detecção
4 artigos com esta tag
O que é EDR — registrar o 'comportamento' dos endpoints para detectar e responder a ataques que escapam
O EDR registra continuamente o comportamento do endpoint, detecta atividade suspeita (no estilo IOA) e apoia a resposta (isolar, investigar). Ele captura ataques sem arquivo e living-off-the-land que o antivírus baseado em assinaturas/IOC perde, por meio de comportamento e de uma linha do tempo. Times pequenos muitas vezes não precisam de um EDR completo — a proteção embutida no SO mais logs mais a mentalidade de IOA já entregam boa parte do valor.
O que é um IOA (Indicator of Attack) — detectar uma invasão por comportamento, não por rastros
Um IOA (Indicator of Attack) detecta uma invasão pelo comportamento de um ataque em andamento (escalonamento de privilégios → movimento lateral → exfiltração). É a contraparte do IOC, que é a posteriori. Atacantes trocam hashes e IPs num instante, mas a técnica (comportamento) é difícil de mudar — então os IOAs duram. Até times pequenos podem se aproximar disso observando comportamento que difere do normal.
O que é um IOC (Indicator of Compromise) — rastros que revelam uma invasão
Um IOC (Indicator of Compromise) é um rastro que uma invasão deixa para trás — hashes de arquivo sabidamente maliciosos, IPs/domínios de atacantes, URLs, processos incomuns. Seu valor é detectar/bloquear mecanicamente o sabidamente malicioso. Mas é uma pista reativa que os atacantes trocam barato, então a correspondência de IOC é uma verificação final, não uma cura. A defesa de verdade é um design que não pega fogo (privilégio mínimo, correções, MFA).
O que é C2 (comando e controle) — o canal que atacantes usam para controlar um dispositivo após uma invasão
C2 é o canal que um dispositivo comprometido usa para ligar de volta ao servidor do atacante (um beacon) para receber comandos e exfiltrar dados — a etapa após a invasão. As chaves para detectá-lo são tráfego de saída periódico suspeito e destinos sabidamente maliciosos. Defesas: filtragem de saída, monitoramento de DNS, correspondência de IOC/IOA, privilégio mínimo. Confirmar que 'não há C2 residente' é uma parte fundamental da investigação de uma invasão.