Semana passada presenciamos um outage global causado por uma falha nos sistemas da Crowdstrike, empresa líder no mercado de cibersegurança. A solução de EDR (Endpoint Detection and Response) é responsável por monitorar dispositivos para ameaças e atividades suspeitas que ali podem estar ocorrendo. Como uma alternativa, temos o Microsoft Defender for Endpoint, solução de EDR da Microsoft e que iremos explorar hoje.
O que é uma solução de EDR?
Contexto
Já parou para pensar na dimensão de certas organizações? Aquelas empresas de tecnologia globais, prestadoras de serviço que estão em todos os cantos do planeta, empresas da indústria financeira e de saúde, que contém todo tipo de dado que consideramos sensível. Essas organizações contém largas capacidades de infraestrutura e prestação de serviços e contam com ambientes de infraestrutura gigangtescos.
Além dos ambientes que sustentam os produtos, jornadas e serviços prestados pelas empresas, temos também seus funcionários, aqueles que residem e atuam em diversos países diferentes, em funções diferentes, com equipamentos diferentes, com clientes, parceiros e outros funcionários, fazendo de tudo: criando apresentações, construindo demonstrações, desenvolvendo softwares, mantendo a infraestrutura, entre outras atividades.
Essa extensão global dos serviços prestados pelas empresas gera um aumento exponencial na superfície de ataque exposta pelas organizações, deixando a organização cada vez mais atraente para agentes maliciosos que visam explorar alguma vulnerabilidade. Essa larga superfície exposta pode ser protegida por uma solução de EDR.
EDR
A solução de EDR recebe eventos os dispositivos gerenciados pela organização, realização não apenas seu monitoramento, mas também para sensibilizando outras soluções para possíveis ameaças detectadas. Essas detecções geram alertas que podem ser enviados ao time de SOC responsável pelas respostas à incidentes da organização em questão ou também podem servir como gatilhos para execução de workflows automatizados, que "resolvam" a vulnerabilidade sem a necessidade de interação humana.
Com o advento da Inteligência Artificial, as soluções passaram a trazer mais funcionalidades e consequentemente gerar insights mais valiosos e eficiêntes, reduzindo a quantidade de "falsos positivos" enviados para os times de operação de cibersegurança. Acessos de usuários aos endpoints são logados, arquivos recém baixados/criados são analisados, os acessos às portas disponíveis são monitorados, e assim a monitoração e proteção dos recursos vai ganhando forma, gerando ganhos diretos e indiretos à sua organização.
Defender for Endpoint
O Microsoft Defender for Endpoint faz parte da suite de produtos que compõem o Microsoft 365 Defender. Como mostra o desenho acima, retirado da documentação oficial do Defender, a solução pode ser integrada com diversos outros componentes disponíveis não apenas na plataforma da Microsoft, mas também em soluções externas utilizadas na sua empresa.
Planos
Antes de falarmos mais sobre as capacidades técnicas da solução, é importante deixar claro que o Defender está disponível em dois planos (P1 e P2), que se diferenciam no preço e também em algumas das capacidades. O plano P2 se destaca por sua maior cobertura e range de funcionalidades. Um comparativos sobre os dois pode ser visto abaixo:
A solução
O Defender fornece uma extensa cobertura para os dispositivos gerenciados pela sua organização, bastando que o onboarding desses aparelhos seja feito com as configurações desejadas pela sua empresa. Se a sua empresa utiliza alguma das seguintes plataformas, o Defender pode ser configurado para proteger seus usuários e dispositivos:
Windows
macOS
Android
iOS
Uma vez integrados na solução, podemos começar a monitorar as ameaças que permeiam os ativos da organização e que trazem riscos às operações da empresa.
O Defender oferece 7 pilares de defesa para os endpoints:
Core Vulnerability Management - recurso que possibilita a identificação de vulnerabilidades e problemas de configuração.
Attack Surface Reduction - permite a configuração de controles que serão aplicados nos dispositivos para evitar a exposição à recursos maliciosos.
Next-generation Protection - recurso de proteção avançado que garante a segurança dos endpoints contra as mais modernas ameaças emergentes.
Endpoint detection and response - permite identificar ameaças sofisticadas por meio de queries previamente escritas e solucioná-las através de automações.
Automated investigation and remediation - garante a padronização da resposta à certos alerats que são gerados com devida frequência.
Secure Score for Devices - fornece uma visão aos administradores e times de segurança das configurações de segurança dos dispositivos de acordo com certos benchmarks configurados.
Threat Experts - recurso de hunting avançado, que possibilita a integração com o SOC da organização para análise e respostas mais profundas em relação ao incidente.
Através de recursos avançados e modernos, o Defender possibilita a cobertura de uma parte essencial da infraestrutura das empresas, garantindo desde a identificação das vulnerabilidades e ameaças, até as respostas e análilse dos incidentes, permitindo que a organização crie controles efetivos e que considerem os mais diversos pontos identificados pelo Defender.
Qual a importância?
Com o crescimento das empresas e a maior adoção do trabalho flexível e do home office, as organizações perderam boa parte do controle que tinham sob o que seus funcionários podiam acessar e com o que estavam interagindo.
A sofisticação das ameaças cibernéticas e o aumento do uso da inteligência artificial e machine learning tornou a vida dos times de segurança mais complicada nos momentos de resposta às ameaças.
Ter uma ferramenta que fizesse uso de recursos avançados e que pudesse ser escalada conforme crescimento da sua organização (até escalas globais) passou a ser uma das prioridades dos times de segurança e executivos de tecnologia, permitindo dessa forma proteger os ativos da empresa e garantir a liberdade e flexibilidade que seus funcionários precisam para trabalhar.
EDR é um assunto extenso e nos próximos capítulos falaremos mais sobre as funcionalidades e recursos de proteção que estão disponíveis na solução.
Até logo!