Introdução: Kaspersky EDR Optimum

Kaspersky Endpoint Detection and Response Optimum – cibersegurança empresarial superior, sem enrolação.

Nomear produtos e serviços – e também suas diversas funções e recursos – no mercado da cibersegurança em uma palavra não é tarefa fácil. Por quê? Complexidade…

Cibersegurança: não é um objeto como, digamos, um barco. Existem barcos de tamanhos diferentes, mas além de coisas assim, um barco é sempre um barco. Mas na segurança da informação, como pode tudo o que um sistema corporativo moderno de cibersegurança pode ser rotulado de forma simples, que gruda (se isso é possível), e de modo a ser razoavelmente fácil de entender? E como você pode diferenciar um sistema de segurança do outro? Muitas vezes é difícil explicar tais diferenças em um parágrafo longo – imaginem em nome de um produto ou serviço? Como eu disse: complicado.

Talvez seja por isso que a Kaspersky ainda está associada por alguns com “software antivírus”. Mas, na verdade, detectar e neutralizar malwares baseados em um banco de dados de antivírus é hoje apenas uma de nossas tecnologias de segurança: ao longo de um quarto de século, adicionamos a ele um grande número de outras funcionalidades. A palavra antivírus hoje em dia é mais uma metáfora: é conhecida, entendida, e, portanto, é um rótulo útil (talvez não muito preciso ou atualizado).

Mas o que devemos fazer se precisarmos dizer às pessoas sobre a proteção complexa e multifuncional para infraestrutura corporativa de TI? É quando estranhos conjuntos de palavras aparecem. Em seguida, há todas as abreviaturas que vêm com eles, cuja ideia original era simplificação (desses estranhos conjuntos de palavras), mas que muitas vezes apenas aumentam a confusão! E a cada ano o número de termos e abreviaturas cresce, e memorizá-los todos se torna cada vez mais… também complicado. Então deixe-me tentar aqui levá-lo em uma breve excursão de todos esse gobbledygook esses nomes complexos, mas necessários, termos, descrições e abreviaturas – espero fazer o que as abreviaturas lutam para alcançar: trazer clareza.

De EPP para XDR

Okey. De volta ao barco; em vez disso – antivírus.

O nome mais preciso desta classe de produtos hoje é Endpoint Protection ou Endpoint Security. Afinal, como dito acima, não é apenas o antivírus que está protegendo os pontos finais nos dias de hoje, mas uma coleção de medidas de segurança. E às vezes as variadas tecnologias de ponto final recebem um nome atualizado – incluindo a palavra “plataforma”. De alguma forma, isso soa mais apropriado e mais precisamente descritivo – também parece na moda, assim como é uma abreviação: EPP (Endpoint Protection Platform).

A Endpoint Protection Platform é, em essência, um conceito que remonta à década de 1990. Ainda é necessário, mas para proteção da qualidade da infraestrutura distribuída outros métodos são desejados. Os dados precisam ser coletados e analisados de toda a rede para detectar não apenas incidentes singulares, mas também cadeias inteiras de ataques, que não se limitam a um único ponto final. Ameaças precisam ser reagidas em toda a rede – não apenas em um computador.

Avançando mais ou menos uma década, e no início dos anos 2000 aparece uma classe de produtos chamado SIEM – security information and event management, ou na tradução literal, informações de segurança e gerenciamento de eventos. Ou seja, uma ferramenta para a coleta e análise de toda a telemetria de segurança da informação de diversos dispositivos e aplicativos. E não só por hoje: um bom SIEM pode realizar análises retrospectivas – comparando eventos do passado e descobrindo ataques que duram muitos meses ou até anos.

Então, nessa fase (início dos anos 2000 para quem era da turma do fundão e não prestava atenção!) já estamos trabalhando com toda a rede. Mas não há “P” para “Proteção” no SIEM. Assim, a proteção foi fornecida pelo EPP (Endpoint Protection Platform). No entanto, o EPP não vê eventos de rede; por exemplo, ele poderia facilmente perder um APT (ameaça persistente avançada).

Portanto, no início da década de 2010, vem outra abreviação para preencher a lacuna e cobrir ambas as funções de segurança: EDR (Endpoint Detection and Response). Por um lado, fornece monitoramento centralizado de toda a infraestrutura de TI – permitindo, por exemplo, compilar vestígios de ataques de todos os hosts. Por outro lado, um produto do tipo EDR usa para detecção não apenas métodos de PPE, mas também tecnologias mais avançadas: análise correlacional de eventos e a detecção de anomalias com base no aprendizado de máquina e análise dinâmica de objetos suspeitos em um sandbox além de várias outras  ferramentas de caça a ameaças para auxiliar a investigação e a resposta.

E quando fazemos EDR nós mesmos aqui na K, é claro que precisamos colocar nosso selo sobre ele, para nos dar KEDR.

Até agora, tudo ótimo bem . Mas… não há limite para a perfeição!

