Quais as diferenças entre Endpoint

Protection (EP) e Endpoint Detection and

Response (EDR) e como os dois podem
ajudar o seu negócio?
 0 21 de julho de 2021
SEGURANÇA DA INFORMAÇÃO
Com o aumento do trabalho em home office diante do cenário pandêmico que o
mundo está passando, a proteção dos dispositivos nunca se fez tão essencial.
O uso dos dispositivos como notebooks, desktops, smartphones, entre outros,
em casa dispõe de muitos riscos para as organizações, visto que nem sempre
o dispositivo estará conectado na rede corporativa. Além disso, com a proteção
contra malwares nesses dispositivos através de uma solução robusta e
completa, a organização consegue mitigar muitos riscos dos quais não seria
possível caso não tivesse essa proteção.
Muitas organizações possuem várias camadas de segurança para proteção do
perímetro da rede corporativa e quando os ativos se encontram fora desse
perímetro o risco aumenta, pois não há mais uma barreira de proteção entre
um ativo e um possível atacante. Caso o atacante consiga passar pelo
perímetro de proteção de segurança, se o ativo não possuir uma proteção o
atacante poderá ter acesso, além de estarem conectados diretamente a rede
da organização, e no tráfego de informações que recebem e enviam, pode
conter algo malicioso que se não for mitigado poderá afetar toda a organização.
Vale ressaltar que hoje no mundo dos negócios os dados costumam ser o ativo
mais valioso que uma empresa possui, e perder esses dados ou o acesso a
eles pode colocar a empresa em risco tendo impacto diretamente na imagem,
financeiro, estratégico ou regulatório. Por esses e outros motivos uma proteção
para os ativos se tornou tão importante e essencial para as organizações.

E afinal, o que é um Endpoint

Protection (EP)?
Quando se trata de Infraestrutura de TI e Segurança da informação,
os endpoints são todos os dispositivos finais que se conectam à rede da
organização, seja remotamente ou internamente. Dentre eles, temos
os desktops, notebooks, servidores, smartphones, tablets, entre outros
dispositivos que possuem conectividade com a rede.
Eles são compostos por soluções que detectam, preveem e respondem a
ameaças, malwares e outros programas maliciosos que tentam entrar nos
sistemas e redes da organização. Mais detalhes sobre o tema no artigo: “O que
é endpoint protection? “
 Para a proteção contra essas ameaças, as soluções mais completas
de Endpoint Protection combinam várias tecnologias em uma interface com
gestão centralizada. Dentre elas, podemos elencar:
 Proteção anti-malware e antivírus: para proteger, detectar e
corrigir malwares em vários tipos de ativos e sistemas operacionais diferentes;
 Segurança proativa da web: para garantir uma navegação segura;
 Classificação de dados e prevenção contra perda de dados (Data
Classification and Data Loss Prevention): para evitar perda e exfiltração de
dados;
 Firewall integrado: para evitar e bloquear ataques de redes e usuários
sem autorização;
 Proteção interna contra ameaças: para analisar o comportamento de
aplicações e proteger contra ações não intencionais e maliciosas;
 Controle de periféricos: para controlar os acessos aos periféricos e
mídias removíveis como USB, bluetooth, infravermelho, portas seriais e paralelas,
entre outros;
 Controle de aplicativos: para detectar e bloquear aplicativos que não
são uma ameaça à segurança, mas que podem ser considerados inadequados
para uso na organização.
Recursos que um Endpoint Protection possui em sua versão completa:

Além de poder proporcionar todas essas proteções, uma das vantagens de se

ter um Endpoint Protection é poder gerenciar centralmente toda infraestrutura,
garantindo uma visibilidade ampla, simplificando os processos de segurança e
diminuindo os custos operacionais.

O que é Endpoint Detection and

Response (EDR)?
As soluções de Endpoint Detection and Response (EDR) são responsáveis por
detectar e responder aos incidentes e ameaças prevenindo tentativas de
violação da segurança do ativo, possibilitando aos analistas de segurança o
 acesso direto a esses ativos para iniciar tratativas de ataques e ameaças, além
de permitir a interrupção de atividades quando uma ameaça é detectada. Uma
solução de EDR podem também armazenar e consolidar os dados do ativo
possibilitando a criação de alertas automatizados e análises manuais.
As soluções de EDR podem conter diferentes tipos de recursos, mas as
funções principais que a maioria possui são:

 Detecção de eventos: analisam todas as atividades nos ativos

buscando por ameaças e identificam atividades maliciosas, ao invés de apenas
verificar a existência de malwares.
 Contenção de eventos: impedem a propagação de ameaças pela rede,
bloqueando e isolando os ativos, caso ocorra um incidente de segurança da
informação.
 Investigação de eventos: possuem um banco de dados, logs e
informações dos ativos, possibilitando aos Analistas de Segurança a realização
de uma investigação forense abrangente de eventos e incidentes.
 Resposta: possibilitam aos analistas terem respostas imediatas quando
ocorre um incidente de segurança. Mantém a triagem da identificação da ameaça
possibilitando a execução de algumas ações para correção, como limpar e recriar
a imagem do ativo.

Algumas soluções de EDR podem conter outros recursos que irão aumentar
ainda mais a proteção dos ativos e auxiliar os analistas de segurança nas
respostas a incidentes. Dentre eles:

Machine Learning (Aprendizado de máquina): realiza análises

comportamentais com base no aprendizado da máquina para relatar atividades
 anômalas e suspeitas em um ativo. Pode detectar um malware que nunca foi
identificado antes.
 Proteção anti-ransomware:  impede que o ransomware criptografe os
arquivos e os reverte para um estado seguro.
 Integração: para se obter uma boa segurança dos dados, geralmente
requer-se uma integração com vários produtos. É importante que o EDR tenha
suporte a APIs ou integrações com outras soluções para complementar e
fornecer uma abordagem de segurança em camadas.
O que temos de mais atual no mercado, são as soluções de Endpoint
Detection and Response (EDR) que combinam elementos do Endpoint
Protection (EP) ou que possuem o recurso de já integrado. Elas englobam a
proteção que um EP e um EDR oferecem.
É importante mencionar que as soluções de EP detectam as ameaças apenas
com base em suas assinaturas, ou seja, ameaças conhecidas, enquanto as
soluções de EDR fornecem recursos para uma análise preditiva e uma
detecção avançada das ameaças, além de realizar análise forense de invasões
e responder de forma rápida e eficaz.

Independente dos recursos de cada solução, a organização deve concentrar

nos ativos que precisam proteger com maior eficácia contra as ameaças. O
melhor cenário é procurar por uma solução que tenha característica de ambos
os recursos (EP e EDR) e que vá de encontro com as regras de negócio da
empresa.

Precisa de ajuda para encontrar a melhor solução de proteção para os ativos

da sua empresa? Conte com a gente.
 

COMPARTILHAR 
Jéssica Freitas
ANTERIOR

 TODOS