A maioria das soluções de segurança para pequenas e médias empresas existe simplesmente para evitar que o malware seja executado em uma estação de trabalho ou servidor – e por anos, isso foi o suficiente.
Contanto que uma organização pudesse detectar ciberameaças em dispositivos finais, poderia impedir a disseminação da infecção em sua rede e, assim, proteger a infraestrutura corporativa.
Os tempos mudaram. Um ciberataque atual típico não é um incidente isolado no computador de um funcionário, mas uma operação complexa que afeta uma parte considerável da infraestrutura. Portanto, minimizar os danos de um ataque cibernético nos dias de hoje requer não apenas o bloqueio do malware, mas também compreensão rápida do que aconteceu, de que forma aconteceu e onde pode acontecer novamente.
O que mudou?
O cibercrime atual evoluiu de tal forma que mesmo uma pequena empresa pode ser vítima de um ataque direcionado com recursos completos. Até certo ponto, isso é resultado da crescente disponibilidade das ferramentas necessárias para um ataque complexo em vários estágios. Além disso, os criminosos sempre tentam otimizar sua proporção de lucro e esforço, e os operadores de ransomware realmente se destacam nesse aspecto. Ultimamente, vimos pesquisas verdadeiras e uma longa preparação nesses ataques. Às vezes, os operadores se escondem em uma rede-alvo por semanas, explorando a infraestrutura e roubando dados vitais antes de atacar com criptografia e pedidos de resgate.
Em vez disso, uma pequena empresa pode servir como um alvo intermediário em um ataque à cadeia de suprimentos – os invasores às vezes usam a infraestrutura de um contratado, um provedor de serviços online ou um pequeno parceiro para atacar uma organização maior. Nesses casos, eles podem até explorar vulnerabilidades de dia zero, o que normalmente é uma opção cara.
Entendendo o que aconteceu
Encerrar um ataque complexo de vários níveis requer uma imagem clara de como um invasor invadiu a infraestrutura, quanto tempo ele passou lá dentro, quais dados pode ter acessado e assim por diante. Simplesmente excluir o malware seria o mesmo que tratar os sintomas de uma doença sem abordar suas causas.
Em empresas de nível corporativo, o SOC (Security Operation Center), o departamento de SI ou uma empresa terceira realiza tais investigações. Grandes empresas usam soluções de classe EDR para isso. Orçamentos e funcionários limitados tendem a colocar essas opções fora do alcance de uma pequena empresa. No entanto, as pequenas empresas ainda precisam de ferramentas especializadas para ajudá-las a responder prontamente a ameaças complexas.
Kaspersky Endpoint Security Cloud com EDR
Configurar nossa solução para pequenas e médias empresas com funcionalidade EDR não exige um especialista em segurança – o Kaspersky Endpoint Security Cloud Plus atualizado oferece melhor visibilidade da infraestrutura. O administrador pode identificar rapidamente os caminhos que uma ameaça usa para se espalhar, ver informações detalhadas sobre as máquinas afetadas, verificar rapidamente os detalhes de arquivos maliciosos e onde mais os arquivos estão sendo usados atualmente. Isso ajuda os administradores a detectar prontamente todos os pontos de acesso de ameaças, bloquear a execução de arquivos perigosos e isolar as máquinas afetadas, minimizando assim possíveis danos.
Enquanto monitoramos o uso da ferramenta para determinar sua relevância em campo, disponibilizamos a funcionalidade EDR até 2021 para usuários do Kaspersky Endpoint Security Cloud Plus em modo de teste. Você pode aprender mais e solicitar uma versão de teste aqui.