No recente evento IT Nation Secure 2023, a ConnectWise compartilhou uma estatística interessante da Accenture em sua palestra de abertura: “Embora 43% dos ataques cibernéticos sejam direcionados a pequenas e médias empresas (SMBs), apenas 14% das SMBs estão preparadas para defender seus negócios contra ameaças cibernéticas generalizadas.”
Não é surpresa no mundo moderno e conectado que empresas menores estejam sendo visadas, já que atores mal-intencionados estão usando inteligência artificial (IA) para descobrir vulnerabilidades, modificar malware e fazer campanhas de phishing muito criativas. Embora os serviços de IA, como o ChatGPT, possam ajudar a aumentar a produtividade, ferramentas de IA semelhantes ou até iguais estão sendo usadas por agentes mal-intencionados para automatizar ataques. Apenas alguns anos atrás, era difícil imaginar as pequenas e médias empresas sendo o principal alvo dos cibercriminosos. Por outro lado, tornou-se tão fácil para os invasores hoje que as ameaças de malware e ransomware em pequenas e médias empresas se tornaram a norma.
Desvantagens da proteção antivírus padrão
É difícil imaginar uma empresa que não esteja usando a proteção antivírus essencial, especialmente agora, quando soluções integradas gratuitas, como o Windows Defender, oferecem um nível razoável de proteção contra malware. No entanto, os antivírus tradicionais podem ter limitações significativas.
• Capacidades de detecção limitadas: Os antivírus tradicionais concentram-se na detecção de malware em um computador, usando um banco de dados de ameaças conhecidas (assinaturas) e análises comportamentais. No entanto, os ataques modernos estão se tornando cada vez mais sofisticados e os invasores mascaram a atividade de malware, usando malware sem arquivo ou até mesmo ferramentas legítimas, como acesso remoto à área de trabalho, para se infiltrar em redes e endpoints e roubar dados.
• Proteção reativa: Os antivírus são projetados para detectar e bloquear malware em execução em uma máquina. Pode ser tarde demais em muitos casos, e os ataques devem ser descobertos e evitados antes que o malware seja implantado.
• Capacidade limitada para investigações: Após um ataque cibernético, é importante investigar como o ataque aconteceu e como ataques semelhantes podem ser evitados. Os antivírus tradicionais permitem coletar informações sobre o malware, mas geralmente não fornecem dados para explorar como o malware foi implantado em um sistema.
Compreendendo o EDR
A solução que encontrei que melhor atende às necessidades das empresas modernas é a detecção e resposta de endpoint (EDR). EDR é uma tecnologia de segurança cibernética integrada projetada para proteger computadores (endpoints) monitorando continuamente a atividade nos endpoints, alertando os administradores sobre eventos suspeitos e oferecendo correção automatizada ou semiautomática para prevenir ameaças ou fornecer soluções de recuperação de um ataque. Uma solução de EDR pode permitir que os profissionais de TI descubram e corrijam um ataque, executem uma investigação em questão de minutos e evitem a ocorrência de ataques futuros. Frequentemente, o EDR é associado a uma solução de backup ou recuperação de desastres para garantir a continuidade dos negócios em caso de eventos catastróficos, pois uma das ações de correção pode ser a recuperação do sistema de um estado anterior saudável.
As soluções de EDR incluem vários benefícios:
• Caça proativa a ameaças: O EDR detecta ameaças proativamente, monitorando continuamente o endpoint e o comportamento da rede e identificando anomalias que podem indicar uma ameaça à segurança.
• Visibilidade aprimorada: OEDR fornece visibilidade aprimorada dos endpoints, oferecendo informações sobre o que está acontecendo no dispositivo em tempo real.
• Resposta automatizada: As soluções de EDR podem responder automaticamente às ameaças detectadas, reduzindo significativamente o tempo de resposta e atenuando possíveis danos.
• Análise avançada: os sistemas EDR utilizam análises avançadas, incluindo IA, para detectar padrões e comportamentos incomuns que podem indicar uma ameaça.
Desafios EDR
O termo EDR foi cunhado pelo Dr. Anton Chuvakin, do Gartner, em 2013, e as soluções de EDR estão no mercado há mais de uma década. No entanto, apesar de sua maturidade, o EDR não foi amplamente adotado por pequenas e médias empresas, principalmente devido aos altos custos e à falta de experiência em segurança. Gerenciar uma solução de EDR pode ser uma tarefa assustadora para uma equipe de TI; As soluções EDR coletam e processam um grande número de eventos e geram vários alertas e notificações, aos quais as equipes de TI devem atender além de suas tarefas diárias habituais de gerenciamento da infraestrutura de TI e tratamento de tíquetes de suporte dos usuários. É por isso que o gerenciamento de notificações e a análise de eventos geralmente requerem um tempo significativo de indivíduos especialmente treinados.
No entanto, nos últimos anos, as soluções de EDR tornaram-se mais acessíveis aos MSPs e mais fáceis de usar com menos conhecimento tecnológico necessário. E à medida que os ataques cibernéticos se tornam mais prevalentes, acredito que os líderes de SMB devem considerar o emprego da tecnologia EDR.
Como PMEs e equipes de TI podem empregar soluções de EDR
1. Aloque tempo para treinamento em segurança cibernética. A educação contínua para profissionais de TI é fundamental, pois o conhecimento de TI e segurança cibernética fica desatualizado rapidamente. Portanto, empresários e gerentes de TI devem alocar tempo para o treinamento e certificação de profissionais de TI. Certificações de fornecedores em EDR podem ser um bom começo.
2. Encontre uma solução de EDR que ofereça automação máxima. Os critérios críticos para o efeito EDR incluem a capacidade de automatizar o processamento de eventos e alertas, oferecer orientação para resolver problemas e ser flexível na configuração de filtros para alertas e ações, para reduzir as cargas de trabalho humanas necessárias.
3. Integre e automatize. Implemente a integração com provedores de identidade e outras soluções de segurança da empresa, como segurança de e-mail ou firewalls. Minimize o número de ferramentas separadas a serem gerenciadas para reduzir a carga de trabalho do profissional de TI.
4. Faça parceria com um provedor de serviços gerenciados (MSP) especializado em segurança cibernética. Em alguns casos, pode ser uma solução mais confiável e econômica usar uma empresa com recursos, conhecimento e experiência trabalhando com soluções de EDR para empresas SMB. (Divulgação completa: minha empresa oferece esses serviços, assim como outras.) Mesmo que você não tenha atualmente o talento técnico disponível ou sua equipe interna não possa acomodar a carga de trabalho adicional, existem muitos provedores de serviços que podem oferecer isso serviço.
Para concluir
O panorama das soluções de EDR passou por uma transformação e revolução significativas recentemente. Os avanços na IA ajudam a automatizar a análise de segurança, filtrando eventos benignos e fornecendo apenas as informações mais importantes aos administradores de TI. O gerenciamento de soluções de EDR não requer mais muito treinamento avançado, e MSPs ainda menores podem oferecer esses serviços a seus clientes. No geral, acredito que usar o EDR não é mais apenas uma recomendação – é um requisito essencial para a sobrevivência no mundo digital de hoje.
Fonte leia mais: https://www.forbes.com/sites/forbesbusinesscouncil/2023/07/24/the-importance-of-edr-digital-security-for-smbs/