Avançando novamente, desta vez para o início de 2020, e uma nova abreviação é introduzida e rapidamente atrai os olhares do setor de cibersegurança: XDR (eXtended detection and response). Isto, para dizer grosseiramente, é EDR em esteroides. Esse sistema analisa dados não apenas de endpoints (estações de trabalho), mas também de outras fontes – por exemplo, os gateways de e-mails e os recursos em nuvem. O que faz sentido, já que os ataques à infraestrutura podem vir de todo e qualquer tipo de ponto de entrada.

O XDR pode ser ainda mais enriquecido em termos de sua expertise por mais dados de:

  • serviços de análise de ameaças (o nosso é chamado TIP ([threat intelligence placeholder] Threat Intelligence Portal [/threat intelligence placeholder]),
  • sistemas de análise de tráfego de rede (nosso – KATA),
  • sistemas de monitoramento de eventos de segurança.

Esses dados também podem vir por serviços semelhantes fornecidos por terceiros.

Os recursos de resposta do XDR também estão avançados. Cada vez mais ações de proteção estão se tornando automatizadas, enquanto anteriormente eram feitas de forma manual. Agora, o sistema de segurança pode responder a eventos baseados em regras e cenários astutos de especialistas.

Kaspersky Anti-Targeted Attack Platform com recursos XDR.

Kaspersky Anti-Targeted Attack Platform com recursos XDR.

Complicar ou simplificar?

Espero que esteja claro agora que qualquer EDR ou XDR representa uma grande e complexa coleção de tecnologias. No entanto, as funcionalidades de diferentes desenvolvedores de EDRs ou XDRs podem diferir muito. Por exemplo, cada provedor determina o que e quanto seus especialistas inserem em um EDR/XDR para refletir melhor e, assim, proteger contra os ataques modernos. Então, embora todos eles sejam chamados EDR/XDR, eles não são os mesmos, nem de perto.

Por exemplo, na plataforma Kaspersky XDR, além dos recursos listados acima do XDR, há também um módulo que fornece treinamento interativo para elevar a conscientização cibernética de funcionários de clientes e empresas. E nenhum outro XDR faz tal coisa! Certamente essa é uma boa razão para comemorar e até mesmo se gabar?…

Na verdade, os céticos podem não estar felizes. Eles podem dizer que se somarmos simplesmente tudo o que temos à  proteção empresarial, isso não seria simplesmente demais? Um produto premium que se torna muito complexo, complicado, e difícil de entender. “O que vem a seguir?”, eles pensam: lançamentos de marketing chegando com YDR no próximo ano, então ZDR no ano seguinte?!

Ok, nós entendemos. E ouvimos nossos clientes também. E ao longo dos anos percebemos que na segurança cibernética corporativa, de longe nem todas as empresas precisam de tudo. Muitas vezes, mais acima do que encontramos é um conjunto básico de ferramentas EDR, além de instruções claras e convenientes sobre como usá-las. É especialmente o caso de pequenas e médias empresas com pequenas equipes de especialistas de segurança da informação.

Então, o que fizemos para atender a essas necessidades mais essenciais? Nós criamos nosso novo e melhorado KEDR Optimum: “detecção avançada, investigação simples e resposta automatizada em um pacote fácil de usar para proteger os negócios contra as ameaças mais recentes”. Por exemplo, em seus novos cartões de alerta, além de descrições detalhadas de eventos e ameaças suspeitas, também há agora uma seção de Resposta Guiada. Isso dá recomendações passo a passo para investigação e resposta sobre ameaças descobertas.

As recomendações do Kaspersky Endpoint Detection and Response Optimum

As recomendações do Kaspersky Endpoint Detection and Response Optimum

Recomendações como esta foram preparadas com base em décadas de trabalho dedicado de nossos principais especialistas, e vêm na forma de links para descrições detalhadas de procedimentos de proteção. Isso não só aumenta a velocidade de reação, como também permite que pessoas especializadas em infosec em treinamento aumentem suas habilidades, por exemplo – com pop-ups interativos:

Pop-up interativo do Kaspersky Endpoint Detection and Response Optimum.

Pop-up interativo do Kaspersky Endpoint Detection and Response Optimum.

Outra coisa que o KEDR Optimum pode fazer agora é ser a cobertura dos especialistas de Infosec, possivelmente bloqueando inadvertidamente este ou aquele objeto crítico do sistema. Afinal, o malware às vezes pode ser lançado usando arquivos legítimos do sistema operacional – e bloquear esses arquivos pode dificultar o funcionamento de toda a infraestrutura de TI. Com KEDR Optimum – seu time de segurança tem um aliado adicional.

E, finalmente, devo mencionar apenas mais uma coisa sobre KEDR Optimum.. Tudo isso foi escrito por mim – Sr. K. Prefere algo mais imparcial? Você é meu convidado! Acesse a análise de laboratórios de testes independentes para conhecer o que eles pensam. Por exemplo: IDC, Radicati e SE Lab. Pronto: análise 100% independente e transparente!

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?