5 dicas para maximizar a eficácia de suas soluções EDR

Siga estas cinco etapas para obter o melhor ROI possível em sua solução de detecção e resposta de endpoint.

endpoint

O perímetro de rede tradicional está em declínio lento e constante desde o advento da computação móvel e dos smartphones – e a pandemia COVID-19 acelerou ainda mais este cenário. Sem os limites de rede previsíveis e lógicos para orientar as práticas de segurança, as equipes de segurança tiveram que mudar sua postura de proteções de perímetro, como firewalls, para detecção e resposta de endpoint (EDR).

O desafio é descobrir como obter o máximo de retorno dos investimentos em EDR, já que há uma desvantagem em implantá-los – por exemplo, as soluções podem gerar volumes inesperadamente altos de alertas se não forem cuidadosamente ajustados e refinados. Mas, quando cuidadosamente personalizadas, as soluções de EDR têm um enorme valor para as organizações que trabalham para aumentar a visibilidade dos sistemas de segurança. Siga estas cinco etapas para garantir que você verá o melhor ROI (Retorno de Investimento) possível para seu EDR.

1. Construir relacionamentos dentro e fora dos departamentos de segurança cibernética e TI

Se a sua equipe de segurança coleta insights de todos os departamentos, tem uma chance melhor de compreender totalmente o que é “normal” – e, no processo, de identificar atividades maliciosas com maior fidelidade. Considere este cenário, por exemplo: A equipe de desenvolvimento cria um script que automatiza parte de seu trabalho. Quando eles executam o script, a solução EDR identifica o arquivo como malicioso. Se a equipe de segurança estiver em contato direto com as pessoas que fazem parte desse processo, eles saberão a finalidade do script e podem aprovar o nome do arquivo e o processo em uma lista de observação – ou aprovar o hash (função que converte o valor de um dado em outro) ou o caminho do arquivo em uma política .

2. Aplique uma metodologia de ajuste padronizada para reduzir falsos positivos

A metodologia de ajuste é essencial para obter insights sobre o ambiente de segurança – por exemplo, com que frequência os alertas são disparados e o que eles estão disparando. As etapas do ciclo de vida de ajuste incluem identificação de evento, que é feita ativando o feed para ver o que está disparando; um estágio de auditoria, que ajuda a esclarecer o ambiente bom normal versus o anormal; e ajuste proposto, onde as equipes decidem quais alertas devem continuar a disparar, talvez para coletar métricas.

3. Meça a cobertura de visibilidade de EDR e em toda a pilha de tecnologia de segurança

Nesse estágio, a equipe de segurança deve rastrear as alterações de ajuste para medir as melhorias de visibilidade, o que pode ajudar a mostrar o ROI da solução de EDR. Escolha uma estrutura que seja relevante para o seu setor. Um bom ponto de partida é o MITRE ATT&CK ™, que fornece avaliações sobre como as diferentes tecnologias identificam as técnicas usadas pelos atores da ameaça. Rastrear a cobertura do MITRE é um ótimo ponto de partida para entender qual cobertura você já tem com o conteúdo de detecção pronto para uso do EDR.

4. Fechar lacunas de visibilidade por meio de um ciclo de pesquisa e desenvolvimento

Depois de identificar lacunas na visibilidade, as equipes de segurança podem criar novos alertas para fechar essas lacunas. Um bom ponto de partida é conduzir pesquisas por meio dos fóruns da comunidade para soluções EDR específicas, incluindo:

5. Aplique automação a tarefas simples

Tarefas com muita repetição e pouco cérebro são adequadas para automação, o que pode remover essas tarefas das cargas de trabalho da equipe de segurança. A automação encontrada nas soluções de EDR agrega valor às equipes de segurança, agilizando processos como remediação, banindo hashes e puxando arquivos. As equipes de segurança devem concordar sobre quais automações reduziriam a maior quantidade de tempo, risco e esforço, aumentando também a qualidade e a eficiência.

As soluções de EDR oferecem visibilidade incomparável da infraestrutura, mesmo nos níveis de aplicativo e usuário. Eles também podem quebrar barreiras entre ambientes isolados. A chave é gastar tempo com as dicas acima para garantir que sua solução EDR esteja operando com eficácia máxima.

Chris Weckerly, Vice-Presidente de operações de segurança, é apaixonado por ajudar os clientes da ReliaQuest a alcançar resultados de segurança previsíveis. Chris traz anos de experiência como analista de segurança e líder de SOC com o governo dos EUA e ReliaQuest, tem profundo conhecimento das tecnologias SIEM, EDR e SOAR e tem sido crítico na definição de requisitos para ReliaQuest GreyMatter, a plataforma unificada da empresa para detecção e investigação de ameaças e resposta. Aproveitando o GreyMatter, ele e sua equipe ajudam os clientes a reduzir até 89% do ruído em seus ambientes para reduzir o risco e amadurecer seus programas de operações de segurança.

Posts relacionados: Monitoramento e disponibilidade de serviço simplificados com Elastic Uptime e Heartbeat / Alterações de segurança para MSP chegarão em breve e [Artigo] Gerenciamento e Correlação de Eventos de Segurança, conheça o Octopus SIEM

Informações obtidas/adaptadas de https://www.csoonline.com/article/3612891/5-tips-for-maximizing-the-effectiveness-of-your-edr-solutions.html#tk.rss_all