Conforme os ataques de ransomware, file-less, e phishings continuam a crescer, os líderes de TI e segurança estão adotando uma nova abordagem para combater ameaças avançadas: Detecção e Resposta Estendida (XDR).

Embora haja algumas dúvidas por parte dos líderes do setor, da comunidade de analistas e do ecossistema de fornecedores, o XDR ainda é um conceito em evolução e, como tal, surgem muitas questões válidas que podem parecer surpreendentemente rudimentares:

“O que XDR significa?”
“Como o XDR difere das tecnologias e conceitos que vieram antes dele?”
“Quais são os benefícios do XDR?”

Como um dos progenitores da XDR, na Sophos frequentemente somos solicitados a esclarecer o assunto. Continue lendo para ver nossa análise de algumas das perguntas mais comuns sobre o XDR.

E, para obter a descrição do Gartner de XDR, certifique-se de baixar uma cópia de cortesia de seu relatório “Innovation Insight for Extended Detection and Response”.

O que significa XDR?

Na verdade, existem três interpretações comuns de XDR em uso.

Empresas de análise como Gartner e Forrester o descrevem como “Detecção e Resposta Estendida”. “Estendido” significa que seu escopo vai além do terminal para combinar dados de segurança de várias fontes.

Outra interpretação é que o “X” significa detecção e resposta em “camadas cruzadas” ou “produtos cruzados”; o ponto aqui é que os dados são combinados de vários produtos ou camadas de segurança.

A terceira interpretação envolve olhar para “X” como um tipo de variável matemática que substitui quaisquer fontes de dados que você pode conectar na equação (por exemplo, terminal, rede, nuvem, mensagens, etc.).

O que é XDR?

XDR é um produto? Uma plataforma? Um serviço? A resposta é sim.

O XDR pode ser empacotado e entregue como uma ferramenta ou conjunto de ferramentas que você e sua equipe implantam, administram e operam, ou como um serviço gerenciado fornecido por uma equipe de especialistas usando uma camada de tecnologia proprietária.

Ele pode até ser implementado em um modelo híbrido no qual algumas funções são gerenciadas por um centro de operações de segurança interno (SOC) enquanto outras são suportadas por uma equipe externa de especialistas. Portanto, por uma questão de simplicidade, é mais fácil pensar em XDR como uma abordagem que pode assumir muitas formas.

Com isso em mente, uma definição simples de XDR seria:

Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que soluções pontuais isoladas não conseguem.

Se você segue o Sophos há algum tempo, essa definição pode soar familiar e por um bom motivo. Um dos pontos fortes que definem os produtos Sophos nos últimos anos tem sido a Segurança Sincronizada: um conjunto de recursos que permite que produtos de endpoint, rede, celular, Wi-Fi, e-mail e criptografia compartilhem informações em tempo real e respondam automaticamente a incidentes.

Um exemplo de segurança sincronizada é o Security Heartbeat ™, um recurso reconhecido no Gartner 2020 Magic Quadrant para firewalls de rede que permite que o XG Firewall e endpoints protegidos pelo Intercept X conversem entre si para evitar que ameaças se espalhem dentro ou além de uma rede.

XDR representa a evolução dos recursos de segurança sincronizada para a categoria de mercado de rápido crescimento que é hoje.

Qual é a diferença entre XDR e SIEM ou SOAR?

XDR é mais um acrônimo a ser adicionado à verdadeira sopa de letras da terminologia de segurança. A boa notícia é que, se você já está familiarizado com esses termos, não é difícil ver onde a XDR melhora a fórmula.

XDR compartilha muitas semelhanças funcionais com ferramentas SIEM (informações de segurança e gerenciamento de eventos) e SOAR (orquestração de segurança, automação e resposta). Alguns até se referem à XDR como uma espécie de sucessor espiritual do SIEM e do SOAR.

As principais diferenças, entretanto, se resumem à intenção principal das ferramentas SIEM e SOAR e ao foco do XDR na detecção e resposta a ameaças. A propriedade fundamental que torna as ferramentas SIEM valiosas é sua capacidade de coletar e analisar volumes impressionantes de eventos de log e outros dados em fontes distintas.

Novamente, isso é funcionalmente semelhante ao que é obtido por meio de XDR. Mas enquanto o SIEM é principalmente uma ferramenta de pesquisa – exigindo que os usuários façam várias perguntas (muitas vezes de maneiras diferentes) e reunindo as respostas resultantes para chegar a uma conclusão – o XDR é capaz de responder automaticamente a ameaças ou, nos casos em que a resposta automática não pode ser realizadas, acelerando investigações e buscas de ameaças lideradas por analistas para melhorar os tempos de resposta.

Da mesma forma, embora as plataformas SOAR possam adicionar assistência à máquina para operadores de segurança humana por meio da criação de manuais (ou seja, fluxos de lógica que podem acionar ações com script quando certas condições são atendidas), eles não criarão esses processos ou fluxos de trabalho para você.

Portanto, embora o SOAR possa ajudar no gerenciamento de alertas, ele requer investimentos iniciais significativos em implementação, bem como manutenção contínua (ajuste) realizada por analistas de segurança experientes para construir manuais eficazes de gerenciamento de casos e resposta a incidentes.

Uma abordagem XDR pode ser alcançada com o uso de um SIEM ou SOAR ou alguma combinação dos dois? Certamente. Mas isso exigiria investimentos significativos em ferramentas, pessoas e processos para preencher as lacunas de funcionalidade.

Qual é o impacto comercial da XDR?

Para líderes em segurança, TI e gerenciamento de risco, os recursos XDR reduzem a complexidade da configuração de segurança, detecção de ameaças e resposta, permitindo que as organizações evitem ataques bem-sucedidos de adversários avançados.

“As principais propostas de valor de um produto XDR são melhorar a produtividade das operações de segurança e aprimorar os recursos de detecção e resposta, incluindo mais componentes de segurança em um todo unificado que oferece vários fluxos de telemetria, apresentando opções para várias formas de detecção e habilitando simultaneamente vários métodos de resposta.”

Gartner, “Innovation Insight for Extended Detection and Response” (2020)

Da mesma forma, a XDR conquistou rapidamente a preferência dos executivos por fornecer recursos de detecção e prevenção mais precisos a um custo total de propriedade (TCO) mais baixo.

Sem os recursos do tipo XDR habilitados por meio do Synchronized Security, os clientes dizem que precisariam dobrar o número de funcionários de segurança para manter o mesmo nível de proteção. Assim, eles também nos dizem que experimentam menos incidentes de segurança e podem identificar e responder mais rapidamente aos problemas que ocorrem.

O XDR, fornecido como um produto ou serviço gerenciado, atrairá os líderes de segurança e TI com recursos limitados que buscam reduzir o custo total e a complexidade de seu programa de segurança e melhorar seus recursos de detecção e resposta a ameaças.

O que vem por aí para o Sophos XDR?

Nas próximas semanas, compartilharemos novidades sobre os próximos estágios da Sophos XDR. Enquanto isso, experimente um dos principais componentes do XDR, detecção e resposta de endpoint (EDR), com um teste gratuito do Intercept X.

Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 de março de 2020.

O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a um propósito específico.

GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e / ou suas afiliadas nos Estados Unidos e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.

Fonte: https://news.sophos.com/en-us/2021/02/12/what-is-extended-detection-and-response-xdr-common-questions-answered/

Comece a evoluir agora.

A DANRESA ajuda você e sua empresa a habilitar segurança em camadas e proteção de diversos vetores de ataque através de nossas soluções e serviços gerenciadas como DANRESA XDR

comercial@danresa.com.br | (11) 4452-6448
www.danresa.com.br
Chat Online neste site!

DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI, há 23 anos.

  • Revenda Certificada Sophos.
  • Atuação nos mercados Enterprise, Telcos e Data Centers.
  • Projetos e cases de sucesso SD-WAN, Secure Access, Security Cloud, VoIP, Advanced Threat Protection e todos os componentes de Segurança da Sophos
  • SNOC e Suporte Especializado 7x24x365, DevSecOps, Instalações em Massa, Equipe de Engenheiros, Analistas e Integradores Certificados, Metodologia de Projetos PMI.
  • Parceira Oficial de Produtos e Soluções de Segurança de TI dos Fabricantes
A Partner of