O que é detecção e resposta estendida (XDR)?

No cenário de evolução constante das ameaças virtuais, o XDR promete melhorar drasticamente os tempos de investigação e resposta das equipes de segurança. Mas, como em qualquer abordagem emergente, pode haver confusão sobre o que é o XDR, como ele difere das soluções de segurança tradicionais e quais resultados de segurança os usuários podem esperar dele. Continue lendo para saber mais.

Significado e definição de XDR

A detecção e resposta estendidas, ou XDR, é uma tecnologia de segurança em várias camadas que protege a infraestrutura de TI. Ele faz isso reunindo e correlacionando dados de várias camadas de segurança, incluindo endpoints, aplicativos, e-mail, nuvens e redes, proporcionando maior visibilidade do ambiente de tecnologia de uma empresa. Isso permite que as equipes de segurança detectem, investiguem e respondam às ameaças virtuais de forma rápida e eficaz.

O XDR é considerado uma versão mais avançada de detecção e resposta de endpoint (EDR). Enquanto o EDR se concentra em endpoints, o XDR se concentra mais amplamente em vários pontos de controle de segurança para detectar ameaças mais rapidamente, usando análise profunda e automação.

O cenário moderno de ameaças virtuais

O cenário de segurança virtual está evoluindo e se expandindo rapidamente. Na última década, houve uma proliferação de ferramentas de detecção e resposta a ameaças, cada uma tentando ficar à frente das ameaças virtuais mais recentes. Com o aumento do trabalho remoto e mais funções comerciais migrando para a nuvem, a detecção e a resposta nem sempre são uma tarefa simples, até porque violações desastrosas podem vir de qualquer lugar a qualquer momento.

Neste ambiente digital de alto risco, é essencial saber gerir as ameaças virtuais de forma coerente e holística. As equipes de segurança precisam contar com uma integração mais profunda e mais automação para ficar à frente dos crimes virtuais.

As características do cenário de ameaças moderno incluem:

• Agentes maliciosos agora investem um tempo considerável na coleta de inteligência antecipada para determinar os próximos alvos, como serão abordados e o momento ideal do ataque. Esse nível de pré-planejamento torna os ataques mais sofisticados e, portanto, mais difíceis de detectar.
• Cada vez mais, os invasores trabalham em colaboração uns com os outros para aproveitar diferentes conjuntos de habilidades. Por exemplo, uma equipe com ênfase em obter acesso inicial pode trabalhar com uma equipe especializada em movimento lateral. Ela pode então vender acesso a outra equipe que se concentra em ransomware e que roubará dados para fins de extorsão. Esse nível de colaboração aumenta a complexidade.
• Os ataques virtuais agora atravessam muitas áreas da rede, por exemplo, eles podem começar na estação de trabalho de um funcionário por meio de um e-mail de phishing ou um IP aberto que pode ser comprometido, mas depois de mapear rapidamente a rede, os invasores podem passar para data centers, infraestruturas em nuvem e redes de tecnologia operacional (OT). A transformação digital de muitas empresas, juntamente com o aumento do trabalho remoto, significa que a superfície de ataque para a maioria das empresas cresceu.
• Os invasores conseguem ocultar suas atividades com cada vez mais facilidade. Eles fazem isso por meio de resposta a incidentes para ocultar suas ações dos defensores, ou seja, usando ferramentas legítimas de forma maliciosa para ocultar seus rastros.
• Os métodos de extorsão tornaram-se mais elaborados, incluindo roubo de dados, DDoS, ransomware e, em casos extremos, entrar em contato com seus clientes para pressionar você a pagar as taxas de extorsão.
• Em algumas empresas, a infraestrutura de segurança pode ser isolada na rede. Se as soluções de segurança independentes não estiverem integradas, elas podem causar muitos alertas sem contexto, sobrecarregando as equipes de segurança e reduzindo sua visibilidade em toda a superfície de ataque.

