O que é uma plataforma de proteção de endpoints?

Busca de ameaças e resposta a incidentes para implantações híbridas

Veja como as soluções de segurança da VMware ajudam as organizações a implementar a confiança zero
Como os invasores driblam a segurança de endpoints tradicional
A plataforma de proteção de endpoints foi desenvolvida principalmente porque os invasores estavam driblando com mais facilidade as equipes de SecOps que usavam soluções tradicionais. Basicamente, os invasores avançaram além dos recursos da segurança de endpoints tradicional e agora podem permanecer nas redes por longos períodos sem serem detectados.
Cinco maneiras utilizadas pelos invasores para burlar a segurança de endpoints tradicional
- Ransomware sem arquivo: sem um arquivo para detectar e bloquear, as técnicas sem arquivo para fornecimento de ransomware geralmente não são interrompidas pela segurança de endpoints tradicional. De acordo com um relatório de segurança cibernética da SecureWorld, os ataques sem arquivo aumentaram 18% no primeiro semestre de 2019 em comparação com o segundo semestre de 2018. Somente com uma EPP, você pode rastrear comportamentos para encontrar padrões que o alertem sobre métodos de ataque sem arquivo.
- Novas técnicas de ataque disponíveis : técnicas avançadas de ataque foram roubadas ou desenvolvidas por criminosos cibernéticos e disponibilizadas para venda ou como código aberto na Internet e na dark web. A utilização desses scripts e táticas permite que a atividade dos invasores "pareça normal" e permaneça oculta em uma rede.
- Endpoints desatualizados: o cenário de ameaças está evoluindo rapidamente. Isso significa que os fornecedores de segurança estão desenvolvendo patches e atualizações o mais rápido possível para tentar acompanhar as ameaças emergentes. O ritmo das atualizações geralmente supera os recursos das equipes de SecOps, principalmente se houver falta de gerenciamento de patches e automação. Além disso, os agentes de endpoint costumam falhar, deixando endpoints individuais desprotegidos. O relatório Global Endpoint Security Trends de 2019 mostrou que 35% das violações de endpoint são causadas por vulnerabilidades existentes. Como as plataformas de proteção de endpoints são normalmente baseadas na nuvem, elas podem se manter continuamente atualizadas para manter os endpoints protegidos das ameaças mais recentes.
- Várias fontes de dados: as soluções tradicionais de segurança de endpoints são executadas em relativo isolamento do restante da pilha de segurança. Isso significa que são necessários vários sistemas para visualizar a atividade em um único endpoint e rastrear qualquer atividade suspeita em toda a rede durante uma investigação. As plataformas de proteção de endpoints fornecem uma única fonte de "verdade", combinando dados de todas as soluções de segurança em toda a plataforma para fornecer acesso fácil aos dados e investigação de alertas.
- Dados de endpoint filtrados: muitas soluções de segurança de endpoints filtram dados de endpoint considerados não relacionados a uma ameaça de acordo com padrões de comportamento conhecidos e IOCs. Agora que os invasores têm técnicas mais avançadas, eles contam com a filtragem de dados de endpoint para filtrar suas atividades. Isso significa que o SecOps não consegue ver novos padrões. Quando você captura continuamente dados de atividades de endpoints, pode ver essas novas técnicas e prever novas ameaças.
Industry Pulse: Informações de especialistas em segurança sobre plataformas de proteção de endpoints
Analistas e especialistas em segurança concordam que as EPPs são o melhor caminho a seguir para proteger as redes contra ameaças avançadas. O Gartner e a Forrester abordam essa área de solução com o Quadrante Mágico do Gartner para plataformas de proteção de endpoints e o Forrester Wave para conjuntos de segurança de endpoints. A validação das EPPs é proveniente de uma análise de ROI feita pela Forrester. O estudo Total Economic Impact da Forrester sobre plataforma de proteção de endpoints revelou que o ROI médio de sete empresas que migraram para uma EPP foi de 204%. Isso representou uma economia média de US$ 2,1 milhões em três anos.
Veja o que os especialistas em segurança que migraram para uma plataforma de proteção de endpoints têm a dizer sobre o valor das EPPs:
Economia de tempo significativa
"Agora, tenho um SOC 24 horas por dia, 7 dias por semana para identificar e tomar medidas imediatas sobre qualquer problema que surja, sem precisar entrar em contato com minha equipe a cada minuto."
- Cosy Lavalle, gerente de infraestrutura de TI da Progress Residential
Painel único de controle
"A funcionalidade de IR e de busca de ameaças disponível permite que nossa equipe reaja de forma rápida e definitiva, além de usufruir de um console com base em nuvem em um painel único de controle. É uma solução inovadora para a equipe."
- Eric Samuelson, gerente sênior de TI da Lithium
Acompanhamento das ameaças
"A [EPP] é exatamente o que as empresas precisam para manter a continuidade diante das maiores ameaças cibernéticas atuais. Com a [EPP], podemos investigar, responder e remover rapidamente nossas soluções antivírus desatualizadas."
- Steven Lentz, CISO da Samsung Research Americas
A resposta? Identificação de anomalias comportamentais
Os criminosos cibernéticos são muito bem-sucedidos ao usar malware para atingir seus objetivos, simplesmente porque a maioria das ferramentas antivírus tradicionais usa a técnica de análise estática como principal tática de segurança. No entanto, essas ferramentas só podem identificar amostras conhecidas e, atualmente, com o rápido desenvolvimento de novos malwares todos os dias, agora a maioria deles aparece como arquivos desconhecidos. Os invasores usam várias técnicas, como a compactação, para alterar os aspectos do malware para que ele não tenha a aparência das ameaças conhecidas. Assim, os ataques ludibriam facilmente as defesas antivírus.
É aqui que entra a segurança de endpoints de próxima geração (e as técnicas de análise comportamental). A boa notícia sobre o malware é que a forma como ele opera em um sistema ou dispositivo acabará se distinguindo do comportamento normal do usuário. Portanto, como o Big Data e o aprendizado de máquina focam nas anomalias, o malware potencial pode ser identificado como anormal e potencialmente malicioso.
Soluções e produtos relacionados
VMware Carbon Black Endpoint
Proteção de endpoints nativa da nuvem.
VMware Carbon Black Cloud
Transforme a segurança com uma proteção inteligente de endpoints e cargas de trabalho que se adapta às suas necessidades.
Workspace ONE Unified Endpoint Management
Gerencie e proteja todos os dispositivos em qualquer caso de uso.