Inovação para detecção e resposta ampliadas XDR

Detecção e resposta estendidas descreve uma plataforma unificada de detecção e resposta a incidentes de segurança que coleta e correlaciona automaticamente os dados de vários componentes de segurança proprietários. Os líderes de gerenciamento de segurança e risco devem considerar os riscos e vantagens de uma solução XDR.

Visão Geral

Principais Conclusões

• Os líderes de gerenciamento de segurança e risco estão lutando com muitas ferramentas de segurança de diferentes fornecedores com pouca integração de dados ou resposta a incidentes.
• Os produtos de detecção e resposta estendidas (XDR) estão começando a ter valor real na melhoria da produtividade das operações de segurança com correlação de alertas e incidentes, bem como automação integrada.
• Os produtos XDR podem reduzir a complexidade da configuração de segurança e da resposta a incidentes para fornecer um melhor resultado de segurança do que os melhores componentes isolados. Os produtos XDR são promissores, mas também trazem riscos, como dependência do fornecedor.
• O mercado de XDR é imaturo e os recursos variam amplamente entre produtos de diferentes fornecedores.

Recomendações

Os líderes de SRM que procuram melhorar a produtividade, detecção e resposta das operações de segurança da infraestrutura devem:

• Trabalhe com as partes interessadas para determinar se uma estratégia XDR é certa para sua organização com base nos níveis de equipe e produtividade, nível de federação de TI, tolerância a riscos e orçamento de segurança. Desenvolva uma análise de lacunas entre seus recursos existentes e aqueles que você gostaria de ter em uma solução XDR.
• Realize avaliações e testes completos do produto para garantir que os resultados atendam às promessas dessa capacidade incipiente.
• Desenvolva uma arquitetura interna e uma política de compra alinhada com sua estratégia de XDR, incluindo quando e por que exceções podem ser permitidas. Garanta que as compras futuras de segurança e as aposentadorias planejadas de tecnologia estejam alinhadas com uma estratégia de arquitetura XDR de longo prazo.
• Terceirize para um provedor de serviços de segurança gerenciados (MSSP) que possa construir um substituto de XDR se for provável que esteja além dos conjuntos de habilidades da equipe existente.

Análise

Os produtos XDR emergentes consolidam vários produtos de segurança em uma plataforma coesa de detecção e resposta a incidentes de segurança para o mercado principal. As ofertas de XDR são uma evolução natural das plataformas de detecção e resposta de endpoint (EDR), que se tornaram a principal ferramenta de resposta a incidentes para equipes de segurança. As principais propostas de valor de um produto XDR são melhorar a produtividade das operações de segurança e aprimorar os recursos de detecção e resposta, incluindo mais componentes de segurança em um todo unificado que oferece vários fluxos de telemetria, apresentando opções para várias formas de detecção e permitindo simultaneamente vários métodos de resposta . Outro benefício dos produtos XDR é que eles podem fornecer o que tradicionalmente têm sido recursos de operações de segurança complexas e torná-los mais acessíveis para equipes de segurança que não têm os recursos para soluções pontuais mais personalizadas.

Os XDRs são semelhantes em função às ferramentas de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR); entretanto, os XDRs são diferenciados pelo nível de integração de seus produtos na implantação e pelo foco nos casos de uso de detecção de ameaças e resposta a incidentes. Embora o mercado de SIEM esteja maduro, muitas organizações não implantaram ferramentas de SIEM, têm implementações com falha ou incompletas ou usam SIEM apenas para armazenamento de log e conformidade. Os produtos XDR têm como objetivo solucionar os principais desafios dos produtos SIEM, como detecção e resposta eficazes a ataques direcionados, incluindo suporte nativo para análise de comportamento, inteligência de ameaças, perfil de comportamento e análises.

Os fornecedores de SIEM normalmente não têm o mesmo nível de detecção de ameaças e laboratórios de análise de pesquisa que os fornecedores de XDR. Além disso, embora o mercado de SIEM agora possa ser fornecido como SaaS, a maioria dos produtos XDR são desenvolvidos usando novas arquiteturas e serviços nativos da nuvem, tornando-os uma alternativa emergente ou um complemento para as ferramentas SIEM existentes (consulte “Quadrante Mágico para Informações e Eventos de Segurança Gestão”). No entanto, os XDRs não são uma substituição para todos os casos de uso de SIEM, como armazenamento de log genérico ou conformidade.

Os três requisitos principais de um sistema XDR são:

• Centralização de dados normalizados, mas focando principalmente no ecossistema dos fornecedores de XDR apenas
• Correlação de dados de segurança e alertas em incidentes
• Um recurso centralizado de resposta a incidentes que pode alterar o estado de produtos de segurança individuais como parte da resposta a incidentes ou definição de política de segurança

O foco inicial do XDR é principalmente proteger os usuários finais e os aplicativos e dados que eles consomem (consulte a Figura 1). No entanto, o conceito de XDR pode se estender para proteção de data center, gerenciamento de identidade e acesso e portfólios de produtos de borda de serviço de acesso seguro.

Atualmente, as ferramentas XDR estão sendo comercializadas principalmente por provedores de soluções de segurança que possuem um portfólio de produtos de proteção de infraestrutura unificados por seu próprio gerenciamento XDR fornecido por SaaS. Sendo entregue na nuvem, o XDR também tem o potencial de se beneficiar de novos casos de uso de análise. Esses produtos XDR são limitados em escopo aos próprios produtos e tecnologia dos fornecedores. Os primeiros candidatos a fornecedores de XDR incluem Cisco, Fortinet, Fidelis Cybersecurity, McAfee, Microsoft, Palo Alto Networks, Trend Micro, Sophos, FireEye e Symantec. Esses fornecedores já possuem uma compreensão proprietária das relações nos dados subjacentes e podem fornecer APIs privadas para permitir ações automatizadas de forma mais eficaz do que tentar integrar produtos de vários fornecedores. Um grande atrativo desses produtos XDR será o tempo rápido para valorizar, resultante da integração pronta para uso e dos mecanismos de detecção pré-ajustados entre os produtos.

Pode ser possível para as ferramentas SIEM e SOAR e novos participantes reivindicarem capacidade XDR à medida que a indústria amadurece. Por exemplo, Hunters.AI é um dos primeiros produtos XDR que se integra a vários produtos. No entanto, a complexidade de construir um XDR útil para fornecedores que possuem todos os componentes e podem fornecer os dados nativamente ilustra o desafio que os fornecedores independentes enfrentarão ao integrar vários fornecedores. A realidade hoje é que existem poucos padrões comuns para integração de dados neste nível, ou APIs abrangentes que podem ser automatizadas em produtos de vários fornecedores.

No entanto, construir um XDR eficaz é mais desafiador do que pode parecer. A falta de coleta de dados, formatos de dados comuns e APIs, bem como produtos construídos em estruturas de banco de dados legadas, tornam difícil a integração de ferramentas de segurança, mesmo dentro do portfólio de produtos do mesmo fornecedor. As decisões de desenvolvimento em produtos mais antigos nem sempre se adaptam ou se integram bem com ferramentas nativas da nuvem. A campanha publicitária de marketing pode chegar à frente do mercado antes que as ferramentas amadureçam, e os fornecedores podem falhar na entrega.

Apesar desses desafios, e mais listados abaixo, as recompensas gerais de operações de segurança mais eficientes e eficazes para o mercado convencional tornam o XDR uma nova abordagem promissora para a segurança corporativa. Dois dos maiores desafios para todas as organizações de segurança são contratar e reter uma equipe de operações de segurança com experiência técnica e construir uma capacidade de operações de segurança que possa configurar e manter uma postura defensiva com segurança, além de fornecer uma capacidade de detecção e resposta rápida. As organizações convencionais costumam ficar sobrecarregadas com a interseccionalidade desses dois problemas.

O mercado de segurança tem estado em um pêndulo contínuo entre os melhores componentes e portfólios de suítes. À medida que os produtos de segurança amadurecem, a funcionalidade dos melhores produtos tende a se tornar recursos de produtos de plataforma mais ampla. Atualmente, muitos dos principais componentes da proteção da infraestrutura de segurança estão atingindo a maturidade de recursos, e vários fornecedores oferecem amplos portfólios. Integrá-los é uma próxima etapa natural. Ao mesmo tempo, o armazenamento e análise de big data em nuvem e a capacidade de aprendizado de máquina estão permitindo abordagens mais centralizadas de segurança.

