Como proteger o seu ambiente com Acronis EDR

Marcio Kauê

O EDR (Endpoint Detection and Response) da Acronis é uma solução avançada de segurança cibernética desenvolvida para proteger dispositivos finais contra ameaças sofisticadas e ataques.

Como parte do portfólio de segurança da empresa de tecnologia Acronis, o EDR utiliza tecnologias de “machine learning”, análise comportamental e detecção de anomalias para identificar, analisar e responder a atividades maliciosas em tempo real. Com funcionalidades abrangentes de investigação e remediação, promove às organizações uma defesa proativa contra as ameaças em constante evolução, fortalecendo nível de segurança dos seus ativos de forma eficiente.

Requisitos

O Acronis EDR dá suporte aos seguintes sistemas operacionais:

Microsoft Windows 7 Service Pack 1 e posterior

Microsoft Windows Server 2008 R2 e posterior

É necessário habilitar em suas cargas de trabalho, individualmente em cada máquina, o “Advanced Security + EDR”.

Por que eu preciso do EDR?

Como o EDR é solução que detecta ataques que passaram despercebidos pelas demais camadas de segurança da sua empresa, ele consegue nos proporcionar um entendimento da raiz de como os ataques ocorreram no seu ambiente até a tratativa do evento.

Utilizando inteligência artificial para recomendar as melhores resoluções para o problema, com funcionalidades de “machine learning” que estão em constante aprendizado a partir dos ataques que ocorrem globalmente, o EDR proporciona uma base forte nas proteções de “Zero Day” para as organizações, além da utilização dos bancos de dados de reputação de processos mal-intencionados do Google e VirusTotal que estão a todo momento se atualizando e sendo analisados desde a inicialização da máquina.

Premissas

A Acronis tem as premissas abaixo como as principais para a solução de EDR:

Visibilidade completa: análise dos incidentes e configuração de planos de proteção de forma simplificada pelo portal, evidenciando e mapeando visualmente cada ataque, desde o ponto inicial. Permite o rápido entendimento do escopo e impacto do evento.
Minimização do tempo de investigação: o EDR detalha cada etapa do ataque de forma simples, além de analisar proativamente as suas cargas de trabalho (que estão com a solução de EDR ativa) em busca de ameaças, vulnerabilidades e outros eventos globais que podem afetar a proteção de seus dados.
Resposta rápida a incidentes: a partir da análise de todas as atividades pós-violação e detalhamento de cada evento, é possível executar ações para a tratativa de cada ponto do ataque com a inteligência artificial do EDR.

As informações de cada evento são armazenadas por 180 dias, podendo ser usadas para fins de auditoria.

Implantação

Iniciaremos com a criação do plano de proteção, navegando nas abas Gerenciamento > Planos de proteção > Criar plano. Lembrando que é possível habilitar o EDR para planos de backup já existentes.

O Endpoint Detection and Response (EDR) faz parte do pacote de segurança avançada da Acronis, o qual automaticamente habilitará algumas soluções no plano de backup para que ele funcione (a proteção antivírus e antimalware mais a filtragem de URL).

5 pontos da proteção antivírus e antimalware da Acronis que merecem ser destacados:

Active Protection: É ativado junto com a inicialização da máquina (Boot), servindo na análise de processos executados na máquina a fim de identificar e mitigar possíveis ataques de Cryptojacking e Ransomware.

Antimalware Avançado: Por padrão, o Acronis vem com uma proteção contra malware que funciona de forma reativa, ou seja, realiza uma ação após ser executado, onde o agente verifica no banco de dados da nuvem da Acronis o HASH do processo, a fim de identificar se é de fato perigoso ou não antes de realizar uma tratativa.

A solução avançada analisa o HASH dos processos executados na máquina proativamente, além de realizar uma validação da reputação do HASH de forma local, pois o agente instala um cache de processos maliciosos, possibilitando detecção e mitigação mais rapidamente.
Autoproteção: A autoproteção impede alterações não autorizadas nos processos, gravações de registros nos arquivos de configuração e executáveis do próprio software e nos backups localizados nas pastas locais.

Além disso, possibilita a habilitação da “Proteção por senha”, que cria uma senha impedindo a tentativa de modificação ou exclusão dos componentes do agente.
Detecção de processo de mineração de criptografia: Como mencionado acima, o Active Protectio realiza a identificação de processos relacionados ao Cryptojacking. Porém nessa aba é possível configurar outras ações “Apenas gerar um alerta na aba de atividades” ou interromper o processo suspeito além de alertar.
Prevenção de exploração: A prevenção de exploração detecta e evita que processos maliciosos explorem as vulnerabilidades de softwares em um sistema, possibilitando configurar as ações ao detectar, e as técnicas utilizadas na prevenção de exploração.

Outro recurso disponível é a possibilidade de configurar as verificações do Windows Defender diretamente pelo portal. A Acronis recomenda que a “Proteção em tempo real” seja habilitada em somente um antivírus, pois, assim evita o conflito entre eles.

Obs: Em todos os componentes citados nesse artigo não há necessidade de realizar a instalação de novos softwares para usufruir de cada um, pois apenas atualizando o agente já instalado na máquina, é possível realizar o processo.

Após configurarmos e habilitarmos o plano destinado para o EDR, conseguimos realizar toda a análise no menu PROTEÇÃO. Nela iremos destrinchar 3 abas:

Incidentes: podem ser considerados como um ponto de prevenção ou detecção suspeita e incluem todos os eventos relacionados a um único ataque. Esses incidentes de segurança também podem incluir eventos benignos adicionais que fornecem mais contexto sobre o que aconteceu.

Quando selecionamos para investigar o incidente somos redirecionados para uma nova aba de informações, onde é possível rapidamente entender o impacto com a evolução do ataque baseada na estrutura do MITRE (uma base de conhecimento global de táticas e técnicas baseadas em observações do mundo real).

Aqui conseguimos verificar se o evento foi mitigado ou não além de analisarmos o ponto inicial do ataque, como ele foi executado, escalações de privilégios, técnicas de detecção, movimentos laterais para outras cargas de trabalho, roubo de credenciais e tentativas de infiltração.
Quarentena: nessa aba ficam isolados todos os arquivos suspeitos (provavelmente infectados) ou potencialmente perigosos. Por padrão, ficam por 30 dias até serem removidos da quarentena, mas é possível alterar esse período para até 120 dias.

Selecionando o arquivo podemos tomar algumas ações: adicionar a lista de permissões, restaurar ou exclui-lo. Além de alguns detalhes como: data do evento, dispositivo, nome da ameaça, HASH, caminho plano de proteção.
Lista de permissões: aqui podemos configurar apenas duas ações:
- Adicionar arquivo: podemos adicionar novos arquivos a partir das máquinas que estão com o agente instalado e seu caminho;
- Configurações: aqui podemos desabilitar a lista de permissões ou criar um plano de verificação de backup para automatizar a verificação no menu “GERENCIAMENTO > Planos de verificação de backup”, conforme imagem abaixo.

Conclusão

A solução de EDR da Acronis proporciona de forma abrangente formas e ações diferentes na proteção da sua empresa a partir do gerenciamento e análise de eventos utilizando inteligência artificial e “machine learning”, além de estar tudo unificado em um único portal e agente de forma simples, direta e didática.