À medida que os criminosos usam técnicas mais avançadas para explorar os controles de segurança tradicionais, as empresas podem ter dificuldade para proteger ativos digitais vulneráveis dentro e fora do perímetro de rede tradicional. Com as equipes de segurança em tensão devido à mudança para o trabalho remoto, a pressão sobre os recursos também aumentou. As empresas precisam de medidas de segurança proativas e unificadas para defender seus ativos de tecnologia, incluindo endpoints legados, cargas de trabalho móveis, de rede e de nuvem sem sobrecarregar a equipe e os recursos internos.

Como resultado, mais líderes de segurança corporativa e gestão de risco estão considerando as vantagens e o valor da produtividade da segurança de XDR.

Como funciona o XDR?

O XDR cria eficiências de segurança aprimorando os recursos de detecção e resposta por meio da unificação da visibilidade e do controle em endpoints, rede e nuvem.

Ao conectar dados de soluções de segurança em silos, a visibilidade das ameaças é aprimorada e o tempo necessário para identificar e responder a um ataque é reduzido. O XDR facilita os recursos avançados de investigação e caça a ameaças em vários domínios a partir de um único console.

Em termos gerais, existem três aspectos de como a segurança de XDR funciona:

1. Coleta de dados: a primeira etapa é reunir e normalizar grandes volumes de dados de endpoints, cargas de trabalho na nuvem, e-mail, tráfego de rede, contêineres virtuais e muito mais. Todos os dados são anônimos e compreendem apenas os elementos necessários para identificar potenciais anomalias e ameaças.
2. Detecção: então, o foco está na análise e correlação de dados para detectar automaticamente ameaças secretas usando inteligência artificial avançada (IA) e aprendizado de máquina (ML).
3. Resposta: em seguida, trata-se de priorizar os dados de ameaças por gravidade, para que as equipes de segurança possam analisar e fazer a triagem de novos eventos em tempo hábil e automatizar as atividades de investigação e resposta. O processo de resposta deve ocorrer a partir de um único centro, incluindo dados, contexto e ferramentas relevantes.

A tecnologia XDR é útil para mostrar aos analistas as etapas de um invasor, revelando a sequência de processos antes do ataque final. A cadeia de ataque é enriquecida com informações do inventário de ativos, como vulnerabilidades relacionadas ao ativo, proprietário ou proprietários dos ativos, função comercial e reputação observável da inteligência de ameaças.

Com as equipes de segurança frequentemente sujeitas a um grande volume de alertas todos os dias, automatizar o processo de triagem e fornecer aos analistas informações contextuais é a melhor maneira de gerenciar o processo. O XDR permite que as equipes de segurança usem seu tempo com eficiência, concentrando-se em alertas com potencial para causar o maior dano.

Por que as empresas precisam do XDR?

O XDR coordena ferramentas de segurança em silos, unificando e agilizando a análise, investigação e resposta. Isso oferece benefícios consideráveis para as empresas, incluindo:

Visibilidade consolidada de ameaças:

a segurança XDR fornece dados anônimos em um endpoint em combinação com comunicações de rede e de aplicativos. Isso inclui informações sobre permissões de acesso, arquivos acessados e aplicativos em uso. A visibilidade total em todo o seu sistema permite detectar e bloquear ataques mais rapidamente.

Capacidade de prevenção aprimorada:

inteligência contra ameaças e aprendizado de máquina adaptável fornecem configuração centralizada e capacidade de proteção com orientação para evitar possíveis ataques.

Resposta efetiva:

a coleta e análise de dados extensiva permite que as equipes de segurança rastreiem um caminho de ataque e reconstruam as ações do invasor, aumentando as chances de identificar os criminosos. Os dados também fornecem informações valiosas que você pode usar para fortalecer suas defesas.

Maior controle:

a capacidade de bloquear e permitir tráfego e processos de lista garante que apenas ações e usuários aprovados possam entrar em seu sistema.

