A ciber-segurança enfrenta um número crescente de ameaças e, consequentemente, o número de instrumentos para as combater está a aumentar. Neste momento, as organizações com múltiplas ferramentas têm dificuldade em gerir eficazmente múltiplas plataformas para uma segurança eficiente, e em resposta a esta dificuldade, surgiu uma nova abordagem conhecida como detecção e resposta alargada (XDR).
XDR afirma melhorar os tempos de investigação e resposta dos centros de operações de segurança (SOCs). Como tal, esta nova abordagem está a emergir como uma alternativa às abordagens reactivas tradicionais que apenas dão visibilidade em camadas a ataques, tais como a detecção e resposta de endpoints (EDR) que tinham dificuldade em detectar ameaças complexas.
Além disso, a visibilidade em camadas fornece muita informação, mas tem problemas tais como um elevado número de alertas incompletos e inexplicáveis, investigações complexas para identificar uma violação, e ferramentas que se concentram nas fraquezas tecnológicas em vez das necessidades operacionais dos utilizadores e das empresas.
XDR é uma abordagem proactiva à detecção e resposta a ameaças, onde a sua visibilidade de dados é fornecida através de redes, nuvens e pontos finais, ao mesmo tempo que emprega análises e automatiza a remediação de ameaças.
O que é XDR e para que é utilizado?
Simplificando, XDR é uma ferramenta de detecção e resposta cruzada capaz de recolher e correlacionar dados de múltiplas camadas de segurança, incluindo correio electrónico, servidores, aplicações, nuvens, e redes. Por outras palavras, é uma abordagem abrangente que resulta em visibilidade em todo o ambiente tecnológico. Isto permite às equipas de segurança detectar e investigar ataques de forma mais rápida e eficaz.
Esta ferramenta concentra-se na recolha de dados num método mais avançado do que as soluções anteriores. Ao analisar através de um fluxo constante de múltiplos eventos, as equipas de segurança podem fazer ligações lógicas a partir de uma única visão dos dados e atenuar rapidamente as ameaças.
As principais utilizações incluem a detecção de ameaças desconhecidas e ataques avançados. Para estes, XDR centra os eventos de segurança em múltiplos controlos para proporcionar uma abordagem holística ao progresso de ataques complexos através de uma cadeia transvectorial. Esta solução transforma sinais de segurança fracos de várias fontes em sinais mais fortes para lidar com todos os tipos de ameaças.
Além disso, a ferramenta funciona como uma plataforma integrada para correlacionar dados, evitando o ruído de um enorme volume de alertas de segurança. XDR exclui ameaças falsas e permite que as operações se concentrem nas ameaças reais.
Como funciona a segurança XDR e as suas características
Inicialmente, esta abordagem é implementada como uma ferramenta baseada em SaaS que deve ser integrada com os produtos existentes da empresa para criar um sistema de segurança unificado. Como resultado, o sistema recolhe dados e informações em bruto das diferentes camadas da rede da empresa, gerando um Lago de Dados, onde depois realiza análises e correlações automáticas dos dados para procurar ameaças sofisticadas.
Quando a ferramenta detecta uma ameaça, constrói uma linha temporal gráfica de ataque, que pode ser acedida a partir de uma interface de utilizador centralizada, gerando respostas sobre como o ataque ocorreu, onde se originou, e assim por diante.
Finalmente, a ferramenta pode responder ao ataque, contendo-o ou eliminando-o com base em dados correlacionados disponíveis. Além disso, a XDR tem inteligência de ameaças para prevenir a ocorrência de ameaças e ataques semelhantes.
A unificação da infra-estrutura da rede por XDR proporciona uma visibilidade e benefícios completos:
Como já foi mencionado, as versões anteriores deste tipo de solução concentraram-se apenas num nível de segurança, enquanto o XDR gera uma visão completa da infra-estrutura informática. Assim, os silos de segurança desaparecem e oferecem a oportunidade de observar ameaças de qualquer lugar, conhecer a sua origem, onde foi afectado, etc. Como resultado, isto proporciona aos analistas uma maior percepção para gerar respostas mais rápidas e mais adequadas ao tipo de ameaça.
- Eficiência através da automatização
XDR utiliza a automatização para reforçar as capacidades do pessoal de segurança e racionalizar os fluxos de trabalho. Isto elimina tarefas repetitivas que não acrescentam valor e desperdiçam tempo. Também permite receber mais informação de forma mais simples a partir de grandes volumes de dados, para que se possa dar uma resposta mais eficiente.
- Aumento da Qualidade Operacional
A visão de XDR de todo o ambiente através da recolha centralizada de dados e uma única interface de utilizador melhora a eficiência operacional. Os analistas têm mais tempo para detectar e remediar as ameaças, não tendo de mudar de painel de instrumentos com base na ferramenta que estavam a utilizar.
- Análise de Ameaças Personalizada
A visibilidade holística de XDR permite-lhe adaptar as respostas às ameaças com base no activo sob ataque, alavancando pontos de controlo para minimizar o impacto em toda a rede empresarial. Anteriormente, EDR continha pontos finais comprometidos, o que criou grandes problemas quando um dos pontos finais podia ser um servidor crítico.
