O software de detecção e resposta de endpoint (EDR) tornou-se uma forma popular de proteção contra ataques de ransomware. No entanto, os pesquisadores dizem que os hacks relacionados a essa tecnologia, embora raros, estão aumentando gradualmente em frequência.
À medida que os ataques de hackers se tornam mais destrutivos e generalizados, defesas poderosas contra empresas como a CrowdStrike Holdings e a Microsoft se tornaram muito importantes para o setor de segurança cibernética. O software de detecção e resposta de endpoint (EDR) foi projetado para detectar sinais precoces de atividade maliciosa em laptops, computadores, servidores e outros dispositivos — “endpoints” em uma rede de computadores — e bloqueá-los antes que invasores possam roubar dados ou bloquear o dispositivo.
No entanto, especialistas dizem que os hackers desenvolveram soluções alternativas para alguma forma de tecnologia EDR, permitindo que eles contornassem produtos que se tornaram o padrão ouro para proteger sistemas críticos. Pesquisadores de várias empresas de segurança cibernética disseram que o número de ataques nos quais o EDR é desabilitado ou ignorado é pequeno, mas crescente, e que os hackers estão se tornando mais criativos ao encontrar maneiras de contornar a proteção mais forte que ele oferece. O mercado de EDR e outras novas tecnologias de segurança de endpoint cresceu 27%, atingindo US$ 8,6 bilhões globalmente no ano passado, liderado pela CrowdStrike e pela Microsoft, de acordo com a IDC.
Um incidente não relatado anteriormente, divulgado pela Bloomberg News, ocorreu em outubro, quando a equipe de segurança dinamarquesa CSIS estava investigando um hack em uma empresa de manufatura europeia. De acordo com Jan Kaastrup, diretor de inovação do CSIS, os hackers exploraram uma vulnerabilidade anteriormente desconhecida no EDR da Microsoft e empacotaram o malware de forma que ele fosse detectado por uma ferramenta de segurança que alertasse a equipe de TI da vítima que o ataque havia sido bloqueado. .
A violação não foi descoberta até que a vítima percebeu os dados saindo da rede corporativa e contatou a empresa dinamarquesa. Kastrup acrescentou que “o software de segurança não pode funcionar sozinho – precisamos de olhos na tela combinados com tecnologia”.