Por Maxim Weinstein
Algumas semanas atrás, publicamos uma breve visão geral do XDR. Para resumir, XDR de curto para extended detection e response (ou, por vezes, x-product detection e response), pode ser definido como:
Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que as soluções pontuais isoladas não conseguem.
Com o lançamento recente de nosso programa de acesso antecipado para Sophos XDR, achamos que é um bom momento para dar uma olhada em como chegamos aqui, o que exatamente XDR é e faz, e o que nós da Sophos estamos fazendo para entregar XDR aos nossos clientes.
O papel da detecção e resposta a ameaças na segurança
Existe um ditado clássico na infosec: a prevenção é ideal, mas a detecção é uma obrigação.
A maioria no campo está familiarizada com o ditado, mas geralmente é mais tarde no amadurecimento da segurança de uma organização que algo é feito a respeito. Eventualmente, um CISO ou diretor de segurança ou líder de TI percebe que controles preventivos, como proteção de endpoint e firewall de próxima geração, embora essenciais, não são suficientes. A questão muda de “O que podemos bloquear?” para “O que estamos perdendo?”
A detecção e resposta a ameaças, para citar meus colegas, é “uma metodologia que permite aos operadores de segurança detectar ataques e neutralizá-los antes que causem uma interrupção ou se tornem uma violação”. Em outras palavras: o que estamos perdendo e o que fazemos a respeito?
Como qualquer solução de tecnologia, essa metodologia deve ser sustentada por ferramentas e por pessoas que saibam como usá-las.
Detecção e resposta de endpoint
Nos últimos cinco anos, a detecção e resposta de endpoint (EDR) surgiu como a ferramenta preferida das equipes de segurança.
Ao contrário de um SIEM, que coleta e tenta correlacionar logs de eventos de produtos distintos, o EDR é uma ferramenta desenvolvida para um propósito específico. Seu agente de terminal coleta exatamente os tipos de dados mais úteis na detecção e investigação de ameaças. O console entende os dados, enriquecendo-os, conectando atividades, permitindo ações de resposta (que são executadas pelo agente) e simplificando investigações.
Por mais poderosas que sejam as ferramentas de EDR, elas são limitadas à detecção e resposta em terminais. Isso não é totalmente ruim; se você tivesse que escolher um local para concentrar seus esforços de detecção e resposta, os terminais seriam uma boa escolha. Eles são uma rica fonte de dados, são o principal ponto de interação para seus usuários e são um ponto de controle eficaz para impedir ameaças. Focar apenas em terminais também restringe os dados e a interface do usuário, tornando a ferramenta mais simplificada.
Ainda assim, existem coisas que você simplesmente não pode fazer trabalhando com endpoints de forma isolada. Afinal, seu ambiente de TI é uma teia interconectada de redes, ferramentas de comunicação, dispositivos móveis, aplicativos em nuvem e muito mais. Para defender sua infraestrutura de TI de forma mais abrangente, seria útil ter um sistema integrado de detecção e resposta. Digite XDR.
Detecção e resposta estendidas
A XDR pega a ideia de EDR e, bem, a estende. Em vez de se concentrar apenas no terminal, ele incorpora dados de outras ferramentas de segurança, como firewalls, gateways de e-mail, ferramentas de nuvem pública e produtos de gerenciamento de ameaças móveis.
Como o XDR ainda é uma tecnologia emergente, a tecnologia exata varia de fornecedor para fornecedor, mas alguns componentes típicos incluem:
- Sensores que fornecem telemetria de diferentes aspectos da infraestrutura de TI. Podem ser produtos existentes, como proteção de endpoint ou firewall, ou componentes complementares, como um dispositivo virtual que você implanta em seu datacenter.
- Pontos de imposição que permitem que você execute ações, como colocar em quarentena um endpoint comprometido, bloquear o tráfego de rede ou remover malware. Freqüentemente, os sensores também funcionam como pontos de fiscalização.
- Uma plataforma de análise e gerenciamento, geralmente baseada em nuvem. Idealmente, a plataforma é alimentada por automação e enriquecimento de dados que agilizam a detecção, investigação e resposta.
- APIs que permitem a integração em sistemas e fluxos de trabalho existentes.
Embora todos esses componentes possam ser unidos manualmente, uma solução XDR adequada é projetada para funcionar juntos como um sistema. Os componentes estão cientes uns dos outros e interoperam para otimizar a detecção de ameaças e os fluxos de trabalho de resposta.
Em última análise, esses fluxos de trabalho serão conduzidos por pessoas. Os melhores sistemas XDR aumentam a eficácia de qualquer profissional de TI ou segurança, fornecendo ferramentas intuitivas para o novato e controle granular para o analista de segurança especialista.
As organizações com os recursos necessários – que geralmente incluem equipes ininterruptas de analistas altamente treinados – podem optar por fazer todo o trabalho operacional sozinhas. Outros solicitarão um serviço de detecção e resposta gerenciada (MDR) para complementar ou terceirizar totalmente suas operações de segurança.
De qualquer forma, uma plataforma XDR serve como uma ferramenta básica de última geração para permitir a detecção e resposta a ameaças em toda a organização.
Sophos e XDR
XDR é um novo termo para uma categoria de produto emergente, mas a Sophos vem pensando nesse conceito há muito tempo. Você pode ver isso refletido nos produtos que lançamos no mercado e na liderança inovadora que demonstramos nos últimos anos.
Em primeiro lugar, existe o Sophos Central, nossa plataforma unificada de gerenciamento e geração de relatórios nativa da nuvem para todos os nossos produtos de última geração. Fomos um dos primeiros fornecedores de segurança a reconhecer a importância de reunir o gerenciamento de segurança na nuvem e, até hoje, oferecemos o mais amplo portfólio de produtos de segurança em um único painel.
Depois, há a Segurança Sincronizada, que introduzimos em 2015. Antecipando a necessidade de um sistema interconectado, a Sophos habilitou a comunicação bidirecional entre produtos, como nossa proteção de endpoint e nosso firewall de última geração. A visibilidade adicional e a resposta automatizada habilitada pelo Synchronized Security são etapas em direção à análise de produto cruzado e resposta coordenada exigidas de uma solução XDR.
O EDR, é claro, também é um trampolim para a XDR. Sophos oferece uma poderosa solução de EDR construída no topo de melhor proteção de endpoint do mundo, Intercept X. Os principais elementos de nosso EDR, como consultas flexíveis baseadas em SQL e consoles de Live Response auditáveis, são fundamentais para o fornecimento de XDR.
Para clientes que precisam de um pouco (ou muito) de ajuda com operações de segurança, o Sophos Managed Threat Response (MTR) oferece XDR como um serviço gerenciado. MTR oferece resposta humana acelerada por máquina que alavanca nosso EDR e outros produtos Sophos Central, como XG Firewall e Cloud Optix.
Tudo isso foi construído em direção à nossa visão de um sistema XDR totalmente interconectado. Isso incorpora todos os elementos acima, mas vai além com um repositório central de dados, pesquisa de produto cruzado, análise adaptativa, sensores programáveis, resposta coordenada e APIs para extensibilidade.
Nosso programa de acesso antecipado recentemente anunciado para o Sophos XDR é uma prévia de nossa primeira manifestação disso. Experimente para ver como estamos nos preparando para capacitar nossos clientes, nosso serviço MTR e nossos parceiros provedores de serviços gerenciados para fornecer detecção e resposta mais eficazes, acessíveis e abrangentes.
XDR e você
Se sua organização está pronta para ir além da higiene básica de segurança de TI, implementar uma operação de detecção e resposta com base em XDR – interna, gerenciada ou híbrida – pode ser a próxima etapa lógica para protegê-lo de ameaças ocultas.
Se você já tem uma operação de detecção e resposta a ameaças, pode considerar uma solução XDR para consolidar fornecedores, melhorar sua eficiência e aumentar a postura de segurança de sua organização.
Para saber mais sobre como a Sophos pode ajudá-lo a fornecer detecção e resposta abrangentes a ameaças, inscreva-se no programa de acesso antecipado Sophos XDR ou entre em contato com seu parceiro Sophos.
do original em: https://news.sophos.com/en-us/2021/03/03/understanding-xdr-the-latest-evolution-in-threat-detection-and-response/