Como falamos no artigo anterior, a pandemia do COVID-19 (coronavírus) fez com que várias empresas começassem de forma imediata e, muitas vezes, não organizada, a prover o trabalho remoto. Esse novo modelo de trabalho agora é uma realidade, mas as empresas estão preparadas, no que tange a segurança computacional, para esse novo momento?
Endpoint Protection em uma tradução literal é “Proteção de Ponto Final”. Em nossos artigos publicados detalhamos sobre alguns componentes de segurança como Firewall, IPS/IDS e VPN. De forma geral estas soluções são aplicadas em um ponto de concentração conforme pode ser visto na imagem abaixo.
Como observado na Imagem 01 os componentes de VPN, Firewall e IPS estão instalados entre a Internet e a Rede Interna da Empresa.
Tendo esta visão poderíamos questionar:
1. Estamos abordando o trabalho remoto. As estações dos usuários não estão mais dentro das empresas e desta forma as estruturas de Firewall, IPS/IDS e VPN não estão as protegendo. Como vou garantir a segurança?
2. Caso o invasor tenha acesso a qualquer componente interno da rede, como estações de trabalho, como estes componentes de segurança (Firewall, IPS/IDS e VPN) poderiam proteger?
Avaliando os questionamento acima, para tratarmos o item 1 seria necessário criar uma estrutura de segurança onde cada profissional que viesse a trabalhar remotamente. Já para tratarmos o item 2 seria necessário instalar componentes adicionais de segurança dividindo a rede interna em vários perímetros garantindo assim que a proteção fosse eficiente.
As soluções de Endpoint Protection vieram para tratar os pontos acima abordados de forma simplificada, uma vez que levam ao “ponto final”, ou seja, estações de trabalho, servidores e smartphones, uma solução de segurança.
Certamente todos já ouviram falaram sobre Antivírus. As soluções de Endpoint Protection são a evolução das soluções de Antivírus incorporando inúmeras outras funcionalidades de segurança. Vejamos abaixo o que INFOMACH aborda sobre a solução de Endpoint Protection.
…”O Endpoint Security atua na interrupção de ameaças, no monitoramento da integridade geral do sistema e na geração de relatórios com informações sobre detecção e status. O software cliente é instalado em cada sistema, porém possui um orquestrador centralizado.
O sistema de proteção engloba gerenciamento de permissões de instalação e de acessos a aplicativos, controle de acesso à rede e à Internet, controle de dispositivos, gerenciamento contra perda de dados (DLP), detecção e resposta de ameaças e principalmente, proteção antimalware”…
Texto extraído da URL https://www.infomach.com.br/seguranca-de-endpoint-o-que-e/
As soluções de Endpoint Protection operam examinando arquivos, processos, trafego de rede e sistemas em busca de atividades suspeitas e/ou maliciosas. As soluções de Endpoint Protection oferecem uma console de gerenciamento centralizada para monitoramento e investigação de ameaças cibernéticas.
Para uma melhor compressão relacionamos abaixo algumas funcionalidades existentes na solução de Endpoint Protection do fornecedor Bitdefender (empresa parceira ZCO).
Hardening e análise de risco
Endpoint e avaliação de risco humano: análises, painéis e relatórios avançados de avaliação de Endpoint e ações humanas permitem minimizar possíveis riscos de segurança cibernética.
Gerenciamento de vulnerabilidades: um processo contínuo que identifica e aborda proativamente as lacunas de segurança para melhorar a resiliência cibernética, fortalecer as defesas e reduzir a superfície de ataque.
Prevenção
Anti-ransomware: defesa contra tentativas de ransomware criando automaticamente um backup dos arquivos de destino que são restaurados após o bloqueio do malware.
Controle de aplicativos: camada crítica para controles de TI, evitando malware, ataques de dia zero e aprimorando a segurança sem afetar a produtividade.
Exploit Defense: tecnologia antiexploit que lida com exploits evasivos e impede ataques de dia zero que se aproveitam de vulnerabilidades de softwares.
Fileless Attack Defense: combina os recursos de segurança necessários para proteção contra ataques modernos que utilizam técnicas sem arquivo para executar scripts e carregar códigos maliciosos diretamente na memória.
Aprendizado de máquina (HyperDetect): poderosa tecnologia preventiva de aprendizado de máquina projetada especificamente para organizações detectarem ameaças sofisticadas e ataques de segurança cibernética na execução.
Network Attack Defense: módulo de tecnologia focado na prevenção de uma série de ataques, aproveitando a rede do host para atingir ativos e informações confidenciais.
Sandbox Analyzer: detecta ameaças avançadas de dia zero antes da execução com arquivos suspeitos carregados automaticamente em um ambiente seguro para análise de comportamento aprofundada.
Detecção e Resposta estendidas
Visualização de incidentes: fornece visibilidade completa do ciclo de vida do evento do incidente para permitir uma investigação eficaz do comportamento do malware.
Análise de Comportamento (Inspetor de Processo): algoritmos avançados de aprendizado de máquina que detectam anomalias de comportamento de processo e subprocesso para ameaças conhecidas e desconhecidas.
Análise de tráfego de rede: aplica inteligência de ameaças, aprendizado de máquina e análise de comportamento ao tráfego de rede para detectar ataques avançados com antecedência, permitindo uma resposta eficaz às ameaças.
A análise de causa raiz: identifica cada etapa que o invasor executa para fornecer uma análise comportamental aprofundada para determinar a causa raiz do incidente.
As soluções de Endpoint Protection incorporaram outra importante funcionalidade a de EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response). A solução de EDR/XDR tem por objetivo conectar e coletar automaticamente informações e eventos de segurança, correlacionando dados em diversas camadas de segurança.
O XDR é uma evolução do EDR. O EDR é focado no Endpoint fornecendo a visibilidade e segurança para um dispositivo específico. Já o XDR, tem uma visão mais ampla analisando além do Endpoint a toda a malha de recursos de TI da empresa, como servidores e recursos de cloud, e-mail, dispositivos de acesso remoto, entre outros.
CONCLUSÃO
As soluções de Endpoint Protection são necessárias para garantir a segurança em todos os componentes presentes na rede das empresas. Sabemos que os terminais utilizados pelos usuários são considerados o “elo” mais fraco quando abordamos sobre segurança da informação. Técnicas de engenharia social podem comprometer a segurança de terminais de acesso permitindo que invasores ganhem acesso NÃO autorizado à rede interna da empresa.
A solução de Endpoint Protection ganha maior importância quando tratamos do trabalho remoto. Como detalhado acima os terminais não possuem as proteções como Firewall e IDS visto que não estão inseridos dentro ambiente comparativo. Cabe à solução de Endpoint Protection proteger estes equipamentos e garantir a aplicação de política de segurança única.
Novamente é importante dizer que não existe uma “receita de bolo” sendo necessário analisar as particularidades da empresa para que o trabalho remoto funcione atendendo as necessidades do negócio de forma segura.
No próximo artigo falaremos detalhadamente sobre VDI.
Para conhecer detalhadamente nossos serviços, acesse nosso site e vamos estudar sua estrutura de TI e apresentar a melhor solução para seu negócio.
Victor Loss Bosa
Engenheiro/Consultor de Redes, Telecomunicações, Segurança e Infraestrutura de TI e CEO da ZCO Infraestrutura de TI
Engenheiro/Consultor de Redes e Telecomunicações e Gestor de Projetos da SYSUNI Soluções em TI
Projetos em execução e executados em clientes como BANESTES, GAZETA, FIORE, BIOPETRO, SEI Inteligência, LBRX, ESFA, GREENHOUSE, dentro outros….
