Compreendendo o XDR, a evolução mais recente em detecção e resposta a ameaças

Publicado por dferreira@danresa.com.br em

XDR Sophos

Algumas semanas atrás, publicamos uma breve visão geral sobre XDR. Para resumir, XDR – abreviação de detecção e resposta estendidas (ou às vezes detecção e resposta do produto x) – pode ser definido como:

Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que as soluções pontuais isoladas não conseguem.

Com o lançamento recente de nosso programa de acesso antecipado para Sophos XDR, achamos que é um bom momento para dar uma olhada em como chegamos aqui, o que exatamente XDR é e faz, e o que nós da Sophos estamos fazendo para entregar XDR aos nossos clientes.

O papel da detecção e resposta a ameaças na segurança

Existe um ditado clássico na infosec: a prevenção é ideal, mas a detecção é uma obrigação.

A maioria no campo está familiarizada com o ditado, mas muitas vezes é mais tarde no amadurecimento da segurança de uma organização que algo é feito a respeito. Eventualmente, um CISO ou diretor de segurança ou líder de TI percebe que controles preventivos, como proteção de endpoint e firewall de próxima geração, embora essenciais, não são suficientes. A questão muda de “O que podemos bloquear?” para “O que estamos perdendo?”

A detecção e resposta a ameaças, para citar meus colegas, é “uma metodologia que permite aos operadores de segurança detectar ataques e neutralizá-los antes que causem uma interrupção ou se tornem uma violação”. Em outras palavras: o que estamos perdendo e o que fazemos a respeito?

Como qualquer solução de tecnologia, essa metodologia deve ser sustentada por ferramentas e por pessoas que saibam como usá-las.

Endpoint detection and response

Nos últimos cinco anos, a detecção e resposta de endpoint (EDR) surgiu como uma ferramenta preferida para as equipes de segurança.

Ao contrário de um SIEM, que coleta e tenta correlacionar logs de eventos de produtos distintos, o EDR é uma ferramenta desenvolvida para um propósito específico. Seu agente de terminal coleta exatamente os tipos de dados mais úteis na detecção e investigação de ameaças. O console entende os dados, enriquecendo-os, conectando atividades, permitindo ações de resposta (que são executadas pelo agente) e simplificando investigações.

Por mais poderosas que sejam as ferramentas de EDR, elas são limitadas à detecção e resposta em terminais. Isso não é totalmente ruim; se você tivesse que escolher um local para concentrar seus esforços de detecção e resposta, os terminais seriam uma boa escolha. Eles são uma rica fonte de dados, são o principal ponto de interação para seus usuários e são um ponto de controle eficaz para impedir ameaças. Focar apenas em terminais também restringe os dados e a interface do usuário, tornando a ferramenta mais simplificada.

Ainda assim, há coisas que você simplesmente não pode fazer trabalhando com endpoints de forma isolada. Afinal, seu ambiente de TI é uma teia interconectada de redes, ferramentas de comunicação, dispositivos móveis, aplicativos em nuvem e muito mais. Para defender sua infraestrutura de TI de forma mais abrangente, seria útil ter um sistema integrado de detecção e resposta. Digite XDR.

Extended detection and response

A XDR pega a ideia de EDR e, bem, a estende. Em vez de se concentrar apenas no terminal, ele incorpora dados de outras ferramentas de segurança, como firewalls, gateways de email, ferramentas de nuvem pública e produtos de gerenciamento de ameaças móveis.

Como o XDR ainda é uma tecnologia emergente, a tecnologia exata varia de fornecedor para fornecedor, mas alguns componentes típicos incluem:

  • Sensores que fornecem telemetria de diferentes aspectos da infraestrutura de TI. Podem ser produtos existentes, como proteção de endpoint ou firewall, ou componentes complementares, como um dispositivo virtual que você implanta em seu datacenter.
  • Pontos de imposição que permitem que você execute ações, como colocar em quarentena um endpoint comprometido, bloquear o tráfego de rede ou remover malware. Freqüentemente, os sensores também funcionam como pontos de fiscalização.
  • Uma plataforma de análise e gerenciamento, geralmente baseada em nuvem. Idealmente, a plataforma é alimentada por automação e enriquecimento de dados que agilizam a detecção, investigação e resposta.
  • APIs que permitem a integração em sistemas e fluxos de trabalho existentes.

Embora todos esses componentes possam ser agrupados manualmente, uma solução XDR adequada foi projetada para funcionar juntos como um sistema. Os componentes estão cientes uns dos outros e interoperam para agilizar a detecção de ameaças e os fluxos de trabalho de resposta.

