Ransomware, malware sem arquivo e outras ameaças cibernéticas avançadas ainda desafiam os sistemas de proteção de endpoint atuais

Resumo executivo

Quando se trata de segurança de endpoints, os CISOs estão vinculados. A maioria assume que os endpoints serão comprometidos em algum momento, e eles estão certos. Em uma pesquisa recente dos CISOs, 81% relataram pelo menos uma intrusão no ano passado e 22% tiveram mais de cinco. Restam poucas dúvidas de que as soluções antivírus tradicionais são insuficientes para proteger os endpoints — eles precisam de proteção mais avançada.

As soluções de detecção e resposta de endpoint (EDR) tradicionais melhoram a segurança de endpoints, oferecendo recursos de detecção e resposta, mas também geram custos ocultos. Tempos de resposta inadequados expõem a organização a riscos por ransomware e outras ameaças de ação rápida.

Os esforços manuais de remediação, como limpeza e recriação de imagem, consomem tempo da equipe de TI e resultam em períodos de inatividade da produção. Restam poucas dúvidas de que as soluções atuais de EDR não possuem a velocidade e a automação que os CISO precisam para garantir uma segurança de endpoints confiável e econômica.

Além da proteção

Um estudo constatou que as organizações levam mais de seis meses para identificar uma violação após a ameaça ter penetrado na rede. Em muitos casos, as ameaças são detectadas somente após a perda de quantidades significativas de dados.

Além disso, os invasores continuam a desenvolver maneiras mais sofisticadas de derrotar a segurança de endpoints.

Cobertura da segurança de endpoints

Ao perceber que alguma porcentagem de ameaças sempre passará e para reduzir o tempo de detecção de ameaças que se infiltraram em suas organizações, os CISOs começaram a complementar a segurança de endpoints implantando sistemas de EDR em dispositivos críticos para os negócios. Os EDRs monitoram eventos e atividades de endpoint para identificar comportamentos suspeitos que podem indicar a presença de uma ameaça, por exemplo, tentativas de alterar a injeção de processo, modificar chaves do registro ou desativar soluções de segurança. Esses EDRs tradicionais podem fornecer informações para ajudar os analistas de segurança a responder e investigar incidentes de segurança, mas dependem amplamente de processos manuais.

Os CISOs perceberam que essas ferramentas de detecção melhoravam a visibilidade dos endpoints e a detecção de ameaças. À medida que a adoção das ferramentas de EDR vem crescendo, o EPP e o EDR tradicionais estão convergindo.  Atualmente, os CISOs empresariais esperam que as soluções de EPP precisem ter os recursos para impedir ataques de malware baseados em arquivos, detectar atividades maliciosas e fornecer os recursos de investigação e remediação necessários para responder a alertas e incidentes de segurança dinâmicos.

Custos ocultos das soluções de EDR tradicionais

As soluções de EDR foram projetadas para registrar e armazenar eventos de endpoint e aproveitar a detecção baseada em comportamento para identificar (ou alertar) possíveis incidentes de segurança, responder a ameaças e ajudar investigações forenses. Um estudo recente mostra que 47% das organizações pesquisadas têm recursos de EDR, um aumento de 11 pontos percentuais em relação ao ano anterior.

Embora as soluções de EDR tradicionais tenham, sem dúvida, aumentado a visibilidade dos endpoints e a  detecção de ameaças, essas melhorias vêm com custos, muitos dos quais não são aparentes à primeira vista.

Tempos de resposta inadequados

Até recentemente, o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR) eram medidos em dias, semanas ou até meses. De acordo com uma fonte, em 2019, o MTTD era de 206 dias e o tempo médio para contenção (MTTC) após a detecção era de 73 dias. Uma melhoria significativa pode acontecer: outro estudo constatou que 62% das violações podem ser detectadas dentro de 24 horas após a chegada no endpoint.

No caso de ataques cibernéticos com o objetivo principal de roubo de dados, o desafio do tempo é um tanto gerenciável com as soluções EDR tradicionais. Esses ataques se movem furtivamente para coletar informações, mapear a rede e identificar a localização de ativos valiosos; um processo que pode levar semanas.

Por outro lado, o objetivo de outros ataques, como o ransomware, não é roubo de dados, mas sabotagem. Essas ameaças de ação rápida são executadas em minutos e até segundos, diminuindo significativamente o prazo. Por exemplo, o ransomware WannaCry levou apenas alguns segundos para criptografar arquivos e se espalhar globalmente, infectando 150 países e mais de 200.000 computadores em questão de 24 horas.

Outro exemplo é o NotPetya, uma arma cibernética disfarçada de ransomware, mas projetada para causar destruição. O ataque aconteceu muito mais rápido do que qualquer equipe de segurança poderia responder e conter manualmente usando soluções EDR tradicionais. Qualquer coisa que não seja o bloqueio em tempo real aumenta o risco da organização de sofrer um ataque bem-sucedido.

