Alternativa correta: C - Endpoint Detection and Response (EDR)

1. Tema central da questão:
A questão aborda ferramentas de proteção em segurança da informação, especialmente aquelas focadas em detecção e resposta a ameaças nos dispositivos finais (como computadores dos funcionários). O conhecimento necessário envolve entender os principais tipos de soluções de segurança e suas funções específicas dentro de uma infraestrutura corporativa.

2. Resumo teórico:
Soluções de Endpoint Detection and Response (EDR) são projetadas para monitorar continuamente atividades em dispositivos finais, identificar comportamentos suspeitos (como tentativas de ransomware) e responder automaticamente a incidentes de segurança. Elas podem bloquear ameaças em tempo real e notificar as equipes de segurança, ajudando a evitar danos antes que o ataque se concretize.
Fonte: NIST SP 800-137; Microsoft, "What is EDR?"

3. Justificativa da alternativa correta (C):
O cenário descreve um software que detecta, bloqueia e informa automaticamente sobre uma ameaça de ransomware em um computador de usuário. Isso se encaixa exatamente na definição de EDR, como o Microsoft Defender for Endpoint. O EDR vai além do antivírus tradicional, oferecendo resposta automática a incidentes.

4. Análise das alternativas incorretas:

• A - Proxy reverso: Atua na camada de rede, intermediando acessos entre usuários externos e servidores internos, mas não protege endpoints contra malwares.
• B - Antivírus (como o Hadoop): Antivírus detecta malwares, porém Hadoop não é um antivírus; trata-se de uma plataforma de processamento de dados. Além disso, antivírus comum normalmente faz varreduras agendadas, não resposta em tempo real como o EDR.
• D - Firewall de perímetro: Protege o tráfego da rede entre ambientes internos e externos, não age diretamente nos computadores dos usuários para bloquear ransomwares locais.
• E - Sistema de resposta a incidentes (como o Spark): Spark é uma ferramenta de processamento de dados e, mesmo sistemas de resposta a incidentes, normalmente, não atuam diretamente no endpoint, mas sim na coordenação da resposta após o incidente.

5. Estratégias de interpretação:
Preste atenção ao local da ameaça (endpoint) e à ação automática de bloqueio. Termos como "detecta", "bloqueia" e "notifica" diretamente no computador do funcionário são pistas claras para soluções como EDR.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A alternativa correta é:

C) Endpoint Detection and Response (EDR) (como o Microsoft Defender for Endpoint), que monitora atividades locais e responde a ameaças.

O cenário descrito envolve:

• Um anexo malicioso (possível ransomware),
• Detecção da ameaça antes da criptografia,
• Bloqueio automático do ataque,
• Notificação à equipe de segurança.

Essas funcionalidades são características de uma solução EDR (Endpoint Detection and Response).

EDR é uma tecnologia de segurança voltada para monitoramento contínuo, detecção, e resposta automatizada a ameaças em endpoints (estações de trabalho, notebooks, servidores).

As funções principais incluem:

• Monitoramento de comportamentos anômalos em tempo real;
• Bloqueio automático de ameaças, como ransomwares;
• Resposta ativa e rápida (isolamento do endpoint, remoção do malware etc.);
• Coleta de evidências e envio de alertas à equipe de segurança.

Exemplos:

• Microsoft Defender for Endpoint,
• CrowdStrike Falcon,
• SentinelOne,
• Sophos Intercept X.

A) Proxy reverso (como o NGINX):

• Atua em servidores web, não em endpoints, e não bloqueia ransomware.

B) Antivírus (como o Hadoop):

Erro duplo:

• Hadoop não é antivírus (é uma plataforma de Big Data).
• Antivírus tradicionais não têm capacidade proativa igual a um EDR.

D) Firewall de perímetro (como pfSense, Cisco ASA):

• Atua no tráfego da rede, não protege diretamente o endpoint nem bloqueia anexos de e-mail localmente.

E) Sistema de resposta a incidentes (como o Spark):

• Spark não é uma ferramenta de resposta a incidentes, é um motor de processamento de dados (Big Data). Além disso, resposta a incidentes normalmente envolve múltiplas ferramentas e não atua diretamente como um EDR.

Fonte: chatGPT

Gabarito: alternativa C

A) Incorreta.

Proxy reverso gerencia e encaminha requisições para servidores internos, não atua na detecção e resposta a ameaças no endpoint do usuário.

B) Incorreta.

Embora antivírus detectem malware, o exemplo dado (Hadoop) não é antivírus, além de a questão descrever monitoramento contínuo e resposta automática, típico de EDR, e não apenas varredura.

C) Correta.

EDR monitora continuamente as atividades no endpoint, detecta comportamentos maliciosos, bloqueia o ataque em tempo real e notifica a equipe de segurança.

D) Incorreta.

Firewall de perímetro controla tráfego de rede, não atua diretamente sobre arquivos executados localmente no computador do usuário.

E) Incorreta.

“Sistemas de resposta a incidentes” não são ferramentas específicas desse tipo, e o exemplo citado (Spark) não é ferramenta de segurança, mas de processamento de dados.

Revisar...