Em última análise, esses fluxos de trabalho serão conduzidos por pessoas. Os melhores sistemas XDR aumentam a eficácia de qualquer profissional de TI ou segurança, fornecendo ferramentas intuitivas para o novato e controle granular para o analista de segurança especialista.

As organizações com os recursos necessários – que geralmente incluem equipes ininterruptas de analistas altamente treinados – podem optar por fazer todo o trabalho operacional sozinhas. Outros solicitarão um serviço de detecção e resposta gerenciada (MDR) para complementar ou terceirizar totalmente suas operações de segurança.

De qualquer forma, uma plataforma XDR serve como uma ferramenta básica de próxima geração para permitir a detecção e resposta a ameaças em toda a organização.

Sophos e XDR

XDR é um novo termo para uma categoria de produto emergente, mas a Sophos vem pensando nesse conceito há muito tempo. Você pode ver isso refletido nos produtos que lançamos no mercado e na liderança inovadora que demonstramos nos últimos anos.

Em primeiro lugar, temos o Sophos Central, nossa plataforma unificada de gerenciamento e geração de relatórios nativa da nuvem para todos os nossos produtos de última geração. Fomos um dos primeiros fornecedores de segurança a reconhecer a importância de reunir o gerenciamento de segurança na nuvem e, até hoje, oferecemos o mais amplo portfólio de produtos de segurança em um único painel de vidro.

Depois, há a Segurança Sincronizada, que introduzimos em 2015. Antecipando a necessidade de um sistema interconectado, a Sophos habilitou a comunicação bidirecional entre os produtos, como nossa proteção de endpoint e nosso firewall de última geração. A visibilidade adicional e a resposta automatizada habilitada pelo Synchronized Security são etapas em direção à análise de produto cruzado e resposta coordenada exigidas de uma solução XDR.

O EDR, é claro, também é um trampolim para a XDR. A Sophos oferece uma solução EDR poderosa construída sobre a melhor proteção de endpoint do mundo, Intercept X. Os elementos principais de nosso EDR, como consultas baseadas em SQL flexíveis e consoles Live Response auditáveis, são fundamentais para fornecer XDR.

Para clientes que precisam de um pouco (ou muito) de ajuda nas operações de segurança, o Sophos Managed Threat Response (MTR) oferece o XDR como um serviço gerenciado. MTR oferece resposta humana acelerada por máquina que alavanca nosso EDR e outros produtos Sophos Central, como XG Firewall e Cloud Optix.

Tudo isso foi construído em direção à nossa visão de um sistema XDR totalmente interconectado. Isso incorpora todos os elementos acima, mas vai além com um repositório central de dados, pesquisa de produto cruzado, análise adaptativa, sensores programáveis, resposta coordenada e APIs para extensibilidade.

Nosso programa de acesso antecipado recentemente anunciado para o Sophos XDR é uma prévia de nossa primeira manifestação disso. Experimente para ver como estamos nos preparando para capacitar nossos clientes, nosso serviço MTR e nossos parceiros provedores de serviços gerenciados para fornecer detecção e resposta mais eficazes, acessíveis e abrangentes.

XDR e você

Se sua organização está pronta para ir além do básico em segurança de TI, implementar uma operação de detecção e resposta com base em XDR – interna, gerenciada ou híbrida – pode ser a próxima etapa lógica para protegê-lo de ameaças ocultas.

Se você já tem uma operação de detecção e resposta a ameaças, pode considerar uma solução XDR para consolidar fornecedores, melhorar sua eficiência e aumentar a postura de segurança de sua organização.

Para saber mais sobre como a DANRESA e a Sophos podem ajudá-lo a fornecer detecção e resposta abrangentes a ameaças fale agora mesmo com um Consultor DANRESA
(11) 4452-6448 | comercial@danresa.com.br | Chat OnLine neste site

comercial@danresa.com.br | (11) 4452-6448
www.danresa.com.br
Chat Online neste site!

DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI, desde 1998.

  • Revenda Certificada Sophos.
  • Atuação nos mercados Enterprise, Telcos e Data Centers.
  • Projetos e cases de sucesso SD-WAN, Secure Access, Security Cloud, VoIP, Advanced Threat Protection e todos os componentes de Segurança da Sophos
  • SNOC e Suporte Especializado 7x24x365, DevSecOps, Instalações em Massa, Equipe de Engenheiros, Analistas e Integradores Certificados, Metodologia de Projetos PMI.
  • Parceira Oficial de Produtos e Soluções de Segurança de TI dos Fabricantes
A Partner of
Categorias: XDR
Tags: