O que é Endpoint Protection Plataform (EPP)?
Uma plataforma de proteção de endpoint (EPP) é uma solução implantada em dispositivos endpoint para prevenir ataques de malware baseados em arquivos, detectar atividades maliciosas e fornecer as capacidades de investigação e remediação necessárias para responder a incidentes de segurança dinâmicos e alerta.
Quais são as capacidades e soluções que o EPP oferece?
As capacidades de detecção variarão, mas as soluções avançadas usarão múltiplas técnicas de detecção, desde IOCs estáticas até análise comportamental.
As soluções EPP desejáveis são principalmente gerenciadas em nuvem, permitindo o monitoramento contínuo e a coleta de dados de atividade, juntamente com a capacidade de tomar ações remotas de remediação, quer o ponto final esteja na rede corporativa ou fora do escritório.
Além disso, estas soluções são assistidas por dados em nuvem, o que significa que o agente endpoint não tem que manter um banco de dados local de todos os IOCs conhecidos, mas pode verificar um recurso em nuvem para encontrar os últimos veredictos sobre objetos que ele não é capaz de classificar.
O que é melhor:
EndPoint Protection Plataform (EPP) ou EndPoint Detection and Response (EDR)?
Endpoint Detection and Response (EDR), também conhecido como endpoint detection and threat response (EDTR), é uma solução de segurança de endpoint que monitora continuamente os dispositivos do usuário final para detectar e responder a ameaças cibernéticas, como ransomware e malware.
Então, na realidade, EPP e EDR são dois componentes críticos e distintos em uma estratégia abrangente de ciber-segurança. Embora os dois estejam intimamente relacionados, não podem ser usados de forma intercambiável; pode-se diminuir ou negar a necessidade de ambos
Quais são os elementos críticos dentro do EPP?
O EDR é um dos elementos fundamentais em um EPP. Entretanto, há vários outros componentes que as organizações devem incorporar dentro de sua estratégia de cibersegurança para garantir a proteção contra ameaças avançadas e uma rápida evolução da arte do adversário. Estes elementos incluem:
Prevenção para manter de fora o maior número possível de elementos maliciosos
Detecção para encontrar e remover atacantes
Caça gerenciada de ameaças para elevar a detecção além da automação
Integração da inteligência de ameaças para compreender e antecipar os atacantes e suas técnicas
Gerenciamento de vulnerabilidades e higiene de TI para preparar e fortalecer o ambiente contra ameaças e ataques
Com base no que foi mencionado acima, um EPP deve oferecer uma ampla gama de capacidades de segurança cibernética além da prevenção. Na verdade, quando as pessoas mencionam “prevenção”, elas normalmente se referem apenas ao componente NGAV de um EPP.
Da mesma forma, o EDR cumpre apenas a capacidade de detecção dentro do conjunto completo de serviços do EPP.
FONTES:
EPP vs EDR (Fevereiro de 2022) – CrowdStrike
Definition of EndPoint Protection (2023) – Gartner
Douglas Bernardini
Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.
Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)
Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.
Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).