O que é XDR?

XDR é:

XDR é detecção e resposta multicamadas O XDR coleta e automaticamente correlaciona dados em diversas camadas de segurança – email, endpoint, servidor, workloads de nuvem e redes – de modo que ameaças possam ser detectadas e os analistas de segurança possam melhorar seus tempos de investigação e resposta.

XDR

XDR traz detecção e resposta multicamadas.

Ameaças evasivas conseguem escapar de sua detecção. Elas se escondem entre os silos de segurança, em meio aos alertas desconectados das soluções e se propagam ao longo do tempo, enquanto os analistas de segurança tentam fazer sua triagem e investigação com uma visão míope e desconectada dos ataques.

O XDR desfaz estes silos com uma abordagem holística de detecção e resposta. O XDR coleta e automaticamente correlaciona dados em diversas camadas de segurança – emails, endpoints, servidores, workloads de nuvem e redes. Análise automatizada destes conjuntos de dados ricos se traduz em uma detecção mais rápida, dando ferramenta para seus analistas realizarem investigações mais profundas e tomarem ações mais rápidas.

Descubra mais das camadas de segurança que podem alimentar o XDR.

Desafios do SOC

Quando se trata de detecção e resposta, os analistas de SOC têm a pesada responsabilidade de identificar rapidamente ameaças críticas, de modo a limitar os riscos e danos à organização, e ainda têm que fazer isso tudo em circunstâncias nada ideais. 

Sobrecarga de alertas

Já se sabe que as equipes de TI e segurança fiquem frequentemente sobrecarregados com alertas disparados por diferentes soluções. Uma empresa com uma média de 1000 funcionários pode chegar a ter 22.000 eventos por segundo no SIEM. Isso dá quase 2 milhões de eventos por dia.[1] Confrontados com um grande volume de alertas sem muitas formas de serem correlacionados e priorizados, até o mais capacitado analista sofre para filtrar todo o ruído e encontrar os eventos críticos. O XDR pode integrar uma série de atividades de baixo nível de confiança em uma de alto nível, liberando os alertas realmente prioritários.

Brechas na visibilidade

Embora muitos produtos de segurança tragam visibilidade sobre alertas e atividades, cada produto oferece uma perspectiva específica, e coleta e fornece dados relevantes para sua função. Integração entre produtos de segurança pode permitir troca de dados e consolidação, mas o valor frequentemente é limitado pelo tipo e profundidade dos dados coletados e pelo nível de análise de correlacionamento possível. Isso significa que há lacunas em suas ações e visibilidade. O XDR, por sua vez, coleta e dá acesso a um data lake de atividades de dados (detecções, telemetria, metadados, netflow etc.) em todas as ferramentas de segurança. Ao aplicar analytics sofisticado e inteligência de ameaças, o XDR traz o contexto total necessário para uma visão centrada no ataque de todos os eventos desencadeados nas camadas de segurança.

Dificuldade de investigar

Diante de uma série de logs e alertas, mas sem indicadores claros, é difícil saber o que procurar. Se você encontrar um problema ou ameaça, ainda assim é difícil mapear seu caminho e impacto na organização. Realizar uma investigação pode ser uma atividade demorada e muito manual, mesmo se tiver os recursos certos. O XDR automatiza o processo ao eliminar os passos manuais, e proporciona dados ricos e ferramentas de análise que seriam impossíveis sem ele. Considere, por exemplo, análise automatizada de causa raiz, onde o analista pode ver claramente a linha do tempo e o caminho do ataque (que pode passar por email, endpoint, servidor, nuvem e redes), e ir a fundo para avaliar cada etapa do ataque de modo a oferecer a resposta necessária,

E, por fim… detecção e resposta lentas

O resultado dos desafios mencionados é que as ameaças ficam indetectáveis por muito tempo, aumentando o tempo de resposta, o que aumenta o risco e as consequências do ataque. Detecção e resposta multicamadas leva a melhoras necessárias nas taxas de detecção e no tempo de resposta. Cada vez mais o tempo médio de detecção (MTTD) e de resposta (MTTR) são medidos e monitorados por serem métricas-chave de performance para organizações de segurança. Da mesma forma, o valor da solução e os investimentos são avaliados em termos do quanto são capazes de influenciar estas métricas e, com isso, reduzir o risco do negócio.

XDR vs. EDR

O XDR traz a evolução da detecção e resposta para além das soluções pontuais, com abordagem de vetor único.

Claramente, detecção e resposta no endpoint (EDR) tem enorme valor. Contudo, apesar de seus recursos, o EDR acaba sendo restrito porque ele só traz visibilidade sobre endpoints gerenciados. Isso limita o escopo de ameaças que podem ser detectadas, além da visibilidade do que e quem pode ser afetado e, por isso, limita as respostas.

