O que é detecção e respostas estendidas (XDR)?

Detecção e respostas estendidas (XDR) é uma consolidação de ferramentas e dados que proporciona visibilidade, técnicas de análise e respostas estendidas em endpoints, cargas de trabalho, usuários e redes.

O XDR unifica os recursos de segurança de cargas de trabalho e endpoints com visibilidade essencial da rede e da nuvem, reduzindo os pontos cegos, detectando ameaças com mais rapidez e automatizando a correção por meio de contexto confiável nesses domínios.

SOC pronto para o futuro: como usar o XDR para obter visibilidade e controle unificados

FAÇA DOWNLOAD DO WHITE PAPER

O impacto do XDR no SOC moderno pela ESG

FAÇA DOWNLOAD DO EBOOK

Como funciona a segurança do XDR?

Basicamente, o XDR é uma consolidação de ferramentas e dados e representa um grande avanço nos recursos de segurança empresarial. Como o XDR tem acesso aos dados brutos coletados no ambiente, consegue detectar cibercriminosos que estão usando softwares legítimos para obter acesso ao sistema. Isso é algo que os softwares de gerenciamento de eventos e informações de segurança (SIEMs) geralmente não conseguem fazer. O XDR realiza análises e correlações automatizadas dos dados de atividades, permitindo que as equipes de segurança detenham ameaças com mais eficiência. Por exemplo, ele pode se estender para incluir detecções de rede, movimento lateral, conexões anômalas, beacons, exfiltração e fornecimento de elementos mal-intencionados.

Assim como o EDR, o XDR responde à ameaça para contê-la e removê-la. Mas o XDR pode responder com mais eficiência ao ativo afetado, graças à coleta de dados superior e à integração com o ambiente. As verdadeiras plataformas XDR fornecem a visibilidade e o contexto holísticos de que os analistas de segurança precisam para responder às ameaças de maneira direcionada e eficaz. Essa resposta personalizada ajuda a deter não apenas a ameaça, mas também o impacto da resposta nos sistemas. Isso significa redução do tempo de inatividade em servidores essenciais.

O XDR consiste em três partes: telemetria e análise de dados, detecção e resposta.

Telemetria e análise de dados: o XDR monitora e coleta dados em várias camadas de segurança, incluindo endpoints, rede, servidor e nuvem. Ele usa a análise de dados para correlacionar o contexto de milhares de alertas nessas camadas e exibir um número menor de alertas de alta prioridade, ajudando a evitar a sobrecarga das equipes de segurança.
Detecção: a visibilidade superior do XDR permite filtrar alertas e estabelecer quais exigem respostas. Essa mesma visibilidade permite criar linhas de base do comportamento normal em um ambiente para permitir a detecção de ameaças que aproveita software, portas e protocolos e investigar a origem da ameaça para impedir que ela afete outras partes do sistema.
Resposta: assim como o EDR, o XDR tem a capacidade de deter e remover as ameaças detectadas, bem como atualizar as políticas de segurança para evitar que uma violação semelhante ocorra novamente. No entanto, ao contrário do EDR, que executa essa função apenas em endpoints e cargas de trabalho, o XDR vai além da proteção de endpoints, respondendo a ameaças em todos os pontos de controle de segurança em que atua, desde a segurança de contêineres até redes e servidores.

Quais são os benefícios do XDR?

Os recursos do XDR que vão além do EDR oferecem vários benefícios tangíveis para proteger o ambiente de TI de uma organização. Esses benefícios incluem:

