os arquivos e os reverte para um estado seguro.
  • Integração: para se obter uma boa segurança dos dados, geralmente requer-se uma integração com vários produtos. É importante que o EDR tenha suporte a APIs ou integrações com outras soluções para complementar e fornecer uma abordagem de segurança em camadas.

O que temos de mais atual no mercado, são as soluções de Endpoint Detection and Response (EDR) que combinam elementos do Endpoint Protection (EP) ou que possuem o recurso de já integrado. Elas englobam a proteção que um EP e um EDR oferecem.

É importante mencionar que as soluções de EP detectam as ameaças apenas com base em suas assinaturas, ou seja, ameaças conhecidas, enquanto as soluções de EDR fornecem recursos para uma análise preditiva e uma detecção avançada das ameaças, além de realizar análise forense de invasões e responder de forma rápida e eficaz.

Independente dos recursos de cada solução, a organização deve concentrar nos ativos que precisam proteger com maior eficácia contra as ameaças. O melhor cenário é procurar por uma solução que tenha característica de ambos os recursos (EP e EDR) e que vá de encontro com as regras de negócio da empresa.

Precisa de ajuda para encontrar a melhor solução de proteção para os ativos da sua empresa? Conte com a gente.

 

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores