{"id":20109,"date":"2022-10-06T11:35:48","date_gmt":"2022-10-06T14:35:48","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20109"},"modified":"2022-10-06T17:41:55","modified_gmt":"2022-10-06T20:41:55","slug":"introducing-kedr-optimum","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/introducing-kedr-optimum\/20109\/","title":{"rendered":"Introdu\u00e7\u00e3o: Kaspersky EDR Optimum"},"content":{"rendered":"

Nomear produtos e servi\u00e7os \u2013 e tamb\u00e9m suas diversas fun\u00e7\u00f5es e recursos \u2013 no mercado da ciberseguran\u00e7a em uma palavra n\u00e3o \u00e9 tarefa f\u00e1cil. Por qu\u00ea? Complexidade\u2026<\/p>\n

Ciberseguran\u00e7a: n\u00e3o \u00e9 um objeto como, digamos, um barco. Existem barcos de tamanhos diferentes, mas al\u00e9m de coisas assim, um barco \u00e9 sempre um barco. Mas na seguran\u00e7a da informa\u00e7\u00e3o, como pode tudo o que um sistema corporativo moderno de ciberseguran\u00e7a pode ser rotulado de forma simples, que gruda (se isso \u00e9 poss\u00edvel), e de modo a ser razoavelmente f\u00e1cil de entender? E como voc\u00ea pode diferenciar um sistema de seguran\u00e7a do outro? Muitas vezes \u00e9 dif\u00edcil explicar tais diferen\u00e7as em um par\u00e1grafo longo \u2013 imaginem em nome de um produto ou servi\u00e7o? Como eu disse: complicado<\/em>.<\/p>\n

Talvez seja por isso que a Kaspersky ainda est\u00e1 associada por alguns com \u201csoftware antiv\u00edrus\u201d. Mas, na verdade, detectar e neutralizar malwares baseados em um banco de dados de antiv\u00edrus \u00e9 hoje apenas uma de nossas tecnologias de seguran\u00e7a: ao longo de um quarto de s\u00e9culo, adicionamos a ele um grande n\u00famero de outras funcionalidades. A palavra antiv\u00edrus hoje em dia \u00e9 mais uma met\u00e1fora: \u00e9 conhecida, entendida, e, portanto, \u00e9 um r\u00f3tulo \u00fatil (talvez n\u00e3o muito preciso ou atualizado).<\/p>\n

Mas o que devemos fazer se precisarmos dizer \u00e0s pessoas sobre a prote\u00e7\u00e3o complexa e multifuncional para infraestrutura corporativa de TI? \u00c9 quando estranhos conjuntos de palavras aparecem. Em seguida, h\u00e1 todas as abreviaturas que v\u00eam com eles, cuja ideia original era simplifica\u00e7\u00e3o (desses estranhos conjuntos de palavras), mas que muitas vezes apenas aumentam a confus\u00e3o! E a cada ano o n\u00famero de termos e abreviaturas cresce, e memoriz\u00e1-los todos se torna cada vez mais\u2026 tamb\u00e9m complicado<\/em>. Ent\u00e3o deixe-me tentar aqui lev\u00e1-lo em uma breve excurs\u00e3o de todos esse gobbledygook<\/span> esses nomes complexos, mas necess\u00e1rios, termos, descri\u00e7\u00f5es e abreviaturas \u2013 espero fazer o que as abreviaturas lutam para alcan\u00e7ar: trazer clareza.<\/p>\n

De EPP para XDR<\/h2>\n

Okey. De volta ao barco; em vez disso \u2013 antiv\u00edrus.<\/p>\n

O nome mais preciso desta classe de produtos hoje \u00e9 Endpoint Protection ou Endpoint Security. Afinal, como dito acima, n\u00e3o \u00e9 apenas o antiv\u00edrus que est\u00e1 protegendo os pontos finais nos dias de hoje, mas uma cole\u00e7\u00e3o de medidas de seguran\u00e7a. E \u00e0s vezes as variadas tecnologias de ponto final recebem um nome atualizado \u2013 incluindo a palavra \u201cplataforma\u201d. De alguma forma, isso soa mais apropriado e mais precisamente descritivo \u2013 tamb\u00e9m parece na moda, assim como \u00e9 uma abrevia\u00e7\u00e3o: EPP<\/a> (Endpoint Protection Platform).<\/p>\n