Maior visibilidade e contexto: ao contrário do EDR (que é limitado a endpoints e cargas de trabalho) e dos serviços de segurança de terceiros (que geralmente têm uma visão limitada), o XDR fornece uma visão completa do ambiente de segurança. Ele permite que os analistas de segurança vejam as ameaças (até mesmo aquelas que utilizam software, portas e protocolos legítimos para entrar em qualquer camada de segurança), como um ataque aconteceu, o esquema, o ponto de entrada, quem mais foi afetado, onde a ameaça se originou e como se espalhou. Esse contexto adicional, bem como as técnicas de análise necessárias para entendê-lo, é crucial para uma resposta rápida às ameaças.
Priorização: as equipes de TI e segurança geralmente têm dificuldade para acompanhar milhares de alertas gerados por seus serviços de segurança. Os recursos de análise e correlação de dados do XDR permitem agrupar alertas relacionados na estrutura MITRE ATT&CK, priorizá-los e revelar apenas os mais importantes.
Automação: o uso da automação pelo XDR acelera a detecção e a resposta e elimina as etapas manuais dos processos de segurança, permitindo que as equipes de TI lidem com um grande volume de dados de segurança e executem processos complexos de maneira repetível.
Eficiência operacional: em vez de uma coleção fragmentada de ferramentas de segurança, o XDR fornece uma visão holística das ameaças em todo o ambiente. Ele oferece coleta de dados centralizada e resposta totalmente integrada ao ambiente e ao ecossistema de segurança mais amplo.
Detecção e resposta mais rápidas: todas essas vantagens contribuem para uma postura de segurança mais robusta e eficaz. A eficiência adicional do XDR permite que ele detecte e responda às ameaças com mais rapidez, o que é crucial no cenário de segurança atual.
Respostas mais sofisticadas: o EDR tradicional geralmente responde a uma ameaça colocando o endpoint afetado em quarentena, o que é bom quando esse endpoint é um dispositivo de usuário, mas pode representar um problema quando um servidor essencial é infectado. Os recursos mais sofisticados e a maior visibilidade do XDR permitem adaptar a resposta ao sistema específico e aproveitar outros pontos de controle para minimizar o impacto geral.

Quais são os casos de uso do XDR?

Busca de ameaças: embora provavelmente já existam ameaças em qualquer rede, muitas equipes de segurança têm dificuldade para encontrar tempo para a busca proativa de ameaças. Os recursos de telemetria e automação do XDR permitem que grande parte desse trabalho seja feito automaticamente, aliviando significativamente a sobrecarga das equipes de segurança e permitindo que elas persigam ameaças enquanto executam outras tarefas, intervindo apenas quando necessário.
Triagem: uma das funções mais importantes de uma equipe de segurança é priorizar ou fazer a triagem de alertas e responder rapidamente aos mais essenciais. O XDR ajuda a identificar o que é relevante usando técnicas de análise avançadas para condensar milhares de alertas, gerando uma lista pequena de alertas de alta prioridade.
Investigação: a ampla coleta de dados, a maior visibilidade e a análise automatizada do XDR permitem que as equipes de segurança estabeleçam com rapidez e facilidade a origem de uma ameaça, como ela se espalhou e quais outros usuários ou dispositivos podem ser afetados. Isso é fundamental para remover a ameaça e fortalecer a rede contra ameaças futuras.

Quais são alguns erros do XDR a serem evitados?

O XDR é uma estratégia de segurança avançada, mas, para você aproveitar todos os benefícios, é importante escolher uma solução que aproveite ao máximo os recursos que tem. Ao escolher uma plataforma, esteja atento aos seguintes problemas:

Falta de integração: o XDR só é eficaz quando está totalmente integrada ao ambiente de TI. As integrações complexas que exigem manutenção podem ocupar o tempo das equipes de TI e tornar a solução XDR menos eficaz.
Automação insuficiente: a automação é um dos recursos mais avançados do XDR; portanto, uma plataforma eficaz precisa ser capaz de se adaptar às condições atuais e executar uma resposta direcionada que vai além de simplesmente bloquear o tráfego para o dispositivo afetado.
Complexidade operacional: uma solução XDR útil precisa ser coesa e acessível para as equipes de segurança e TI. Caso contrário, o tempo que sua equipe ganhará com a implementação da solução será descontado do tempo e do esforço necessários para assimilá-la e configurá-la.

O que é detecção e resposta em segurança cibernética?

A tecnologia de detecção e resposta emprega monitoramento contínuo e em tempo real de sistemas para detectar e investigar ameaças potenciais. Um sistema de detecção e resposta usa a automação para conter e remover essas ameaças.

Atualmente, há vários tipos de soluções de detecção e resposta:

EDR (Endpoint Detection and Response): o EDR monitora e responde a ameaças nos endpoints. Foi o primeiro tipo de sistema de detecção e resposta e, em comparação com as tecnologias de segurança anteriores, oferece maior visibilidade e resposta mais rápida às ameaças. Ele também oferece detecção de malware aprimorada, o que permite detectar ameaças mais sofisticadas, como malware fileless (sem arquivo). No entanto, seu escopo limita-se à segurança de endpoints e cargas de trabalho, o que dificulta a correlação de ameaças em um ambiente complexo.
NDR (Network Detection and Response): o NDR verifica se há ameaças na rede e implanta uma resposta quando detecta uma ameaça. Esse tipo de detecção e resposta se concentra na rede interna, permitindo que as equipes de segurança vejam as ameaças que violaram o perímetro. O NDR usará uma combinação de tecnologias, incluindo NTA, IDPS e sandbox de rede com aprendizado de máquina supervisionado e não supervisionado, para fazer a distinção entre atividades maliciosas e benignas além do endpoint.
MDR (Managed Detection and Response): o MDR é executado como um serviço terceirizado, no qual profissionais externos realizam a detecção e a resposta nos sistemas de uma organização, geralmente com o uso de ferramentas EDR e NDR. Esta pode ser uma boa opção para organizações que não têm experiência ou recursos internos para operacionalizar ferramentas de detecção e resposta. Diferentes de outros serviços de segurança terceirizados, como MSSPs (provedores de serviços de segurança gerenciados), os serviços de MDR se concentram em detectar e responder às ameaças mais recentes detectadas em endpoints, cargas de trabalho e na rede.

Qual é a diferença entre XDR e EDR?

O XDR amplia os recursos do EDR para todas as camadas de segurança do ambiente: cargas, dispositivos, usuários e redes.

Em vez do ponto de vista único fornecido pelo EDR, o XDR permite a telemetria e a análise comportamental em várias camadas de segurança, permitindo que as equipes de segurança tenham um panorama geral.

Os criminosos cibernéticos não limitam seus ataques a uma única camada de segurança, e as equipes de segurança também não podem se dar ao luxo de limitar sua visualização a uma única camada. O EDR dá aos profissionais de segurança visibilidade dos endpoints que podem estar comprometidos, mas isso não é suficiente quando um ataque já se moveu pela rede e para outros sistemas no momento em que a equipe de segurança ficou ciente dele. É aqui que o XDR entra em ação. Ao fornecer uma visão holística da atividade em todo o sistema que evita lacunas de visibilidade, o XDR permite que as equipes de segurança entendam de onde vem uma ameaça e como ela está se espalhando pelo ambiente, a fim de eliminá-la. Em outras palavras, o XDR oferece melhores recursos de análise e correlação e um ponto de vista holístico.

73% das empresas usam duas ou mais nuvens públicas atualmente. Embora o ambiente multi-cloud acelere a transformação digital, ele também tem suas complexidades e riscos.

Os VMware Cross-Cloud™ services permitem que as organizações aproveitem todo o potencial do ambiente multi-cloud com segurança e resiliência empresariais.

Anywhere Workspace

Plataforma de apps

Infraestrutura em nuvem e de borda

Gerenciamento de nuvem

Hypervisor de desktop

Segurança e rede

Soluções VMware em qualquer nuvem. Em qualquer ambiente. Em qualquer lugar.

Em nuvens públicas e híbridas

Na nuvem privada e HCI

Soluções

Por setor

Gerencie o ambiente multi-cloud

Para clientes

Para parceiros

Trabalhando com parceiros para sucesso do cliente

Ferramentas e treinamento

Serviços

Suporte

Marketplace

Blogs e comunidades

Clientes

Eventos

SOC pronto para o futuro: como usar o XDR para obter visibilidade e controle unificados

O impacto do XDR no SOC moderno pela ESG

Soluções e produtos relacionados