A compra dos melhores produtos de segurança resultou em muitos fornecedores e produtos com muito pouca integração ou coordenação. Os alertas de segurança costumam ser excessivos, descoordenados e, muitas vezes, não são supervisionados. As configurações não são ativamente mantidas ou testadas quanto à eficácia e os produtos de segurança são atualizados com pouca frequência. O ponto de integração tradicional na maioria das empresas tem sido as ferramentas SIEM, que são boas na coleta de logs, mas raramente melhoram a fidelidade da detecção na maioria das implementações, usam indicadores contextuais para combinar vários alertas ou fornecem capacidade total de resposta a incidentes. As organizações têm dificuldade em desenvolver manuais de SIEM e construir integrações mais profundas e ricas em um ambiente heterogêneo. As ferramentas SOAR mais novas são projetadas para fornecer integração entre vários componentes, mas são prejudicadas pela falta de APIs disponíveis, problemas de mesclagem de dados e um fluxo de trabalho desconectado da atividade de detecção que pode iniciar atividades de resposta com eficiência.

Os produtos XDR são projetados para aliviar esses desafios. Eles consolidam vários produtos de segurança específicos do fornecedor em uma plataforma coesa de detecção e resposta a incidentes de segurança que é acessível ao mercado convencional sem grandes esforços de integração.

Os produtos XDR atrairão compradores pragmáticos de segurança corporativa que não possuem os recursos para integrar um portfólio dos melhores produtos de segurança em uma ferramenta SIEM ou SOAR.

O principal requisito dos sistemas XDR é uma coleção centralizada de dados de eventos históricos e em tempo real em formatos de dados comuns. Os dados do evento devem estar disponíveis para pesquisas indexadas rápidas por períodos indefinidos em armazenamento escalável e de alto desempenho. Outro requisito é usar várias técnicas de detecção para combinar sinais fracos de vários produtos em fortes evidências de atividade maliciosa. Além disso, os XDRs são projetados para permitir uma capacidade de resposta mais rápida e eficiente auxiliada pela automação. Por fim, os XDRs têm o potencial de melhorar a postura de segurança, tornando-a mais fácil de manter.

As principais vantagens da XDR devem ser três:

• Melhore as capacidades de proteção, detecção e resposta.
• Melhore a produtividade geral da equipe de segurança operacional.
• Reduza o custo total de propriedade para criar detecção eficaz e capacidade de resposta.

Idealmente, os XDRs podem melhorar a capacidade de proteção ao:

• Compartilhamento de inteligência de ameaças local imediatamente entre produtos de segurança de componentes para fornecer bloqueio eficiente de ameaças em todos os componentes. Além disso, aproveitando a inteligência contra ameaças adquirida externamente em vários métodos de detecção diferentes (por exemplo, rede e endpoint).
• Combinar sinais fracos de vários componentes em sinais mais fortes de intenção maliciosa.
• Reduzindo alertas perdidos correlacionando e confirmando alertas automaticamente.
• Integração de dados relevantes para uma triagem de alerta mais rápida e precisa.
• Fornece configuração centralizada e capacidade de proteção com orientação ponderada para ajudar a priorizar as atividades.

Os XDRs podem melhorar potencialmente a produtividade da equipe de segurança operacional:

• Converter um grande fluxo de alertas em um número muito menor de incidentes que devem ser investigados manualmente
• Fornecendo opções de resposta a incidentes integradas que têm o contexto necessário de todos os componentes de segurança para resolver alertas rapidamente
• Fornecimento de opções de resposta que vão além dos pontos de controle da infraestrutura (ou seja, rede e terminais)
• Fornecendo uma capacidade de automação para tarefas repetitivas
• Reduzindo o treinamento e aumentando o suporte de Nível 1, fornecendo uma experiência comum de gerenciamento e fluxo de trabalho entre os componentes de segurança
• Fornecendo conteúdo de detecção utilizável e de alta qualidade com pouco ou nenhum ajuste necessário

Alguns XDRs se concentram na integração de ferramentas de segurança de infraestrutura, como a combinação de segurança de rede e endpoint. No entanto, os XDRs mais avançados estão aumentando o foco, integrando-se com identidade, proteção de dados e acesso a aplicativos. Esses serviços de segurança estão mais próximos do valor comercial do incidente. Por exemplo, a resposta a incidentes é enriquecida com o conhecimento de que os terminais têm dados confidenciais ou acesso privilegiado a aplicativos críticos de TI ou de negócios.

Atualmente, os produtos XDR emergentes se concentram principalmente na proteção contra ataques maliciosos contra endpoints, dados e aplicativos. Como tal, os tipos predominantes de serviços de segurança incluídos nos sistemas XDR geralmente incluem:

• Plataformas de proteção de endpoint (EPPs) e produtos de detecção e resposta de endpoint (EDR)
• Corretores de segurança de acesso à nuvem (CASBs)
• Gateways da web seguros (SWGs)
• Gateways de email seguros (SEGs)
• Firewalls de rede, sistemas de prevenção de intrusão de rede (NIPS) e produtos unificados de gerenciamento de ameaças
• Produtos de gerenciamento de identidade e acesso
• Produtos de prevenção de perda de dados
• Análise de comportamento de usuários e entidades
• Análise de tráfego de rede
• Inteligência de ameaças globais

O conceito de XDR pode se estender para a proteção do data center, abrangendo ferramentas como:

• Plataformas de proteção de carga de trabalho em nuvem
• Produtos de gerenciamento de postura de segurança na nuvem
• Firewalls de aplicativos da web

Uma vez que o objetivo do XDR é melhorar a precisão da detecção e a produtividade do centro de operações de segurança (SOC), a meta inicial será integrar produtos que possam contextualizar e informar a atividade de resposta a incidentes em cadeias de eliminação comuns. A combinação de produtos de segurança que não estão comumente envolvidos na mesma cadeia de eliminação de ataques terá menos valor.

Definições

XDR é uma ferramenta de detecção de ameaças de segurança e resposta a incidentes baseada em SaaS, específica do fornecedor, que integra nativamente vários produtos de segurança em um sistema de operações de segurança coeso que unifica todos os componentes de segurança licenciados.

As três funções principais de um sistema XDR são:

• Para ser uma coleção de produtos de segurança comuns integrados fora da caixa
• Centralização e normalização de dados em um repositório central para análise e consulta
• Sensibilidade de detecção aprimorada, resultante da contribuição de vários produtos de segurança trabalhando em coordenação
• Capacidade de resposta a incidentes correlacionados que pode alterar o estado de produtos de segurança individuais como parte do processo de recuperação

XDR é uma ferramenta de resposta a incidentes de segurança baseada em SaaS, específica do fornecedor, que integra nativamente vários produtos de segurança em um sistema de operações de segurança coeso que é contextualizado por todos os componentes de segurança licenciados.

No mínimo, as ferramentas XDR requerem inteligência continuamente atualizada sobre táticas e técnicas de ferramentas do invasor. Eles também precisam de normalização de dados e outras formas de pré-processamento para permitir análises e correlações. Normalmente, eles também exigirão amplo armazenamento de dados baseado em SaaS, de preferência em um banco de dados gráfico que seja capaz de conectar eventos que não são predefinidos. As ferramentas XDR unem componentes de segurança voltados para ameaças, como EPP / EDR, firewall, NIPS, SEG, CASB e SWG, em um sistema de operações de segurança coeso.

Benefits and Uses

XDR ainda é uma categoria de produto emergente; como tal, a maioria dos benefícios ainda não foi comprovada.

Idealmente, os fornecedores de XDR podem fornecer um portfólio unificado de funções críticas de segurança que fornecem:

• Capacidade de detecção e prevenção mais precisa
• Menor custo total de propriedade impulsionado por maior produtividade das operações de segurança e menores custos de aquisição
• Tempo de obtenção de valor mais rápido (versus compradores integrando os melhores produtos)
• Segurança que é adaptável às mudanças de infraestrutura e arquitetura de aplicativos
• Menos pontos cegos
• Detecções mais rápidas, precisas e informadas – ou seja, correlação de alerta e correlação de dados de resposta a incidentes completa
• Tempo mais rápido para correção – manuais e integração de operações – e automação
• Melhor visibilidade e capacidade de pesquisa
• Fortalecimento priorizado com configuração de produto e gerenciamento de vulnerabilidade de software como uma tarefa integrada em todo o portfólio, e não atividades isoladas em silos

A centralização e normalização de dados melhora a detecção combinando sinais mais suaves de mais componentes para detectar eventos que, de outra forma, poderiam ser ignorados. A detecção de componentes também pode detectar problemas complicados, como ataques de controle de conta, ameaças internas e detecção de incidentes em sistemas IoT / OT. A segurança também pode ser melhorada, permitindo o compartilhamento mais rápido de informações IOC locais entre os componentes para fornecer proteção mais rápida em todos os dispositivos. Por exemplo, a resposta a incidentes pode coletar informações exclusivas do IOC e disseminá-las para todos os componentes de segurança e, simultaneamente, verificar dados históricos de eventos semelhantes.

Idealmente, essa correlação, contexto e análise aprimorados levarão a alertas de segurança reduzidos, exigindo intervenção humana, automatizando ações e fornecendo recursos de pré-validação mais fortes. O benefício é que os analistas gastam mais tempo em “incidentes” e menos tempo em um fluxo de “alertas” que muitas vezes carecem de contexto. Por exemplo, os alertas de rede podem ser confirmados ou desmascarados pela análise da atividade do terminal. O volume total de alertas pode ser reduzido em ordens de magnitude, combinando alertas de produtos individuais em incidentes em todo o sistema. Por exemplo, um ataque que causou alertas em e-mail, endpoint e rede pode ser combinado em um único incidente. O analista tem então um “contexto” significativamente mais em tempo real para poder tomar uma decisão melhor e mais rápida. Os produtos XDR também têm como objetivo melhorar a produtividade da equipe de segurança e elevar os recursos de resposta a incidentes dos operadores SOC de nível 1, consolidando e contextualizando todas as evidências em uma plataforma de gerenciamento fácil de entender, em vez de propagar o antigo problema de “troca de contexto” de ter para navegar entre vários consoles. Os dados centralizados também permitem recursos de consulta mais rápidos em vários componentes. Como para o SIEM, esse será um benefício importante para soluções XDR capazes. Por ser mais recente no mercado, a XDR não tem apenas a promessa, mas também a realidade de ter APIs integradas desde o início. Isso oferece mais oportunidades para recursos de resposta a incidentes mais rápidos e parcialmente automatizados e integrações com uma ampla variedade de outros processos e sistemas, como SOAR, gerenciamento de vulnerabilidade, ITSM e CMDB.

Adoption Rate

O desenvolvimento de produtos XDR está em andamento e poucos produtos estão totalmente integrados ainda. Como resultado, a adoção do XDR ainda está principalmente em testes beta e iniciais para a maioria dos produtos. Menos de 5% das organizações têm uma estratégia de produto XDR.

Risks

O surgimento de produtos XDR ainda está em fase de desenvolvimento e há vários riscos que podem inviabilizar essa nova abordagem.

Há um problema básico com o gerenciamento de eventos – novas fontes de eventos e volume de eventos estão aumentando mais rápido do que a tecnologia para lidar com eles. Cada aumento na sofisticação de integração, detecção, resposta e automação pode compensar apenas parcialmente a escala e a complexidade do problema. Embora o XDR possa melhorar essa situação, é improvável que resolva.

Os XDRs podem levar à dependência excessiva de um único fornecedor. Os XDRs podem ajudar a melhorar a eficiência da segurança, mas também podem levar ao aprisionamento do fornecedor e potencialmente sacrificar a funcionalidade de peças de componentes em comparação com os melhores componentes.

A XDR pode melhorar a eficiência, mas, ao fazer isso, também pode sacrificar a eficácia da segurança. Só porque um fornecedor está fazendo várias coisas integradas não significa que ele está necessariamente fazendo bem. A eficácia será uma métrica chave para os líderes de segurança de TI prestarem atenção. Você não apenas terá que responder à pergunta se ele encontra coisas, mas também se ele realmente encontra coisas que seu ferramental existente não está.

Os fornecedores estão inicialmente integrando principalmente seus próprios produtos, portanto, podem estar faltando integrações críticas ou peças de componentes para torná-los eficazes. O XDR pode simplesmente se tornar um mecanismo para tentar se prender a um fornecedor específico sem oferecer os benefícios reais, e ser um conjunto de soluções pontuais versus um todo verdadeiramente orquestrado. Como resultado, os compradores precisam ser estratégicos ao selecionar um provedor de XDR.

Existe apenas uma pequena lista de fornecedores que podem realmente oferecer uma abordagem XDR. Muitos dos produtos XDR são imaturos e não possuem integração total entre todos os componentes. A maioria das organizações não tem um portfólio completo de produtos de um único fornecedor de XDR ou o orçamento para adquiri-los. Portanto, levará de três a cinco anos para a maioria das organizações perceber o valor total de um produto XDR.

Na verdade, se os fornecedores pioneiros de XDR entregam muito pouco valor de segurança ou produtividade, ou os provedores de soluções simplesmente não cumprem seus roteiros, ou os produtos XDR acabam precisando do mesmo nível de trabalho de integração que as ferramentas SIEM modernas, então é provável que o XDR morrer no vale da desilusão.

Os grandes fornecedores que são capazes de fornecer um produto XDR geralmente executam muito mais devagar do que as melhores startups no tratamento de novas ameaças. Para permanecerem atraentes, os provedores de soluções XDR devem se manter atualizados com as tecnologias mais recentes ou fazer aquisições e torná-las atraentes para novos fornecedores integrarem-se à sua plataforma.

Os fornecedores de XDR terão lacunas em seu portfólio de produtos que exigem produtos pontuais que não se integram à solução XDR, criando pontos cegos. A maioria das organizações já tem pontos cegos, então os XDRs podem agregar valor, mesmo que não estejam 100% integrados. No entanto, os principais fornecedores de XDR se integrarão a parceiros selecionados para melhorar a cobertura.

Os grandes fornecedores de vários produtos têm o controle interno sobre o fornecimento de uma experiência XDR pronta para uso, pois, em teoria, já possuem muitos dos componentes. No entanto, à medida que mais produtos de segurança são fornecidos com APIs e mecanismos de compartilhamento de informações, é possível que startups independentes, MSSPs ou soluções SIEM / SOAR sejam capazes de integrar os melhores componentes da categoria para oferecer o mesmo valor que um XDR sem o fornecedor lock-in. Eles farão isso de maneiras inovadoras que podem ser simplesmente categorizadas como capacidades “over the top” (OTT). Por exemplo, as soluções SOAR fazem isso hoje, fornecendo uma camada de abstração sobre as soluções existentes. É totalmente viável que esse modelo possa ser bem-sucedido, especialmente se essa startup fornecer melhores análises e armazenamento, e pode fazer isso a partir da nuvem.

É altamente possível que as vendas e o movimento de entrada no mercado não consigam capturar o público de compra correto, esgotando o entusiasmo do fornecedor pela XDR. É claro que os ciclos de compra da XDR serão mais longos e complicados do que comprar peças de componentes individuais. O mandato médio de um CISO pode ser menor do que o tempo para implementar um programa de compra de peças de componentes XDR mais estratégico. Além disso, uma única aquisição pode introduzir novos produtos no mix antes que a estratégia de XDR seja concluída.

A estratégia XDR requer um alto nível de dependência de um único fornecedor. Isso levanta vários problemas potenciais, incluindo:

• Bloqueio do fornecedor
• Ponto unico de falha
• A falta de diversidade em informações de ameaças e técnicas defensivas
• Suporte do fornecedor ou problemas de renovação aumentando com a dependência do fornecedor
• Falha do fornecedor em se adaptar à mudança de ameaça ou cenário de mercado
• Compradores temendo um risco estratégico maior se escolherem o produto XDR errado

Os grandes fornecedores de XDR provavelmente têm inteligência suficiente contra ameaças e um portfólio amplo o suficiente de ferramentas de segurança, cada uma das quais emprega diferentes técnicas de detecção e prevenção, para que um produto XDR possa atingir uma postura de defesa em profundidade sem a complexidade de uma estratégia de vários fornecedores.

Não é nenhum segredo que os especialistas em domínio de segurança desejam as melhores e mais recentes ferramentas do mercado, mesmo que não tenham certeza de que precisam de todas as funcionalidades mais recentes. Muitas vezes, é difícil para os CISOs contestar a necessidade de recursos avançados, dificultando a adesão à compra estratégica para obter mais funcionalidade XDR com o tempo.

Os XDRs provavelmente não eliminarão a necessidade de mecanismos de armazenamento de log para atender à conformidade ou outras necessidades.

Apesar desses riscos, está claro que o mercado de segurança está maduro para a consolidação e os produtos XDR serão atraentes para organizações mais pragmáticas que estão sobrecarregadas pela complexidade da segurança e pela falta de uma equipe de operações de segurança qualificada.

Evaluation Factors

Os fornecedores de XDR competirão principalmente no alcance e na qualidade das ferramentas de segurança integradas, no ganho de produtividade do SOC e nas melhorias na detecção e prevenção.

Outros recursos importantes incluirão:

• Qualidade do componente – a eficácia da segurança ainda é importante
• Quantidade de produtos que se integram ao sistema XDR, pois mais visibilidade é benéfica
• Profundidade de integração entre as partes do componente (por exemplo, se é apenas integração de nível de dados ou integração de configuração profunda que permite ao sistema XDR alterar o estado das partes do componente manualmente ou automaticamente)
• Precisão de correlação de alertas em incidentes
• Uso de análises avançadas, como UEBA, para detectar ameaças mais sofisticadas
• Interface do usuário e contextualização que permite uma correção mais rápida
• Qualidade da capacidade de detecção para detectar ataques mais sutis
• A gama e a profundidade da capacidade de automação, incluindo manuais predefinidos e capacidade de personalizar a automação
• A gama de parceiros que podem ser integrados ao sistema XDR fora da caixa
• Execução do fornecedor na conclusão de seu roteiro e integração de novos produtos e aquisições no sistema XDR
• A capacidade do provedor de oferecer suporte avançado, incluindo uma oferta de serviço gerenciado e treinamento
• Arquitetura de serviço nativa da nuvem

Os compradores devem se concentrar em soluções que fornecem:

• Esquema de dados comum
• Padrão / estrutura de programação comum, tanto para aplicativos desenvolvidos internamente nas plataformas quanto para terceiros a serem seguidos
• Rico conjunto de APIs
• Dados enriquecidos / correlacionados de várias fontes que dão suporte a casos de uso, como caça a ameaças e IA / análise avançada
• Detecções que não usam agentes de endpoint / apenas telemetria
• Ações de resposta que vão além da manipulação apenas do terminal
• Ações iniciadas em uma ferramenta e realizadas em outra
• Dinamizar entre ferramentas integradas dentro do mesmo portal / UI
• Fluxo de trabalho para administradores usando um portal e vinculado à automação
• Automação para iniciar tarefas comuns

SIEM e SOAR

A alternativa ao XDR é usar SIEM e SOAR modernos baseados em SaaS, otimizados para o caso de uso de detecção e resposta (consulte “Quadrante Mágico para Informações de Segurança e Gerenciamento de Eventos”). Outra alternativa é usar serviços de segurança gerenciados para fornecer uma experiência semelhante a XDR. Os MSSPs não oferecem serviços rotulados especificamente como XDR, mas a proposta de valor principal de um MSSP é assumir a função que os XDRs fornecem, realizando o trabalho árduo de integração e correlação de alerta.

Recomendações

• Trabalhe com as partes interessadas para determinar se uma estratégia XDR é a certa para sua organização.
• Avalie os recursos do produto XDR e o roteiro dos provedores XDR existentes e potenciais.
• Desenvolva uma política de compra interna que esteja alinhada com sua estratégia de XDR, incluindo quando e por que exceções podem ser permitidas.
• Garanta que as compras futuras de segurança estejam alinhadas com uma estratégia de integração XDR de longo prazo.
• Aumentar a importância da integração e automação nas decisões de compra.

Provedores Representantes

A seguir está uma lista representativa, mas não exaustiva, de potenciais fornecedores de XDR futuros: Cisco, Fortinet, Fidelis Cybersecurity, McAfee, Microsoft, Palo Alto Networks, Symantec, Trend Micro, FireEye, Rapid7 e Sophos.

comercial@danresa.com.br | (11) 4452-6448
www.danresa.com.br
Chat Online neste site!

A DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI, há 23 anos.

• Revenda Certificada Sophos.
• Atuação nos mercados Enterprise, Telcos e Data Centers.
• Projetos e cases de sucesso SD-WAN, Secure Access, Security Cloud, VoIP, Advanced Threat Protection e todos os componentes de Segurança da Sophos
• SNOC e Suporte Especializado 7x24x365, DevSecOps, Instalações em Massa, Equipe de Engenheiros, Analistas e Integradores Certificados, Metodologia de Projetos PMI.
• Parceira Oficial de Produtos e Soluções de Segurança de TI dos Fabricantes

A Partner of