EDR: como a proteção de endpoints salva PMEs de ransomware
EDR (Endpoint Detection and Response) é a tecnologia que monitora computadores e servidores em tempo real, registra tudo o que acontece em cada equipamento e permite responder a ameaças de forma automática. Para uma PME, é o que separa descobrir um ataque de ransomware em minutos ou só depois de os dados já estarem criptografados.
Quando falamos de EDR para pequenas e médias empresas, a confusão começa no nome. Endpoint é todo equipamento que se liga à rede: o notebook do contador, o servidor de arquivos, a máquina virtual na nuvem. Detection é a capacidade de perceber que algo está errado antes do estrago. Response é agir — isolar a máquina, matar o processo malicioso, reverter a alteração. Sem essas três peças juntas, a empresa dirige de olhos vendados.
O que é EDR, na prática
Imagine uma câmera de segurança que não só filma como também tranca a porta quando vê um intruso. É isso que o EDR faz no mundo digital. Um agente pequeno fica instalado em cada computador e servidor, a recolher eventos: processos criados, conexões de rede, alterações em arquivos, logins suspeitos. Esse fluxo vai para uma console central onde analistas — ou automação — conseguem enxergar o padrão de um ataque em forma de linha do tempo.
A diferença frente às ferramentas antigas está na memória. O antivírus tradicional pergunta “este arquivo é malicioso?” e decide com base numa assinatura conhecida. O EDR pergunta “este comportamento faz sentido neste computador, neste horário, com este usuário?” — e guarda o histórico para investigar o que já aconteceu há dias ou semanas. É essa memória que transforma um incidente caótico numa investigação com princípio, meio e fim.
Por que o antivírus tradicional já não basta
O antivírus foi desenhado para uma época em que as ameaças vinham em disquetes e e-mails com anexos óbvios. Os atacantes de hoje entram com credenciais roubadas, vivem na memória do sistema e usam ferramentas legítimas — a tática conhecida como living-off-the-land. Nada disso levanta alerta num antivírus baseado só em assinaturas.
Os números confirmam o risco. Segundo o State of Ransomware 2025 da Sophos, a causa raiz número um dos ataques passou a ser a vulnerabilidade explorada, à frente do phishing. O custo médio de recuperação subiu para 1,5 milhão de dólares, mesmo quando há backup. E 63% das organizações atacadas admitem que o problema esteve na falta de pessoas e competências, não na falta de ferramenta. Ou seja: a pergunta deixou de ser “temos antivírus?” e passou a ser “conseguimos perceber e reagir a tempo?”.
Como o EDR funciona em três tempos
Um bom EDR cobre as três fases de qualquer incidente, conforme descreve a documentação do Velociraptor, uma das plataformas open-source de referência na área de resposta a incidentes.
Antes do ataque, o agente já está instalado e registra a linha base normal de cada máquina — quem costuma iniciar sessão, que processos são habituais, quais as conexões esperadas. Durante o ataque, o motor de detecção cruza eventos em tempo real com regras como as Sigma e com frameworks de comportamento como o MITRE ATT&CK, disparando um alerta assim que o padrão foge ao normal. Depois do ataque, todo o histórico fica disponível para perícia: ocorreu um início de sessão às 03h14, seguiu-se a exportação de 4 GB de dados e a tentativa de movimento lateral para o servidor.
É essa capacidade de “viajar no tempo” que faz do EDR uma ferramenta de investigação forense, e não só de bloqueio. Sem ela, a PME descobre o incidente quando o cliente telefona para dizer que os dados dele apareceram num site de extorsão.
Endpoints: a porta de entrada do ransomware
O endpoint é onde o atacante assenta o pé. O Data Breach Investigations Report 2025 da Verizon mostra que as PMEs se tornaram o alvo mais frequente de ransomware, e que 23% dos incidentes começam com credenciais comprometidas — exatamente o tipo de acesso que passa despercebido num antivírus comum.
O Ransomware Impact Report 2025 da Hornetsecurity acrescenta um dado cruel: 26% dos incidentes de ransomware envolveram diretamente um endpoint comprometido. Já a Cybersecurity Ventures projeta que o custo global do ransomware vai ultrapassar 275 bilhões de dólares em 2031. A lição é simples: quem controla o endpoint controla a porta de entrada. Quem a deixa aberta paga o resgate — e, segundo o mesmo estudo da Sophos, 83% das vítimas que pagam voltam a ser atacadas.
EDR open-source com Velociraptor para PMEs
O preço sempre foi o grande obstáculo. As soluções comerciais de EDR cobram por endpoint e por mês, o que depressa fica caro para uma PME com 30 ou 50 máquinas. É aqui que o Velociraptor muda as contas: é uma plataforma open-source, de nível empresarial, para monitorização de endpoints, perícia digital e resposta a incidentes, sem licença por máquina.
Com o Velociraptor implementado ao lado do Wazuh (detecção e SIEM) e do TheHive com Cortex (gestão de incidentes e análise automática), uma PME lusófona consegue montar um CSOC funcional por uma fração do custo das soluções proprietárias. O agente instala-se como serviço em todos os endpoints, conecta-se de volta ao servidor — na nuvem ou local — e fica pronto para ser acionado, recolher artefatos, fazer varredura em toda a frota ou isolar uma máquina comprometida. Não há orçamento de seis dígitos nem caixas pretas.
EDR, XDR e MDR: qual a diferença
Esses três termos aparecem sempre misturados nos materiais de marketing, mas a distinção importa na hora de decidir. EDR foca-se no endpoint. XDR amplia essa visão para e-mail, identidade, rede e nuvem, cruzando dados de várias fontes numa só console. MDR é o serviço gerido: uma equipe externa assume a responsabilidade de monitorar, detectar e responder por você, 24 horas por dia.
Para a maioria das PMEs, a pergunta certa não é “qual a ferramenta mais avançada?”, e sim “quem vai olhar os alertas às 03h00 de um domingo?”. Se a resposta for “ninguém”, então o MDR — ou um SOC como serviço — resolve o problema da mesma forma que o EDR resolveu o do antivírus: colocando olhos humanos em cima do perigo a tempo de agir. O NIST Cybersecurity Framework resume a lógica em cinco verbos: identificar, proteger, detectar, responder e recuperar. O EDR vive na interseção de três deles.