Detecção e resposta de endpoint: o caminho para a maturidade da segurança começa com a visibilidade

Seguinte

Para organizações que estão considerando a adoção de uma solução de detecção e resposta de endpoint (EDR), a avaliação mais recente da ATT&CK® da MITRE Engenuity oferece uma visão única de como uma eventual ferramenta EDR lida com ameaças sofisticadas. O trabalho da equipe de Engenuity do MITRE se destaca principalmente por emular bem as táticas e técnicas documentadas empregadas pelo mais sofisticado dos adversários - Advanced Persistent Threat Groups (APTs).

Embora focar a atenção nas técnicas usadas pelos grupos APT certamente faça sentido para a estratégia de segurança de algumas organizações, tirar o máximo proveito dessa visão equivale a um nível de maturidade, ou treinamento suficiente, da equipe de TI interna especificamente dedicada a esta tarefa, o que não muitas organizações o fizeram ou estão prontas para enfrentar. A dura realidade para a maioria das organizações é que elas podem ter apenas um ou dois administradores de TI e estão gerenciando a segurança em tempo parcial, junto com suas muitas outras responsabilidades. Isso pode tornar uma avaliação que se concentra em grupos APT um foco estrito para organizações sem pessoal de segurança altamente treinado.

No entanto, como os grupos APT acham seus alvos mais fáceis entre organizações despreparadas, as técnicas emuladas abrangem toda a gama de práticas de segurança, desde configurações e políticas básicas até ajuste e otimização avançados, que devem estar em vigor para se proteger até mesmo contra as ameaças mais comuns. Essas organizações podem primeiro descobrir com EDR que as práticas de segurança não estão de acordo com os padrões da indústria. Dessa forma, começar a se familiarizar com sua segurança, avaliações e EDR, pode fornecer insights acionáveis ​​até mesmo para as organizações menos maduras.

Uma solução EDR robusta começa com a visibilidade dos endpoints

O EDR para aprimorar a segurança não é simplesmente um complemento para seus sistemas já existentes. O EDR é programado especificamente para segurança de endpoint porque se baseia nisso tanto para visibilidade como para proteção básica. Eventos de baixo nível que um produto de segurança de endpoint monitora são incluídos naqueles que uma ferramenta de EDR também analisa e apresenta a um defensor da segurança.

Onde o EDR difere da segurança para endpoints está no nível de visibilidade da lógica analítica em execução em segundo plano. Para os produtos de segurança de endpoint, isso é mais ou menos como um livro fechado. Sim, os administradores de TI devem ter várias opções de configuração para aumentar a sensibilidade da detecção se forem mais avessos ao risco ou para criar exceções adequadas para seus ambientes específicos. Mas as próprias tecnologias de detecção empregam conhecimento patenteado e pedem sua confiança para analisar eventos e tomar decisões de proteção.

Com o EDR, a filosofia da ESET é tornar sua lógica analítica um livro aberto. A regra incorporada aplicada aos eventos coletados está aberta aos defensores da segurança para que eles possam ter um papel ativo na análise manual desses eventos e participar nas decisões sobre o que constitui uma ameaça e o que não. A ação principal que deve caracterizar uma solução EDR, assim como um software de segurança de endpoint, é fornecer uma visão equilibrada e focada no status de segurança de seu ambiente que possa informar melhor suas decisões de proteção.

Projetar uma plataforma de proteção de endpoint é um ato de equilíbrio

A segurança depende fortemente da visibilidade, mas essa dependência não é indiscriminada. Projetar um produto de segurança de endpoint que faz a varredura o tempo todo ou uma solução EDR que vive enviando alertas a todo momento, funciona diretamente contra a usabilidade, o desempenho, a eficiência e outros objetivos que um produto de segurança deve ter. As soluções de segurança mais eficazes certamente devem monitorar um grande número de eventos de baixo nível que ocorrem nos terminais, mas não sem priorização.

Devem ser tomadas decisões de design cuidadosas sobre quais interfaces de programação de aplicativos (APIs) monitorar, quais comportamentos são considerados suspeitos ou diretamente maliciosos, se o limite para uma cadeia de eventos suspeitos foi atingido e não deve mais ser permitido continuar, como evitar falsos positivos, onde minimizar impactos de desempenho, etc. Essas opções afetam diretamente as camadas de proteção que um produto oferece, quais tipos de tecnologia de detecção são usados ​​em cada camada e, em última instância, quando a atividade maliciosa será finalmente sinalizada e interrompida em seus rastros.

Ao projetar um conjunto de regras EDR, você pode monitorar todos os eventos em um endpoint, pelo menos, todos aqueles visíveis para o software de segurança do endpoint implantado nele, mas isso não só sobrecarregaria sua base de dados de eventos EDR com uma enxurrada de dados, mas também poderia não priorizar eventos que sejam indicações prováveis ​​de um ataque que os defensores da segurança devam investigar.

Testando a proteção de endpoint na Avaliação Carbanak e FIN7 ATT&CK®

O impacto das opções de design é bem ilustrado no cenário de proteção da última avaliação da ATT&CK® emulando os grupos APT Carbanak e FIN7. No teste 12, por exemplo, o ESET Endpoint Security respondeu na primeira etapa do ataque colocando o samcat.exe em quarentena porque foi identificado como Mimikatz, uma ferramenta de despejo de senha de código aberto.

Em contraste, no Teste 15, o ESET Endpoint Security bloqueou o ataque em sua penúltima etapa ao identificar um processo rundll32.exe como Meterpreter, um shell reverso comumente usado em testes de penetração. Os fornecedores bloquearam o ataque na mesma etapa ou em uma etapa anterior, ou não detectaram nenhuma das técnicas usadas no ataque.

Obviamente, os testes de proteção mostraram algumas lacunas existentes nas soluções de segurança de endpoint que não detectaram ou bloquearam certos ataques. Mas, ainda mais, eles demonstraram que havia uma grande variedade quanto ao estágio em que os vários ataques foram bloqueados. Essa variedade de respostas se deve em grande parte às decisões de design entraram no produto de segurança de endpoint em questão.

Tornando endpoints um livro aberto com EDR

Existe um limite em que a segurança "automatizada" fornecida pela proteção de endpoint simplesmente não é suficiente para aumentar sua maturidade. A segurança do endpoint por si só é limitada no sentido que exige sua confiança para fornecer um tipo automatizado de segurança - uma espécie de abordagem definir e esquecer (mas não muito!) da segurança.

Algumas ameaças desafiam essas categorias automatizadas de monitoramento e detecção porque, em última análise, por trás de cada ameaça cibernética está alguma impressão digital da inteligência humana, embora mal utilizada. E às vezes a inteligência em questão planejou um ataque tão novo, direcionado ou furtivo que apenas outra inteligência humana - um defensor da segurança - seria capaz de detectá-lo antes que muito dano fosse causado.

Ao operar uma ferramenta EDR, seus defensores da segurança estão habilitados a observar eventos de baixo nível gerados por endpoints e supervisados por produtos de segurança de terminais. Armados com a família de seu ambiente e com a correta filtragem de eventos, seus defensores podem se concentrar e reconstruir a sequência de etapas de um ataque do início ao fim.

Testando a detecção e resposta de endpoint na Avaliação Carbanak e FIN7 ATT&CK®

Enquanto o cenário de proteção de gerenciamento Carbanak e FIN7 ATT&CK® avaliou a proteção de endpoint, os cenários de detecção puseram a prova a detecção e resposta de endpoint. A ferramenta EDR da ESET, o ESET Enterprise Inspector, detectou 100% das etapas nos cenários de ataque e 91% das subetapas. Você pode obter o resumo completo do CTO da ESET, Juraj Malcho, sobre como o ESET Enterprise Inspector se saiu na avaliação no MITRE Engenuity® após ATT&CK. As avaliações mostram a necessidade de uma abordagem equilibrada para o uso de EDR.

