Para começar, lembre-se do que é uma tríade nuclear. Este termo refere-se às forças armadas estratégicas de um estado equipado com armas nucleares. A tríade inclui três componentes: aviação estratégica aérea, mísseis balísticos terrestres e intercontinentais, portadores de mísseis submarinos atômicos marítimos.
Caro Gartner, fez uma analogia das forças armadas estratégicas do estado com o centro de monitoramento e resposta operacional a incidentes (SOC), destacando os seguintes elementos da tríade SOC: Gerenciamento de informações e eventos de segurança (SIEM), Análise de tráfego de rede (NTA), Análise de tráfego de rede (NTA), Detecção e resposta de pontos de extremidade (EDR). Observando essa analogia, torna-se óbvio que o SOC só pode ser eficaz ao máximo se estiver equipado com todos os componentes de proteção: no "ar", na "terra" e no "mar".
Infelizmente, atualmente a maioria das organizações usa apenas "aviação estratégica" - sistemas SIEM. Raramente, “mísseis balísticos intercontinentais” - NTA, substituindo a análise completa do tráfego de rede apenas coletando logs das ferramentas de segurança de rede padrão. E muito raramente é o "transportador de mísseis submarinos nucleares" - EDR.
No artigo de hoje, de acordo com o legado do Gartner, quero destacar as principais razões da importância de incluir a tecnologia EDR como um dos elementos de um centro moderno de monitoramento e resposta rápida a incidentes.
No mundo da segurança da informação, a tecnologia EDR é muito mais do que apenas a proteção avançada de estações de trabalho e servidores contra ameaças complexas. De ano para ano, os trabalhos continuam sendo o objetivo principal dos invasores e os pontos de entrada mais comuns na infraestrutura das organizações, o que requer a devida atenção e a proteção adequada. E a telemetria é uma informação valiosa necessária para uma investigação de incidentes de alta qualidade, cuja importância de acesso aumenta ainda mais com o advento do novo protocolo de criptografia TLS 1.3 e sua distribuição ativa.
O EDR está rapidamente se tornando a força motriz por trás do aumento da maturidade e eficácia dos SOCs modernos.
Vamos ver porque?
Visibilidade adicional
Primeiro, a tecnologia EDR é capaz de dar visibilidade à equipe do SOC, onde a maioria das organizações permanece cega hoje em dia, pois a maioria delas se concentra no monitoramento de atividades na rede. Tais empresas, dentro da estrutura do funcionamento do centro de monitoramento e da resposta operacional a incidentes, raramente ou apenas parcialmente conectam pontos de extremidade como fontes de eventos no sistema SIEM. Isso se deve ao alto custo de coleta e processamento de logs de todos os terminais e também à geração de um grande número de eventos para analisar em um nível suficientemente alto de falsos positivos, o que geralmente leva à sobrecarga de especialistas e ao uso ineficiente de recursos caros em geral.
Uma ferramenta especial para detectar ameaças complexas em hosts
Ameaças complexas e ataques direcionados usando código malicioso desconhecido, contas comprometidas, métodos sem arquivo, aplicativos e ações legítimas que não carregam nada de suspeito requerem uma abordagem de detecção em vários níveis usando tecnologias avançadas. Dependendo de um fornecedor ou de outro, o EDR geralmente pode incluir várias tecnologias de detecção que funcionam no modo automático, semi-automático e ferramentas internas que exigem a configuração manual de tarefas, envolvendo pessoal altamente qualificado. Por exemplo, pode ser: antivírus, mecanismo de análise comportamental, sandbox, pesquisa de indicadores de comprometimento (IoC), trabalho com indicadores de ataque de IoA, comparação com as técnicas MITRE ATT e CK, além de interação automática com Threat Intelligence e consultas manuais ao banco de dados global de ameaças, análise retrospectiva, a capacidade de procurar proativamente por ameaças (caça às ameaças). O EDR é uma ferramenta adicional para análise SOC com uma interface intuitiva para a capacidade de procurar ameaças em tempo real, o que permite fazer solicitações complexas para procurar atividades suspeitas, ações maliciosas, levando em consideração os recursos da infraestrutura protegida.
Todas as opções acima permitem que as organizações detectem ameaças complexas destinadas a ignorar as ferramentas tradicionais de proteção de host, como antivírus convencionais, NGAV ou soluções de classe EPP (Endpoint Protection Platform). Hoje, este último trabalha em estreita colaboração com as soluções EDR e a maioria dos fabricantes dessa classe de produtos fornece funcionalidade EPP e EDR em um único agente, sem sobrecarregar a máquina e ao mesmo tempo fornecendo uma abordagem integrada para proteger os terminais de ameaças complexas, impedindo automaticamente as mais simples. ameaças, terminando com a detecção e resposta a incidentes mais complexos. Os mecanismos avançados de detecção usados no EDR permitem que as equipes identifiquem ameaças rapidamente e respondam rapidamente, evitando possíveis danos aos negócios.
