Para começar vamos esclarecer o que queremos dizer com endpoint. No passado, era definido como qualquer dispositivo pessoal usado por um usuário final como um computador desktop, laptop ou dispositivo portátil. Agora, os endpoints incluem a Internet das Coisas, ou loTs, que engloba todos os tipos de gadgets, como um termostato inteligente ou geladeira em uma casa.
Os endpoints sempre foram um ponto de entrada fácil em uma rede. Por que tentar contornar um firewall quando, por meio de engenharia social, é possível explorar usuários crédulos e descuidados. À medida que as conexões online se expandiram, o número de vetores de ataque se multiplicou nos terminais, dando aos invasores mais oportunidades de exploração.
Antes das redes serem conectadas à internet, os malfeitores dependiam de disquetes para espalhar malware. Um disco infectado inserido em um computador infectaria esse computador. Mais tarde, isso incluiria outros dispositivos de armazenamento removíveis, como CDs, DVDs e unidades portáteis conectadas por USB. Como você pode imaginar, esse vetor de ataque era bastante limitado. Os primeiros produtos de segurança de endpoint eram antivírus, ou AV, software que verificava dispositivos e seu disco rígido em busca de malware. Eles eram baseados em assinaturas, o que significa que o software antivírus procurava características, impressões digitais ou assinaturas específicas do vírus. Se encontrasse algo com essas características, poderia colocar em quarentena ou expurgar o programa.
Tudo isso mudou quando as redes domésticas e empresariais começaram a se conectar à internet. Muitos outros vetores de ataque ficaram disponíveis para o cibercriminoso como phishing de e-mail, sites infectados, BYOD (Bring Your Own Device ou traga seu próprio dispositivo) para o trabalho e mídias sociais. Assim, os maus atores começaram a explorar brechas de segurança em sistemas operacionais, aplicativos como o navegador da Web e até aplicativos relativamente inertes, como um documento do MS Word. Para agravar esse problema de uma superfície de ataque em expansão, a própria natureza do malware mudou. O malware polimórfico foi projetado para mudar por si só, imitando vírus que sofrem mutações no mundo natural. Isso significava que o software antivírus baseado em assinatura não era mais totalmente eficaz.
Junto veio a Endpoint Protection Plataform ou plataforma de proteção de endpoint ou EPP, que se destinava a evitar ataques de malware baseados em arquivos e implementar outros controles preventivos. O método se concentrava em parar o malware antes que ele executasse e infectasse o endpoint. Malware baseado em arquivo é um arquivo baixado para um dispositivo que, quando aberto, executa um código malicioso ou um script.
O EPP forneceu muitos serviços focados em prevenção, como antivírus, firewall de dispositivos, filtragem da Web, proteção de dados por meio de criptografia e controle de dispositivos. O controle de dispositivos é uma tecnologia que fornece segurança integrada que detecta, autoriza e protege dispositivos de armazenamento removíveis. A filtragem da Web é uma tecnologia que permite aos administradores de rede controlar que tipo de site você tem permissão para visitar.
No entanto, nenhuma dessas técnicas provou ser o melhor remédio para infecções de endpoint. Na época, a filtragem da Web era considerada a solução porque se supunha que o malware nascido na Web vinha apenas de sites obscenos. Permaneceu a possibilidade de que o malware pudesse se passar por um anúncio em um site legítimo.
Dada a complexidade em constante evolução dos métodos de ataque e a superfície de ataque em expansão, os profissionais de segurança perceberam que era impossível evitar todas as infecções por malware. Assim uma nova estratégia foi desenvolvida chamada de detecção e resposta de endpoint, ou EDR.
O EDR é um software usado para detectar, investigar e responder a atividades suspeitas em endpoints. Começou como uma ferramenta de investigação forense digital e forneceu aos analistas de segurança as informações e ferramentas de inteligência de ameaças necessárias para analisar um ataque e identificar os indicadores de comprometimento, ou loC. Os analistas foram capazes de detectar malware, alguns dos quais permaneceram sem serem detectados nas redes por meses ou anos. Em vez de investigar um ataque para conhecer sua anatomia, a ferramenta também foi usada para detectar um ataque em andamento em tempo real. Ferramentas de remediação também foram adicionadas, o que permitiu aos analistas solicitar mais informações de terminais, banir processos, isolar terminais e bloquear IPs específicos.
Esse EDR de primeira geração usava principalmente métodos manuais que consumiam tempo e eram muito lentos para ameaças rápidas, como ransomware. Sua configuração e uso exigia experiência de alto nível e a análise de vários alertas, consumia tempo dos analistas.
O EDR de segunda geração foi projetado para ser orientado por políticas e automatizado. Os analistas agora podem direcionar o EDR para corrigir problemas de forma imediata e automática. Atividades maliciosas acionam bloqueios automáticos para evitar a roubo de dados, criptografia e tentativas de infiltração na rede. Ele pode parar e reverter o ransomware em tempo real sem necessariamente remover o dispositivo ou interromper a continuidade dos negócios.
Os profissionais de segurança rapidamente perceberam as vantagens da fusão das tecnologias EDR e EPP, e a maioria das definições de EPP agora inclui ambas as características. Um único agente integrado pode impedir a maioria dos malwares baseados em arquivos no estágio de pré-infecção e pré-execução, ao mesmo tempo em que detecta e responde ao malware que evitou a prevenção no estágio de pós-infecção uma solução combinada de EPP e EDR também elimina problemas de integração e simplifica a configuração e o gerenciamento para analistas.