Períodos de inatividade na produção

Quando as equipes de segurança identificam um endpoint comprometido, a primeira etapa é conter a ameaça. As ferramentas de EDR tradicionais geralmente colocam o endpoint em quarentena para impedir a propagação do ataque e evitar a perda de dados. Essa técnica é eficaz como uma medida de contenção, mas torna o endpoint inútil para o usuário e pode até encerrar os processos de produção. As equipes de segurança geralmente passam um tempo considerável analisando manualmente os alertas para garantir que a ameaça seja real antes de colocar endpoints em quarentena.

Na mesma linha, os analistas de segurança são céticos em relação às ferramentas de proteção de endpoint que prometem respostas automatizadas, como aquelas que “encerram o processo e colocam o endpoint em quarentena”. Se o alerta for falso positivo, as soluções automatizadas ainda podem impor uma quarentena que desliga a linha de produção; um erro caro e embaraçoso.

Durante a fase de remediação, a maioria das organizações de TI ainda prefere limpar a memória completamente e recriar novamente a imagem do dispositivo infectado devido à falta de confiança de suas ferramentas antivírus tradicionais, que têm problemas para limpar a persistência, arriscando a reinfecção. Além disso, 97% dos profissionais de segurança dizem confiar no processo de limpeza e recriação de imagem. No entanto, o processo de recriação de imagem é manual e demorado: menos de 10% das organizações têm um processo totalmente automatizado para remediação de endpoints.

No lado de TI da empresa, os profissionais experientes dependem de seus computadores pessoais para realizar seus trabalhos. Por isso, pegar notebooks e desktops para aplicar remediações dificulta a produtividade deles.

Falsos positivos

Por design, os sistemas de EDR geram um grande volume de alertas ou indicadores, que devem ser triados manualmente para separar os maliciosos dos benignos. Essa atividade representa um dreno de produtividade substancial para as equipes de segurança e ocupa tempo de atividades que promovem a maturidade de segurança da organização, como testes de simulação de ataques e instituição de procedimentos de resposta a incidentes. Além disso, à medida que o volume de ataques continua a crescer, torna-se difícil escalar a triagem manual, principalmente considerando-se a falta de talentos discutida abaixo. Níveis altos de falsos positivos podem levar a um excesso de alertas, o que pode fazer com que os analistas ignorem um verdadeiro positivo em meio a todo o ruído.

Diante de uma avalanche de falsos positivos, muitas organizações consideram — com razão — suas ferramentas de segurança legadas como instrumentos contundentes inadequados às tarefas críticas de solução de problemas e remediação de ameaças. Em vez disso, elas preferem medidas mais draconianas, como recriar imagens de computadores pessoais e colocar dispositivos em quarentena. Os gerentes de TI geralmente percebem que essas ações são mais seguras, mas podem interferir nas operações de negócios, conforme descrito anteriormente.

Escassez de talentos

Projetar e executar uma estratégia eficaz de detecção e resposta a incidentes requer profissionais de segurança talentosos. Para simplesmente atender às necessidades atuais dos negócios, a força de trabalho de segurança cibernética deve crescer 62%.

Esses desafios das habilidades em segurança cibernética são uma importante fonte de preocupação para os CISOs.

Como resultado da escassez de habilidades de segurança, os CISOs enfrentam uma situação sem saída. Se eles não preencherem rapidamente as vagas importantes, as lacunas de cobertura resultantes enfraquecerão a segurança de endpoints e aumentarão o estresse no local de trabalho da equipe existente.

Conclusão

As soluções de segurança de endpoints dependem muito da prevenção ou oferecem detecção sem resposta em tempo real. Isso não é mais suficiente para enfrentar os desafios do cenário avançado de ameaças, que estão se tornando cada vez mais difíceis de resolver. A sofisticação e a velocidade dos ataques cibernéticos quebram as abordagens tradicionais de segurança de endpoints que simplesmente não conseguem acompanhar o ritmo.

Preencher lacunas de segurança expostas é tão difícil quanto os líderes de segurança se esforçam para identificar, recrutar, contratar e reter profissionais de segurança com as habilidades necessárias. As equipes de segurança existentes são sobrecarregadas devido à proliferação de alertas de ameaças e falsos positivos associados. Eles ficam paralisados e, como resultado, incapazes de atravessar enormidade da inteligência de ameaças gerada por seus sistemas de segurança.

Saiba mais sobre as soluções de detecção e resposta de endpoint (EDR) ou se ficou com alguma dúvida, fale com um de nossos especialistas Brasiline, teremos o prazer em ajudá-lo!