No entanto, para organizações que não estão prontas para enfrentar grupos APT, uma consideração principal ao considerar tal avaliação é como ela pode ajudar a desenvolver sua maturidade de segurança. Em última instância, uma meta principal para engenheiros de segurança é familiarizar-se com os sistemas que sua organização usa e priorizar a proteção de acordo. Além da prática de segurança básica, que deve sempre estar em vigor, a abordagem equilibrada para EDR se trata em obter conhecimento profundo de seu entorno para que possa amadurecer em sua postura de segurança, um pré-requisito para a segurança contra ataques APT.

Como os resultados da avaliação do ESET Enterprise Inspector demonstraram, a ferramenta EDR da ESET oferece bastante visibilidade. No entanto, embora a visibilidade seja um componente crítico da segurança, é apenas o começo. A responsabilidade permanece com os protetores de segurança para conhecer seus sistemas e conhecer sua ferramenta EDR para que possam melhor ajustá-la ao seu ambiente.

Na verdade, muitas organizações podem se surpreender após configurar sua solução de EDR pela primeira vez. Sua equipe de TI configurou máquinas de funcionários com contas de administrador local ou deu-lhes liberdade para acessar recursos internos, ou talvez até mesmo aplicativos potencialmente inseguros que não precisam? Você protegeu o acesso remoto à sua rede por meio de ferramentas como Monitoramento e Gerenciamento Remoto (RMM), Protocolo de Área de Trabalho Remota (RDP), TeamViewer ou VNC? A visibilidade proporcionada por uma ferramenta de EDR pode revelar algumas das práticas e hábitos de risco que correram soltos até agora.

Falta conhecimento ou tempo para gerenciar seu EDR?

As melhores práticas de segurança, pelo menos em seu nível básico, são um manual bem conhecido, mas muitas organizações têm sido incapazes de dominar as jogadas devido aos obstáculos tão simples como a falta de capacidade, novamente, aqueles um ou dois administradores que fazem segurança em tempo parcial. O que muitas vezes é descrito como a razão para se adotar EDR - visibilidade de ataque APT - pressupõe um certo nível de maturidade de segurança para enfrentar esse tipo de inimigo.

Outro desafio para algumas organizações é quando a segurança se encontra fora do modelo de negócios principal. Como tal, essas organizações preferem delegar a segurança a um provedor de serviços gerenciados, que é altamente dependente do nível de maturidade de segurança dos níveis de investimento, confiança e níveis de experiência em jogo com esse provedor terceirizado e sua capacidade de entender a infraestrutura de seus clientes e modelos de ameaças. Onde o EDR é realmente para o caso de uso com foco em grupos APT está nas mãos de organizações muito maduras, como bancos, que têm orçamento e controle regulatório para manter equipes de segurança completas.

Conclusão

À medida que um número crescente de empresas examina o EDR conforme amplamente descrito por fornecedores, analistas e, especialmente, pelas avaliações da ATT&CK, elas devem considerar os benefícios de abordar o EDR mesmo com um nível de maturidade de segurança inicial. Em poucas palavras, se a mudança para EDR começar a educar seus administradores de TI sobre as melhores práticas de segurança, o investimento provavelmente terá valido a pena. Afinal, os maus hábitos, seja por um problema ou um histórico ruim de práticas de segurança, negligência ou ignorância, estão bem eliminados - mesmo que os alertas em uma solução de EDR sejam necessários para despertar sua organização. Quanto aos avaliadores da unidade do grupo APT preferidos e imitados pela MITRE Engenuity, cada um representa um lugar atrativo para que o pessoal de segurança compreender os riscos combinados que cercam tanto os adversários externos maduros como a postura de segurança de sua própria organização.