Contexto adicional
Os dados sobre eventos do host do EDR são uma adição significativa às informações geradas por outros elementos de segurança e aplicativos de negócios da infraestrutura protegida, que são comparados pelo sistema SIEM no centro de monitoramento e resposta a incidentes. O EDR fornece acesso rápido aos dados da infraestrutura do nó de extremidade já enriquecidos em um contexto adicional, o que permite, por um lado, identificar rapidamente falsos positivos e, por outro lado, usar esses dados como um precioso material pré-processado na investigação de ataques complexos, ou seja, o EDR fornece logs relevantes correlacionar com eventos de outras fontes, melhorando assim a qualidade das investigações globais no SOC.
Automação adicional
Para organizações que não possuem EDR, a detecção de ameaças complexas na infraestrutura de terminais, que inclui: coletar, armazenar e analisar dados, além de executar várias ações nos estágios de investigação e resposta a incidentes complexos, parece uma tarefa bastante trabalhosa sem o uso de ferramentas de automação.
Hoje, muitos analistas gastam muito tempo em operações de rotina necessárias e importantes, mas que podem ser automatizadas. A automação dessas tarefas manuais de rotina permitirá que as organizações não apenas economizem o caro tempo de trabalho do analista, mas também reduzam sua carga de trabalho e permitam que se concentrem na análise e resposta a incidentes verdadeiramente complexos. Os EDRs fornecem um fluxo de trabalho de gerenciamento de incidentes totalmente automatizado, da detecção de ameaças à análise e resposta. Isso permite que a equipe do SOC execute tarefas diárias de forma mais eficiente, sem perder tempo com o trabalho manual, reduzindo assim o custo de análise de logs desnecessários.
Acesso rápido aos dados e sua representação visual das informações
As organizações podem encontrar algumas dificuldades para obter os dados necessários para uma investigação, como a incapacidade de acessar rapidamente estações de trabalho e servidores com uma infraestrutura distribuída ou a incapacidade de obter informações contextuais de máquinas específicas devido à destruição ou criptografia de dados por invasores. Obviamente, isso impossibilita a obtenção dos dados necessários para um processo de investigação eficaz e uma resposta adicional a incidentes. Quando o incidente já ocorreu, o uso da tecnologia EDR, incluindo gravação contínua e centralizada, elimina suposições e economiza tempo do analista.
Um invasor geralmente destrói suas trilhas, mas o EDR, como já mencionado, registra todas as ações de ataque. Toda a cadeia de eventos é registrada e armazenada com segurança para uso futuro. Quando um aviso de qualquer tipo é acionado, o EDR fornece uma ferramenta conveniente com a qual os analistas do SOC podem solicitar rapidamente informações para verificar ameaças, eliminar falsos positivos e fazer solicitações para verificar novamente os dados retrospectivos para aumentar a eficácia da investigação e resposta.
Todas as ações nos hosts são apresentadas na interface na forma de uma árvore de eventos, ajudando assim os analistas a verem toda a imagem do ataque, além de procurar as informações necessárias para investigar e tomar medidas operacionais para evitar a ameaça.
O armazenamento centralizado de telemetria, objetos e veredictos gerados anteriormente permite que os analistas trabalhem com dados retrospectivos como parte de uma investigação de ameaças, incluindo ataques estendidos ao longo do tempo. O EDR hoje é uma fonte de dados valiosos para o SOC de hoje.
Resposta centralizada
Quando um incidente é detectado, o EDR fornece opções avançadas para executar ações em diferentes estágios de sua investigação: por exemplo, colocar um arquivo em quarentena, executar comandos arbitrários em um host, excluir um objeto, isolar a rede dos hosts e outras ações. O EDR permite que você responda imediatamente a incidentes por meio da apresentação visual de informações e da configuração centralizada de tarefas, o que não exige viagens à cena do crime para encontrar evidências e tomar medidas de resposta. O EDR é uma ferramenta para otimizar os custos trabalhistas dos especialistas em SOC. As organizações reduzem significativamente o número de operações manuais de rotina, economizam o tempo dos analistas do SOC e reduzem o tempo de resposta de horas para minutos.
Conclusão
Os EDRs são uma fonte inestimável de dados para SOCs, fornecendo recursos poderosos de pesquisa de ameaças e resposta centralizada a incidentes, maximizando a automação de processos para coletar, analisar e responder a ameaças detectadas.
O uso do EDR no SOC permitirá que as organizações:
- aumentar a eficiência do processamento de incidentes complexos devido à visibilidade adicional do nível do terminal, a possibilidade de pesquisa proativa de ameaças e a apresentação visual de informações sobre eventos detectados nos hosts;
- enriquecer o SOC com dados relevantes pré-processados de estações de trabalho e servidores, para comparação com logs fornecidos por outras fontes para uma investigação eficaz;
- reduz significativamente o número de horas gastas pelos analistas em tarefas tediosas, mas necessárias, associadas à análise de dados de estações de trabalho e servidores, além de responder a incidentes.