Segurança do endpoint não é antivírus gourmetizado

Por André Monteiro

Assim como no Windows se vai em “iniciar” na hora de desligar e no Whatsapp Web se clica em “desconectar” para abrir a sessão, a abordagem de cibersegurança de “começar pelos endpoints” soa como outro trocadilho da vida digital. Mas, na prática, uma solução de EDR (detecção e resposta a ameaças e incidentes no endpoint) bem implementada endereça boa parte dos riscos, com resultados imediatos e perceptíveis. É o básico, tem que ser feito, e dá para maximizar o retorno de investimento se aproveitando bem tudo que o EDR pode fazer.

O senso comum ainda reduz cibersegurança a “antivírus”, assim como a percepção de risco também é associada a esse tipo de ameaça. A realidade técnica dos ataques e as tecnologias eficazes de resposta, evidentemente, tornam essa visão folclórica e anacrônica. Os mais familiarizados com cibersegurança já conhecem bem as inovações de inteligência analítica, automação e na arquitetura da atual geração de EDR. Sem entrar em todas as transformações tecnológicas, os novos mecanismos de proteção, por exemplo, fazem mais do que tornar o software mais leve. A capacidade analítica das melhores plataformas e serviços de EDR, concebidos para enfrentar ameaças desconhecidas e ambientes zero-trust, dá o melhor retrato dos riscos de fato; do que acontece de relevante contra a segurança dos dados, das credenciais e dos usuários.

O complexo depende do simples

A dependência acentuada dos workspaces, canais e serviços digitais tem acelerado a busca por vários serviços de SOC (centro de operações de segurança), com prioridades conforme cada caso de uso. Proteger seus bancos de dados expostos a aplicações de e-commerce; se integrar em cadeias de transações (com APIs de terceiros); garantir a execução de compliance e toda uma agenda de tarefas inadiáveis, por razões de mercado, de fato têm mobilizado muito os provedores de serviços gerenciados de firewall de banco de dados, firewall de aplicação e outras demandas específicas. O endpoint, todavia, continua a ser um ponto central em qualquer estratégia de segurança.

Tentativas de ataques à aplicação, ao banco de dados e tudo que está no data center, evidentemente, são muito piores quando precedidas de roubo de credenciais e acessos por dispositivos comprometidos.

Proteção dos indivíduos é importante por si só

Ao mesmo tempo em que servem de vetores para ataques aos grandes ativos de informação, como violação de banco de dados ou ransomware nos servidores, a segurança de endpoints tem valor por si só. Além de réplicas dos dados corporativos, em muitos casos a propriedade intelectual mais valiosa ou as informações mais estratégicas nascem no dispositivo do engenheiro ou na planilha do CEO.

Embora seja um software mais leve, e associado a serviços em nuvem, o EDR precisa de inteligência e funcionalidades offline que vão muito além da detecção de malware. Por exemplo, deve ser capaz de automatizar a criptografia para segurança de dados (não se bloqueiam as cópias, mas o conteúdo só pode ser aberto com uma chave sob controle) e impedir ou garantir a reversão de criptografia não autorizada. Também pode desabilitar recursos desnecessários e potencialmente perigosos, para mitigar ataques sem malware.

O EDR é um ponto comum da demanda de cibersegurança em vários contextos e neste momento ganha relevância, exatamente pela necessidade de estar mais próximo aos usuários; dos terminais onde tudo começa. Enquanto as grandes plataformas de gestão de vulnerabilidade, firewall e outros recursos mais sofisticados endereçam a “saúde populacional”, o EDR é o médico da família, aquele que mantém o paciente são quando algo dá errado nas estratégias preventivas.

André Monteiro é arquiteto de soluções em cybersecurity da CYLK Technologing.