• rudy310

SentinelOne - EDR (Detecção e Resposta de Endpoint) Ativo

Atualizado: 21 de mar.


Hoje temos o prazer de anunciar a tecnologia revolucionária do ActiveEDR, da SentinelOne. O ActiveEDR resolve os problemas do EDR como você o conhece, rastreando e contextualizando tudo em um dispositivo. O ActiveEDR é capaz de identificar atos mal-intencionados em tempo real, automatizando as respostas necessárias e permitindo uma busca fácil de ameaças por meio de busca em um único IOC. Leia mais para entender como chegamos aqui e como criamos o primeiro e único EDR realmente ativo.


Na curta história da segurança cibernética , vimos como as tecnologias se tornam desatualizadas rapidamente à medida que o cenário de ameaças muda continuamente. Quando as ameaças começaram a surgir nos anos 90, muitas empresas passaram a instalar proteção antivírus . Esses novos produtos foram capazes de combater uma quantidade relativamente pequena de vírus conhecidos, embora não pudessem combater novos ataques.


Os autores de malware se adaptaram rapidamente com cavalos de tróia e worms correndo atrás do novo ouro.

Adicionado a isso foi a explosão da Dark Web e a capacidade dos cibercriminosos de compartilhar e vender ferramentas e táticas sem serem rastreados. O comércio de ferramentas de ransomware por si só criou uma microeconomia entre os criminosos online. Quando a criptomoeda nasceu, ela resolveu um grande problema para esses grupos maliciosos, pois agora eles podiam explorar indivíduos e empresas sem deixar rastros financeiros.


Tornando a IA acessível a todos

Para enfrentar esses desafios, as empresas precisavam de soluções melhores. Quando a tecnologia de IA se tornou disponível, não demorou muito para que novos produtos inovadores substituíssem as ferramentas legadas com base na detecção de assinaturas.


Essas novas ferramentas EPP ( Endpoint Protection Platform ) treinaram um modelo em um grande número de amostras e usaram um agente no endpoint para combater malware baseado em arquivo. Como muito malware baseado em arquivo é uma reutilização de malware existente, a IA pode ser usada para detectar essas semelhanças sem precisar fornecer atualizações constantes a um agente local.


Essas novas ferramentas proporcionaram algum alívio para a empresa, mas os grupos de malware descobriram rapidamente que os produtos EPP eram totalmente cegos para malware baseado em memória, movimento lateral e ataques de malware sem arquivo . Para piorar as coisas, ferramentas sofisticadas de hackers chegaram a um público mais amplo. Por meio de vazamentos da NSA, ferramentas e técnicas de malware do estado-nação ficaram disponíveis para os cibercriminosos. A empresa precisava de uma nova solução.


Para preencher essa lacuna, nasceu uma nova linha de produtos chamada EDR ( Endpoint Detection and Response ). O EDR atendeu à necessidade da empresa poder pelo menos ver o que estava acontecendo na rede corporativa. A visibilidade era a solução, e seu novo lar era a nuvem.


Mas essas soluções de EDR criaram um novo conjunto de problemas. O EDR, como está hoje, fornece visibilidade, mas requer pessoal qualificado que possa pegar as grandes quantidades de dados que gera, contextualizá-los e usá-los para mitigar a ameaça cibernética. A maior demanda por analistas cibernéticos talentosos criou uma enorme escassez de mão de obra no setor de segurança. Ao mesmo tempo, as soluções baseadas em nuvem sofrem o problema do aumento do tempo de permanência – o atraso entre a infecção e a detecção. Resolver esses problemas é onde o ActiveEDR entra em ação.


Com tantas atividades acontecendo em todos os dispositivos, enviar todas essas informações para a nuvem para análise pode oferecer visibilidade, mas ainda está longe de resolver o principal problema: a enxurrada de alertas enfrentados por equipes de segurança com falta de pessoal. E se você pudesse colocar o equivalente a um analista de SOC qualificado em cada um de seus dispositivos? Um agente que possa contextualizar todas as atividades do dispositivo e identificar e mitigar tentativas de ameaças em tempo real?


O ActiveEDR tem algumas semelhanças com outras soluções de EDR, mas, diferentemente delas, não depende da conectividade da nuvem para fazer uma detecção. Isso reduz efetivamente o tempo de permanência para o tempo de execução. O agente usa a IA para tomar uma decisão sem depender da conectividade da nuvem. O ActiveEDR constantemente desenha histórias do que está acontecendo no terminal. Uma vez que detecta danos, é capaz de mitigar não apenas arquivos e operações maliciosos, mas todo o 'enredo'.


Considere este cenário típico: um usuário abre uma guia no Google Chrome e baixa um arquivo que acredita ser seguro. Ele então executa o arquivo. Este programa é malicioso, iniciando o PowerShell para excluir os backups locais e, em seguida, começar a criptografar todos os dados no disco. O ActiveEDR conhece a história completa, portanto, atenuará isso em tempo de execução, antes que a criptografia comece. Quando a história for mitigada, todos os elementos dessa história serão atendidos, até a guia do Chrome que o usuário abriu no navegador. Ele funciona dando a cada um dos elementos da história o mesmo TrueContext ID. Essas histórias são então enviadas para o console de gerenciamento, permitindo visibilidade e busca fácil de ameaças para analistas de segurança e administradores de TI.


Uma nova experiência para o analista de segurança

O trabalho de um analista de segurança usando soluções passivas de EDR pode ser difícil.

Inundado com alertas, o analista precisa reunir os dados em uma história significativa. Com o ActiveEDR, esse trabalho é feito pelo agente no terminal. As histórias já são montadas usando TrueContext, para que o analista de segurança economize tempo e se concentre no que importa. Em vez de montar histórias, o analista pode revisar histórias completas e contextualizadas, com base em uma única pesquisa do IOC. Isso permite que as equipes de segurança entendam a história e a causa raiz por trás de uma ameaça rapidamente. A tecnologia pode atribuir autonomamente cada evento no endpoint à sua causa raiz sem depender de recursos da nuvem.


Conclusão

Antivírus, EPP e EDR como você os conhece não resolvem o problema de segurança cibernética para a empresa. Para compensar, alguns contam com serviços adicionais para fechar a lacuna. Mas confiar na nuvem aumenta o tempo de permanência. Dependendo da conectividade, é muito tarde no jogo, pois leva apenas alguns segundos para que a atividade maliciosa infecte um endpoint, cause danos e remova rastros de si mesmo. Essa dependência é o que torna as ferramentas EDR de hoje passivas, pois dependem de operadoras e serviços para responder depois que já é tarde demais. A tecnologia do TrueContext transforma o EDR em Ativo, pois responde em tempo real, transformando o tempo de permanência em nenhum momento.


O ActiveEDR capacita as equipes de segurança e os administradores de TI a se concentrarem nos alertas que importam, reduzindo o tempo e o custo de contextualizar a quantidade complicada e esmagadora de dados necessários com outras soluções passivas de EDR.


Achou este artigo interessante? Siga a ASG no Facebook, Youtube e Instagram para ler mais conteúdo como este.


12 visualizações0 comentário