A Endpoint Protection Platform \u00e9, em ess\u00eancia, um conceito que remonta \u00e0 d\u00e9cada de 1990. Ainda \u00e9 necess\u00e1rio, mas para prote\u00e7\u00e3o da qualidade da infraestrutura distribu\u00edda outros m\u00e9todos s\u00e3o desejados. Os dados precisam ser coletados e analisados de toda a rede para detectar n\u00e3o apenas incidentes singulares, mas tamb\u00e9m cadeias inteiras de ataques, que n\u00e3o se limitam a um \u00fanico ponto final. Amea\u00e7as precisam ser reagidas em toda a rede \u2013 n\u00e3o apenas em um computador.<\/p>\n

Avan\u00e7ando mais ou menos uma d\u00e9cada, e no in\u00edcio dos anos 2000 aparece uma classe de produtos chamado SIEM<\/a> \u2013 security information and event management, ou na tradu\u00e7\u00e3o literal, informa\u00e7\u00f5es de seguran\u00e7a e gerenciamento de eventos. Ou seja, uma ferramenta para a coleta e an\u00e1lise de toda a telemetria de seguran\u00e7a da informa\u00e7\u00e3o de diversos dispositivos e aplicativos. E n\u00e3o s\u00f3 por hoje: um bom SIEM pode realizar an\u00e1lises retrospectivas \u2013 comparando eventos do passado e descobrindo ataques que duram muitos meses ou at\u00e9 anos.<\/p>\n

Ent\u00e3o, nessa fase (in\u00edcio dos anos 2000 para quem era da turma do fund\u00e3o e n\u00e3o prestava aten\u00e7\u00e3o!) j\u00e1 estamos trabalhando com toda a rede. Mas n\u00e3o h\u00e1 \u201cP\u201d para \u201cProte\u00e7\u00e3o\u201d no SIEM. Assim, a prote\u00e7\u00e3o foi fornecida pelo EPP (Endpoint Protection Platform). No entanto, o EPP n\u00e3o v\u00ea eventos de rede; por exemplo, ele poderia facilmente perder um APT<\/a> (amea\u00e7a persistente avan\u00e7ada).<\/p>\n

Portanto, no in\u00edcio da d\u00e9cada de 2010, vem outra abrevia\u00e7\u00e3o para preencher a lacuna e cobrir ambas as fun\u00e7\u00f5es de seguran\u00e7a: EDR<\/a> (Endpoint Detection and Response). Por um lado, fornece monitoramento centralizado de toda a infraestrutura de TI \u2013 permitindo, por exemplo, compilar vest\u00edgios de ataques de todos os hosts. Por outro lado, um produto do tipo EDR usa para detec\u00e7\u00e3o n\u00e3o apenas m\u00e9todos de PPE, mas tamb\u00e9m tecnologias mais avan\u00e7adas: an\u00e1lise correlacional<\/a> de eventos e a detec\u00e7\u00e3o de anomalias com base no aprendizado de m\u00e1quina<\/a> e an\u00e1lise din\u00e2mica de objetos suspeitos em um sandbox<\/a> al\u00e9m de v\u00e1rias outras \u00a0ferramentas de ca\u00e7a a amea\u00e7as<\/a> para auxiliar a investiga\u00e7\u00e3o e a resposta<\/a>.<\/p>\n

E quando fazemos EDR n\u00f3s mesmos aqui na K<\/em>, \u00e9 claro que precisamos colocar nosso selo sobre ele, para nos dar KEDR<\/a>.<\/p>\n

At\u00e9 agora, tudo \u00f3timo bem<\/span> . Mas\u2026 n\u00e3o h\u00e1 limite para a perfei\u00e7\u00e3o!<\/p>\n

Avan\u00e7ando novamente, desta vez para o in\u00edcio de 2020, e uma nova abrevia\u00e7\u00e3o \u00e9 introduzida e rapidamente atrai os olhares do setor de ciberseguran\u00e7a: XDR<\/a> (eXtended detection and response<\/a>). Isto, para dizer grosseiramente, \u00e9 EDR em esteroides. Esse sistema analisa dados n\u00e3o apenas de endpoints (esta\u00e7\u00f5es de trabalho), mas tamb\u00e9m de outras fontes \u2013 por exemplo, os gateways de e-mails e os recursos em nuvem. O que faz sentido, j\u00e1 que os ataques \u00e0 infraestrutura podem vir de todo e qualquer tipo de ponto de entrada.<\/p>\n

O XDR pode ser ainda mais enriquecido em termos de sua expertise por mais dados de:<\/p>\n