Quais são as camadas de segurança do XDR?

Detecção e resposta estendida (XDR) usa uma gama mais ampla de fontes de dados para permitir a detecção, investigação e resposta em várias camadas de segurança. O XDR desfaz silos de segurança para identificar toda a trajetória de um ataque com uma visualização completa.

XDR: contando a história toda

Quando se trata de detecção de ameaças, o trabalho do analista do centro de operações de segurança (SOC) é conectar os pontos da infiltração inicial, por meio do movimento lateral, a qualquer exfiltração. Este processo permite uma compreensão mais rápida do impacto e das ações de resposta necessárias.

Quanto mais fontes de dados e vetores de segurança você trouxer para uma plataforma XDR única e integrada, maiores serão as oportunidades de correlação e mais abrangente será a investigação e a resposta.

Por exemplo, hoje um analista pode usar uma ferramenta de detecção e resposta de endpoint (EDR) para obter visibilidade detalhada de atividades suspeitas em endpoints gerenciados – e então ter uma visão separada em silos de alertas de segurança de rede e análise de tráfego. Quanto aos workloads em nuvem, o analista provavelmente tem visibilidade limitada para identificar atividades suspeitas.

Todas as partes do ambiente geram alertas ruidosos que provavelmente são enviados para um gerenciamento de informações e eventos de segurança (SIEM). O analista pode ver os alertas, mas perde um registro detalhado de todas as atividades entre os alertas. Sem correlação adicional, o analista perderá detalhes de ataques importantes deixados enterrados em alertas sem contexto ou uma maneira de conectar eventos relacionados. 

O XDR reúne as camadas para que os analistas de segurança possam ter uma visão geral e explicar rapidamente o que pode estar acontecendo na empresa, incluindo como o usuário foi infectado, qual foi o primeiro ponto de entrada e o que ou quem mais faz parte do mesmo ataque.

Endpoints

O registro eficiente da atividade do endpoint é necessário para analisar como uma ameaça pode ter chegado, alterado e se espalhado por eles. Usando o XDR, você pode varrer os indicadores de comprometimento (IoCs) e procurar ameaças com base nos indicadores de ataque (IOAs).

Detecte: Pesquise e identifique eventos de endpoint suspeitos e perigosos

Investigue: O que houve no endpoint? De onde veio o evento? Como ele se propagou em outros endpoints?

Responda: Isole o evento, pare processos, apague/ restaure arquivos

Muitas organizações podem começar pelo endpoint, com ferramentas de EDR. Embora o EDR seja um bom primeiro passo, ele pode perder o início e/ou o fim da história do ataque. O que houve antes dele chegar ao endpoint? Ele chegou por e-mail? Poderiam outros ter recebido o mesmo e-mail? O que aconteceu depois da chegada em um endpoint? Houve movimentação lateral no servidor ou contêiner? Ele se espalhou para um dispositivo não gerenciado?

E-mail

Dado que 94% das violações começam por e-mail, [1]  a capacidade de identificar contas comprometidas e detectar ameaças de e-mail malicioso é uma parte crítica da capacidade mais ampla de detecção de ameaças de uma organização.

Detecte: Pesquise e identifique ameaças de e-mail, contas comprometidas, usuários altamente atacados e padrões de ataque por e-mail

Investigue: Quem realizou a infiltração? Quem mais recebeu o e-mail malicioso?

Resposta:  E-mail em quarentena, bloqueio de remetentes de e-mail, redefinição de contas

O e-mail, como vetor de ataque número um, deve ser um ponto de expansão de prioridade para detecção e resposta multicamadas. Ameaças de e-mail frequentemente não impactam endpoints até um usuário clicar num anexo ou num link. Uma ameaça dormente pode estar alojada em vários inboxes sem ter sido detectada. Conectar a detecção de endpoint com os e-mails que originaram o problema significa que você pode automaticamente analisar as caixas de entrada para saber quem mais recebeu o conteúdo malicioso e se ele está na caixa de outros usuários. Você pode, então, pôr em quarentena os e-mails e remover a ameaça para evitar disseminação e danos adicionais.

Rede

Análise de redes é uma boa forma de se identificar ataques direcionados, à medida que eles se deslocam lateralmente ou se comunicam com servidores de comando e controle (C&C). A análise de rede pode ajudar a filtrar os eventos do ruído e reduzir os pontos cegos, como a Internet das coisas (IoT) e dispositivos não gerenciados.

Detecte: Procure e identifique comportamento anômalo conforme as ameaças se espalham

Investigue: Como a ameaça se comunica? Como ela se move pela organização? 

Responda: Descreva o escopo do ataque

Logs de rede são uma grande fonte de dados para ajudá-lo a entender a dimensão de um ataque, mas sem correlacionar estes logs com outros tipos de alertas, é difícil entender o contexto necessário para se avaliar o que está relacionado e é importante. Por esse motivo, a rede e o enpoint criam uma combinação poderosa. Ao correlacionar os dados, algo que pode ter parecido benigno apenas na camada de endpoint, como atividade suspeita do PowerShell, torna-se um alerta de alta prioridade quando é considerado junto com a comunicação C&C associada com um servidor.

Workloads de Servidor e Nuvem

Assim como endpoints, isso envolve registro eficiente da atividade para que se analise como uma ameaça pode ter chegado e se espalhado por servidores e workloads de nuvem. Você pode varrer por IoCs e caçar com base em IoAs.

Detecte: Pesquise e identifique ameaças que visam especificamente servidores, workloads em nuvem e contêineres

Investigue: O que houve dentro do workload? Como se espalhou? 

Responda: Isole o servidor, interrompa os processos

As organizações podem empregar ferramentas EDR para servidores e workloads em nuvem, mas podem sacrificar a eficácia ao fazê-lo. O EDR sozinho não está equipado para lidar com novos modelos de nuvem nem fornecer o tipo de dados e visibilidade necessários. Como acontece com qualquer vetor, correlacionar informações de ambientes de servidor pode validar atividades suspeitas como maliciosas – como servidores que se comunicam com um endereço IP em um país com o qual nunca se comunicaram antes – vinculando-os a dados de atividades de outras camadas, seja endpoint e/ou rede.

[1] Verizon 2019 Data Breach Investigations Report