Produtividade aprimorada:

a centralização reduz o volume de alertas e aumenta sua precisão, o que significa menos falsos positivos para filtrar. Como o XDR é uma plataforma unificada em oposição a uma combinação de várias soluções pontuais, é mais fácil de gerenciar e reduz o número de interfaces que a segurança deve acessar durante uma resposta.

Restaurar hosts após um comprometimento:

o XDR pode ajudar as equipes de segurança a se recuperarem rapidamente de um ataque removendo arquivos maliciosos e chaves de registro, bem como restaurando arquivos e chaves de registro danificados usando sugestões de correção.

Exemplos de casos de usuário de XDR

A tecnologia XDR é adequada para uma ampla variedade de responsabilidades de segurança de rede. Sua aplicação específica dependerá das necessidades de sua empresa e da maturidade de sua equipe de segurança. Os exemplos incluem:

Triagem:

o XDR pode ser usado como a principal ferramenta para agregar dados, monitorar sistemas, detectar eventos e alertar equipes de segurança.

Investigação:

as empresas podem usar soluções XDR como repositórios de informações sobre eventos. Eles podem usar essas informações em combinação com a inteligência de ameaças para investigar eventos, determinar sua resposta e treinar a equipe de segurança.

Busca de ameaças:

os dados coletados pelas soluções XDR podem ser usados como linha de base para a realização de buscas de ameaças. Por sua vez, os dados usados e coletados durante as buscas de ameaças podem ser usados para criar uma nova inteligência de ameaças para fortalecer protocolos e sistemas de segurança.

Quais são os benefícios do XDR?

A detecção e a resposta estendidas agregam valor ao consolidar várias ferramentas de segurança em uma plataforma coerente e unificada de detecção e resposta a incidentes de segurança. Os principais benefícios do XDR incluem:

• Consolidar um grande volume de alertas em um número muito menor de incidentes que podem ser priorizados para investigação manual
• Fornecer opções integradas de resposta a incidentes que fornecem contexto suficiente para que os alertas possam ser resolvidos rapidamente
• Fornecer opções de resposta que vão além dos pontos de controle de infraestrutura, incluindo rede, nuvem e endpoints, para oferecer proteção abrangente
• Automatizar tarefas repetitivas para melhorar a produtividade
• Fornecer uma experiência comum de gestão e fluxo de trabalho em todos os componentes de segurança, criando maior eficiência

Em essência, os principais benefícios são recursos aprimorados de proteção, detecção e resposta, produtividade aprimorada da equipe de segurança operacional, além de um custo total de propriedade mais baixo para detecção e resposta eficazes de ameaças à segurança.

O que procurar em uma solução XDR

Os principais recursos a serem procurados em uma solução XDR incluem:

Independência de controles:

capacidade de integração com várias tecnologias sem exigir o aprisionamento do fornecedor.

Correlação e detecção baseadas em máquina:

para facilitar a análise oportuna de grandes conjuntos de dados e reduzir o número de falsos positivos.

Modelos de dados pré-criados:

para integrar a inteligência de ameaças e automatizar a detecção e a resposta sem precisar de programação ou regras por parte dos engenheiros de software.

Integração de produção:

em vez de exigir a substituição de soluções de gerenciamento de Segurança da Informação e Gerenciamento de Eventos (SIEM, na sigla em inglês), tecnologias de orquestração e resposta de segurança (SOAR, na sigla em inglês) e ferramentas de gerenciamento de casos, uma solução XDR deve se integrar a eles para permitir que as empresas maximizem o valor do investimento.

Integração com validação de segurança:

quando o XDR e a validação de segurança trabalham juntos, as equipes de segurança têm maior consciência do desempenho do conjunto de segurança, onde estão as vulnerabilidades e quais ações devem ser tomadas para solucionar as lacunas de desempenho.

XDR x outras tecnologias de detecção e resposta

O XDR difere de outras ferramentas de segurança ao centralizar, normalizar e correlacionar dados de várias fontes para fornecer visibilidade completa e expor ameaças avançadas.

