A Elastic lançou o Elastic Endpoint Protection, um novo recurso para segurança integrada criado com a aquisição da Endgame pela Elastic. Com o Endpoint, a Elastic está combinando seu produto para SIEM e segurança de endpoint em uma única solução criada na stack Elastic.
No início deste ano, a Elastic anunciou a adição do Elastic SIEM ao seu conjunto de produtos. Um SIEM (Gerenciamento de informações e eventos de segurança) agrega e analisa dados de log de várias fontes e tenta identificar ameaças e violações. Braden Preston, diretor de produto da Elastic e líder de produto da Endpoint, descreveu o produto da Endpoint, em conversa com a InfoQ, como uma "solução vertical totalmente integrada do SIEM ao endpoint sem a necessidade de módulos adicionais".
SIEM do Elastic mostrando uma visão detalhada de anomalias (crédito: Elastic)
A segurança de um endpoint refere-se a métodos de proteção da rede corporativa quando acessados por dispositivos remotos. O produto de proteção de terminais da Endgame foi originalmente construído usando o Elastic Stack para facilitar o parsing e a análise de dados de log. Como Preston explicou, isso fez da parceria entre a Elastic e a Endgame um ajuste lógico. Nate Fick, ex-CEO da Endgame e agora gerente geral da Elastic Security, citiou que:
O objetivo é o de interromper os ataques o mais cedo possível. Isso requer as melhores prevenções e as detecções da mais alta fidelidade no ponto final. A combinação da principal tecnologia de proteção de endpoints da Endgame com o Elastic SIEM cria um espaço de trabalho interativo para o SecOps e as equipes de busca de ameaças para interromper ataques e proteger suas organizações.
Como Preston esclareceu, a solução da Endpoint não depende totalmente de fontes de terceiros para fornecer inteligência contra ameaças, nem exige uma conexão de rede constante para proteção. Com as soluções de proteção de terminais, existem dois modelos principais. No primeiro modelo, as listas de ameaças conhecidas e vetores de ataque são carregadas - processo de download - rotineiramente para a máquina remota. O software de endpoint procura ameaças que correspondam às listas e bloqueiam qualquer coisa que corresponda.
O Endpoint emprega uma abordagem diferente conforme Preston descreveu como uma técnica de ataque focada. Nesta abordagem, o sistema analisa anomalias em tempo real que correspondem a comportamentos de ataque pré-descritos. Preston explica que, embora os ataques possam mudar e ser adaptados, as técnicas usadas durante um ataque são finitas. Como ele descreveu, isso fornece uma proteção mais profunda, pois as técnicas de ataque não podem ser alteradas polimorficamente da mesma maneira que as assinaturas de ataque; como na abordagem adotada por um malware polimórfico.
O Endpoint adota uma abordagem em camadas para a segurança do endpoint. Com esta versão, a Elastic incorporou seus modelos de aprendizado de máquina para processar os dados coletados do SIEM até o endpoint. Juntamente com isso, a proteção de endpoint possui um modelo de proteção contra malware de aprendizado de máquina que funciona para interromper executáveis e macros maliciosos. Isso é treinado e entregue em um intervalo periódico. A camada final trata dos ataques no nível do sistema operacional e é atualizada regularmente, geralmente após atualizações críticas do sistema operacional.
De acordo com Preston, a equipe está aprimorando os modelos de prevenção do Endpoint que interrompem autonomamente os ataques para proteger continuamente os endpoints sem exigir módulos adicionais ou complexidade de implantação. Enquanto o Endpoint já envia todos os seus dados para o novo Elastic Common Schema do Elasticsearch, a equipe continuará transformando a segurança do endpoint em uma experiência nativa na Elastic Stack. No início deste ano, a Elastic lançou o seu Elastic Common Schema como uma forma de fornecer uma maneira consistente de estruturar dados no Elasticsearch para otimizar a análise de dados de várias fontes.
As primeiras análises da oferta SIEM da Elastic foram bastante positivas. A Upguard comparou o Elasticsearch e o Splunk e descobriu que a oferta do Elastic superava o Splunk em critérios como suporte da comunidade e curva de aprendizado. No entanto, alguns usuários do Reddit disseram que atualmente existe suporte limitado ao firewall para o SIEM, com suporte apenas para a Palo Alto Networks e Cisco ASA.
Os recursos do Elastic Endpoint Security estão disponíveis sob a licença Elastic. Conforme abordado anteriormente pela InfoQ, isso significa que os recursos estão disponíveis para os usuários dos modelos de código aberto da Elastic ou de sua oferta SaaS, a Elastic Cloud. No entanto, os usuários do Open Distro for Elasticsearch da AWS ou de sua oferta totalmente gerenciada do Elasticsearch Service não terão acesso a esses novos recursos.