A análise automatizada de dados e a correlação de dados permite que alertas semelhantes sejam agrupados, priorizados e numerados. Isto evita que as equipas de segurança tenham de lidar com um grande número de alertas.
- Acelerar a detecção e a eficácia da resposta
A geração de um Lago de Dados implícita nesta ferramenta permite uma detecção e resposta mais rápida e sofisticada a ameaças, juntamente com uma maior capacidade de detectar ataques silenciosos.
- Melhoria da Produtividade das SecOps
XDR é capaz de fornecer uma capacidade de resposta integrada a incidentes com alerta de alta fidelidade. Tem um centro de gestão, que, como mencionado acima, melhora a visibilidade em todos os ambientes. Como resultado, os analistas de baixo nível podem preencher funções de protecção contra ameaças mais elevadas e, como resultado, aumentar a produtividade da SecOps.
MDR, o nível seguinte
A detecção e resposta gerida (MDR) é a alternativa a ser considerada para a próxima etapa de tais ferramentas em ciber-segurança, mas ainda se encontra numa fase de maturação. Em princípio, XDR e MDR empregam abordagens semelhantes, tanto na recolha como na análise de dados da rede da empresa, endpoints, servidores, e nuvem para detectar ameaças avançadas.
Tanto o MDR como o XDR empregam a análise de dados orientada pela IA e a inteligência de ameaças para impulsionar a visibilidade das ameaças através das plataformas. Contudo, existe uma diferença distinta entre as duas ferramentas, MDR gera um elevado nível de conhecimentos humanos em torno de dados de alerta, enquanto XDR precisa de pessoas a bordo que saibam o que fazer com estas ferramentas para tirar proveito das mesmas.
Assim, idealmente, o XDR deve ser visto como um complemento do MDR, em vez de ser apresentado como um concorrente, para que faça parte de um serviço de detecção e resposta gerido. Esta forma de trabalhar em conjunto refere-se à capacidade dos fornecedores de MDR em adquirir fontes XDR, gerir as diferentes ferramentas numa única abordagem e gerar uma solução de ponta a ponta.
Finalmente, esta próxima ferramenta concentra-se nos resultados de segurança e em como alcançá-los, ao contrário do XDR. O resultado influencia a componente gerida que falta ao XDR e permite às empresas concentrarem-se nos seus objectivos em vez de olharem para os silos de segurança.
Jogadores no mercado
Entre os diferentes prestadores de serviços XDR encontra-se a Mandiant Automated Defense. Este é um motor XDR analítico baseado em software dentro da plataforma Mandiant Advantage, é capaz de combinar o pensamento humano juntamente com o poder da IA para tomar decisões complexas de forma eficiente. Além disso, gera análises e tomadas de decisão automatizadas que incluem controlos de rede e repositórios de dados e informações sobre ameaças. Este fornecedor inclui no seu serviço XDR:
- Perícia em segurança integrada.
- Inteligência de ameaça específica do cliente da Mandiant.
- A capacidade de processar milhões de alertas em tempo real.
- Escala da empresa à velocidade da máquina.
- Aprendizagem contínua e adaptabilidade.
- Monitorização automatizada 24/7 dos alertas de segurança.
- Análise, raciocínio e tomada de decisões sobre alertas.
Outro fornecedor de serviços vem da combinação das equipas da Carbon Black com a VMware, criando uma plataforma SaaS que fornece antivírus, verificação de ameaças e capacidades de gestão de vulnerabilidades a partir de uma única plataforma central. Além disso, acrescenta a integração de mais produtos VMware tais como Workspace One, vSphere e NSX Service-defined Firewall, entre outros. As características incluem:
- Detecção e prevenção avançadas de ameaças.
- Conhecimento da linha do tempo de um ataque.
- Reduzir o tempo necessário para resolver uma ameaça através da automação.
- Segurança estendida à nuvem.
- Tomada de decisões em vários pontos.
- Fornece às equipas de segurança o contexto de outros domínios para a tomada de decisões quando da investigação de uma ameaça.
Conclusões
Até agora, a segurança em camadas de uma rede corporativa tem funcionado bem, mas as ameaças de hoje são mais avançadas e complexas. Nos últimos tempos, o XDR tornou-se um dos segmentos de mercado em rápido crescimento em ciber-segurança, uma vez que esta ferramenta aborda requisitos-chave para a detecção e resposta a ameaças através de uma análise unificada.
As empresas deixarão de precisar de múltiplos produtos com soluções únicas, uma vez que o XDR é desenvolvido para enfrentar este desafio, independentemente de a ameaça estar num ponto final, na rede ou na nuvem. XDR uniformiza, analisa e prioriza simultaneamente de forma automatizada.
Paralelamente, muitas organizações estão a recorrer à MDR para responder à necessidade de pessoas que sabem o que fazer com ferramentas como XDR ou EDR para as alavancar. MDR permite o acesso a analistas externos que têm uma vasta experiência em XDR para fornecer um grande serviço de segurança e respostas abrangentes.
Finalmente, uma variedade de fornecedores oferecem serviços SaaS XDR dependendo das necessidades e dimensões das empresas. Geralmente, caracterizam-se por capacidades alargadas na integração da ferramenta, embora muitos ainda precisem de amadurecer para oferecer um serviço totalmente eficaz na área da análise.