Da mesma forma, ferramentas de análise de tráfego de rede (NTA) só enxergam a rede e segmentos de rede monitorados. Soluções NTA tendem a gerar grandes quantidade de logs, de modo que a correlação entre alertas de rede e outros dados de atividade é crítico para que se faça sentido e eleve o valor dos alertas de rede.

Este mercado tem dado grandes passos em termos de detecção e resposta, mas, até agora, os recursos têm sido disponibilizados por meio de soluções e camadas individuais de segurança; assim, a coleta de dados e sua análise geram benefícios isolados. O XDR leva detecção e resposta a outro patamar, fazendo delas atividades centralizadas que trazem resultados que vão além da soma das partes.

Melhorando o SIEM

As organizações usam o SIEM para coletar logs e alertas de diversas soluções. Embora os SIEMs permitam às empresas acumular muitas informações de diversos lugares e criar uma visibilidade centralizada, isso resulta em um número gigante de alertas individuais. Estes alertas são difíceis de serem analisados para que se entenda o que é critico e requer atenção. Correlacionando e conectando todos os logs de informação para que se ganhe mais visibilidade contextual é difícil só com o SIEM.

Comparativamente, o XDR coleta dados profundos de atividade e leva esta informação para um data lake para varredura, caça e investigação. Aplicar IA e analytics nível expert neste dados permite gerar menos e mais contextualizados alertas, que podem ser enviados à solução SIEM da empresa. O XDR não substitui o SIEM, ele o melhora, reduzindo o tempo necessário para que os analistas de segurança avaliem alertas e logs relevantes, e decida o que requer atenção e investigação.

Algumas Verdades sobre Recursos

Diversas camadas de segurança além do endpoint

  • Para realizar detecção e resposta multicamadas, você precisa pelo menos de duas camadas, e quanto mais, melhor: endpoints, emails, redes, servidores e workloads de nuvem.
  • O XDR amplia o escopo de detecção e resposta para além do endpoint. Ele leva o EDR para áreas de atividades importantes. O email, por exemplo, é crítico, dado que é a fonte n° 1 de ataque.
  • O XDR alimenta atividade de dados de várias fontes para um data lake de modo que toda informação que seja aplicável, na estrutura mais relevante, esteja disponível para uma análise e uma correlação efetiva.
  • Optar pelo composto unificado de soluções nativas de um único fornecedor impede a proliferação de fornecedor/solução e fornece uma profundidade de integração e interação incomparáveis ​​entre os recursos de detecção, investigação e resposta.


Analytics de segurança com IA e alta expertise

  • A coleta de dados é um benefício do XDR, mas aplicar anlytics e inteligência para obter uma detecção melhor e mais rápida é o objetivo final do XDR.
  • À medida que a coleta de telemetria se torna comoditizada, o valor passa a ser agregado pelas análises de segurança combinadas à inteligência de ameaças que podem transformar informações em insight e ação.
  • Um mecanismo de análise alimentado por sensores inteligentes nativos fornece análises de segurança mais eficazes do que as que podem ser obtidas com produtos/telemetria de terceiros. Qualquer fabricante terá um entendimento muito mais profundo dos dados de seus próprios produtos do que os dados de terceiros. Deve ser dada prioridade às soluções XDR criadas especificamente para o stack de segurança nativo de um fornecedor para garantir recursos analíticos otimizados.


Plataforma única, integrada e automatizada para uma visibilidade completa

  • O XDR permite investigações mais detalhadas, porque você pode fazer conexões lógicas a partir dos dados fornecidos em uma única exibição.
  • Ter uma exibição gráfica da linha do tempo centrada no ataque pode fornecer respostas em um único local, incluindo:

Como o usuário foi infectado
Qual foi ponto de entrada do ataque
O que/quem mais foi afetado no mesmo ataque
Onde a ameaça se originou
Como a ameaça se espalhou
Quantos usuários têm acesso à mesma ameaça

  • O XDR aumenta os recursos dos analistas de segurança e otimiza os fluxos de trabalho; otimiza os esforços das equipes, acelerando ou removendo etapas manuais, além de permitir visualizações e análises que não podem ser feitas imediatamente.
  • A integração com SIEM e SOAR permite que os analistas orquestrem os insights do XDR com o ecossistema de segurança como um todo.

Assuntos de Segurança

[1] Src:http://content.solarwinds.com/creative/pdf/Whitepapers/estimating_log_generation_white_paper.pdf