Por Eric Kokonas
À medida que ransomware, ataques sem arquivos e phishing continuam a crescer, os líderes de TI e segurança estão adotando uma nova abordagem para combater ameaças avançadas: Extended Detection and Response (XDR).
Embora haja muito burburinho dos líderes do setor, da comunidade de analistas e do ecossistema de fornecedores, o XDR ainda é um conceito em evolução e, como tal, surgem muitas questões válidas que podem parecer surpreendentemente rudimentares:
- “O que significa XDR?”
- “Como o XDR difere das tecnologias e conceitos que vieram antes dele?”
- “Quais são os benefícios do XDR?”
Perguntas simples, mas importantes para ajudar a entender o conceito.
Como um dos progenitores da XDR, na Sophos somos frequentemente solicitados a esclarecer o assunto. Continue lendo a nossa análise de algumas das perguntas mais comuns sobre o XDR.
E, para obter a descrição do Gartner de XDR, certifique-se de baixar uma cópia de cortesia de seu relatório “Innovation Insight for Extended Detection and Response”.
O que significa XDR?
Na verdade, existem três interpretações comuns de XDR atualmente em uso.
Analistas como Gartner e Forrester o descrevem como “Detecção e Resposta Estendida”. “Estendido” significa que seu escopo vai além do terminal para combinar dados de segurança de várias fontes.
Outra interpretação é que o “X” significa detecção e resposta em “camadas cruzadas” ou “produtos cruzados”; o ponto aqui é que os dados são combinados de vários produtos ou camadas de segurança.
A terceira interpretação envolve olhar para “X” como um tipo de variável matemática que substitui quaisquer fontes de dados que você possa conectar à equação (por exemplo, endpoint, rede, nuvem, mensagens, etc.).
O que é XDR?
XDR é um produto? Uma plataforma? Um serviço? A resposta é sim.
O XDR pode ser empacotado e entregue como uma ferramenta ou conjunto de ferramentas que você e sua equipe implantam, administram e operam, ou como um serviço gerenciado fornecido por uma equipe de especialistas usando uma pilha de tecnologia proprietária ou com curadoria.
Pode até ser implementado em um modelo híbrido no qual algumas funções são gerenciadas por um centro de operações de segurança interno (SOC), enquanto outras são suportadas por uma equipe externa de especialistas. Portanto, para simplificar, é mais fácil pensar na XDR como uma abordagem que pode assumir várias formas.
Com isso em mente, uma definição simples de XDR seria:
Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que as soluções pontuais isoladas não conseguem.
Se você já segue o Sophos há algum tempo, essa definição pode soar familiar e por um bom motivo. Um dos pontos fortes que definem os produtos Sophos nos últimos anos tem sido a Segurança Sincronizada: um conjunto de recursos que permite que produtos de endpoint, rede, celular, Wi-Fi, e-mail e criptografia compartilhem informações em tempo real e respondam automaticamente a incidentes .
Um exemplo de segurança sincronizada é o Security Heartbeat™, um recurso reconhecido no Gartner 2020 Magic Quadrant para firewalls de rede que permite que o XG Firewall e endpoints protegidos pelo Intercept X conversem entre si para evitar que ameaças se espalhem dentro ou além de uma rede.
XDR representa a evolução dos recursos de segurança sincronizada para a categoria de mercado de rápido crescimento que é hoje.
Qual é a diferença entre XDR e SIEM ou SOAR?
XDR é mais um acrônimo a ser adicionado à verdadeira sopa de letras da terminologia de segurança. A boa notícia é que, se você já estiver familiarizado com esses termos, não será difícil ver onde a XDR melhora a fórmula.
O XDR compartilha muitas semelhanças funcionais com as ferramentas SIEM (informações de segurança e gerenciamento de eventos) e SOAR (orquestração, automação e resposta de segurança). Alguns até se referem à XDR como uma espécie de sucessor espiritual do SIEM e do SOAR.
As principais diferenças, no entanto, se resumem à intenção principal das ferramentas SIEM e SOAR e ao foco do XDR na detecção e resposta a ameaças. A propriedade fundamental que torna as ferramentas SIEM valiosas é sua capacidade de coletar e analisar volumes surpreendentes de eventos de log e outros dados em fontes distintas.
Novamente, isso é funcionalmente semelhante ao que é obtido por meio do XDR. Mas enquanto o SIEM é principalmente uma ferramenta de pesquisa – exigindo que os usuários façam várias perguntas (muitas vezes de maneiras diferentes) e reunindo as respostas resultantes para chegar a uma conclusão – o XDR é capaz de responder automaticamente a ameaças ou, nos casos em que a resposta automática não pode ser realizadas, acelerando investigações e caças de ameaças lideradas por analistas para melhorar os tempos de resposta.
Da mesma forma, embora as plataformas SOAR possam adicionar assistência à máquina para operadores de segurança humana por meio da criação de manuais (ou seja, fluxos lógicos que podem acionar ações com script quando certas condições são atendidas), elas não criarão esses processos ou fluxos de trabalho para você.
Portanto, embora o SOAR possa ajudar no gerenciamento de alertas, ele requer investimentos iniciais significativos em implementação, bem como manutenção contínua (ajuste) realizada por analistas de segurança experientes para construir um gerenciamento de casos eficaz e manuais de resposta a incidentes.
Uma abordagem XDR pode ser alcançada por meio do uso de um SIEM ou SOAR ou alguma combinação dos dois? Certamente. Mas isso exigiria investimentos significativos em ferramentas, pessoas e processos para preencher as lacunas de funcionalidade.
Qual é o impacto comercial da XDR?
Para líderes em segurança, TI e gerenciamento de risco, os recursos XDR reduzem a complexidade da configuração de segurança, detecção de ameaças e resposta, permitindo que as organizações evitem ataques bem-sucedidos de adversários avançados.
“As principais propostas de valor de um produto XDR são melhorar a produtividade das operações de segurança e aprimorar os recursos de detecção e resposta, incluindo mais componentes de segurança em um todo unificado que oferece vários fluxos de telemetria, apresentando opções para várias formas de detecção e permitindo simultaneamente vários métodos de resposta.”
Gartner, “Innovation Insight for Extended Detection and Response” (2020)
Da mesma forma, a XDR conquistou rapidamente o apoio da C-suite por fornecer recursos de detecção e prevenção mais precisos a um custo total de propriedade (TCO) mais baixo.
Sem os recursos do tipo XDR habilitados por meio do Synchronized Security, os clientes dizem que precisariam dobrar o número de funcionários de segurança para manter o mesmo nível de proteção. Eles também nos dizem que experimentam menos incidentes de segurança e podem identificar e responder mais rapidamente aos problemas que ocorrem.
O XDR, fornecido como um produto ou serviço gerenciado, atrairá os líderes de segurança e TI com recursos limitados que buscam reduzir o custo total e a complexidade de seu programa de segurança e melhorar seus recursos de detecção e resposta a ameaças.
O que vem a seguir para o Sophos XDR?
Nas próximas semanas, compartilharemos novidades sobre os próximos estágios da Sophos XDR. Neste meio tempo, experimentar um dos principais componentes de XDR, endpoint detection and response (EDR), com um ensaio livre de Intercept X.
Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 de março de 2020.
O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a um propósito específico.
GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e / ou suas afiliadas nos Estados Unidos e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.
do originall em: https://news.sophos.com/en-us/2021/02/12/what-is-extended-detection-and-response-xdr-common-questions-answered/?cmp=30726