Ao coletar e analisar dados de várias fontes, a tecnologia XDR melhora a validação de alertas, o que reduz falsos positivos e aumenta a confiabilidade. Isso economiza tempo para as equipes de segurança e permite respostas mais rápidas e automatizadas.

XDR é diferente de EDR. Os sistemas de EDR ajudam as empresas a gerenciar ameaças concentrando-se na atividade atual em todos os seus endpoints, usando aprendizado de máquina avançado para entender essa atividade e especificar respostas e usando a automação para fornecer ações rápidas quando necessário.

Os sistemas de XDR se baseiam nesse princípio, integrando fluxos de dados não-endpoint, como redes, e-mail, cargas de trabalho na nuvem, aplicativos, dispositivos, identidade, ativos de dados, internet das coisas e potencialmente outros. Esses elementos adicionais possibilitam descobrir mais ameaças, violações e ataques e responder com mais eficiência, pois você pode conduzir ações em sua infraestrutura mais ampla, não apenas em endpoints. O XDR também fornece uma visão mais profunda sobre exatamente o que está acontecendo.

Algumas empresas tentam gerenciar ameaças virtuais usando uma combinação de EDR e Segurança da Informação e Gerenciamento de Eventos (SIEM). No entanto, enquanto as soluções SIEM coletam dados superficiais de várias fontes, o XDR coleta dados mais profundos de fontes direcionadas. Isso permite que o XDR forneça maior contexto para eventos e elimina a necessidade de ajuste manual ou integração de dados. As fontes de alerta são nativas da solução de XDR, o que remove o esforço de integração e manutenção necessário para monitorar alertas em um SIEM.

Por fim, quanto mais tempo uma ameaça permanecer na rede de uma empresa, mais oportunidades um invasor terá de danificar sistemas e roubar dados valiosos. Isso significa que é crucial agir o mais rápido possível em resposta a qualquer ameaça percebida. As equipes de segurança precisam de maneiras melhores de saber quando as ameaças estão presentes, além de maneiras mais rápidas de destacá-las e neutralizá-las quando atacam para minimizar possíveis perdas. Em última análise, esse é o desafio que o XDR foi projetado para enfrentar.

Perguntas frequentes sobre XDR

As perguntas frequentes sobre segurança de XDR, tecnologia de XDR e segurança virtual de XDR incluem:

O que é XDR?

XDR significa detecção e resposta estendidas e refere-se a uma tecnologia que monitora e mitiga ameaças de segurança virtual. O XDR coleta e correlaciona automaticamente dados em várias camadas de segurança, incluindo dados de endpoint, rede e nuvem, acelerando a detecção de ameaças e permitindo uma resposta mais rápida e precisa.

Como funciona o XDR?

O XDR garante uma abordagem proativa para detecção e resposta a ameaças. Ao fornecer visibilidade de todos os dados e usar análises e automação, o XDR pode lidar com as ameaças atuais de segurança virtual. O XDR coleta alertas em e-mail, endpoints, servidores, cargas de trabalho na nuvem e redes e analisa esses dados para identificar ameaças. As ameaças são então priorizadas, buscadas e corrigidas para evitar violações de segurança.

Qual a diferença entre XDR e EDR?

A detecção e resposta de endpoint (EDR) concentra-se no monitoramento contínuo e na detecção de ameaças, juntamente com a resposta automatizada. No entanto, ele é limitado por executar essas funções apenas no nível do terminal. Por outro lado, o XDR tem as mesmas prioridades que o EDR, mas as estende além dos endpoints para incluir cargas de trabalho na nuvem, aplicativos, identidades de usuários e em toda a própria rede.

Produtos relacionados:

• Kaspersky Managed Detection and Response
• Kaspersky Endpoint Detection and Response Expert e Kaspersky Anti Targeted Attack Platform

Mais leitura:

• O que é segurança de endpoint e como ela funciona?
• Como o conceito de confiança zero molda a segurança virtual em escala
• Como as violações de dados acontecem