Aprendizado e descoberta 4min de Leitura - 18 de janeiro de 2022

O que é detecção e resposta estendida (XDR)?

XDR

This post is also available in: Português

Pentest

A letra X em muitas siglas em inglês significa “estendido”, “aumentado” ou “ampliado”. Na maioria das vezes, usa-se para efeito de comparação, mostrando a evolução de um estágio (ou produto) em relação a outro. E é exatamente este o caso do EDR com o XDR; enquanto o primeiro é Detecção e Resposta de Endpoint, o segundo significa Detecção e Resposta Estendida.

XDR é então uma tecnologia de segurança digital que fornece visibilidade, análise e resposta estendidas em redes e nuvens, além de aplicativos e terminais. Essencialmente, é uma versão mais sofisticada e avançada do EDR. A diferença primordial entre eles é que o XDR vai além dos endpoints, incluindo e-mails, redes, servidores e nuvens – e faz isso ao detectar ameaças mais rapidamente usando dados coletados entre domínios.

Como o XDR tem acesso aos dados brutos coletados no ambiente, pode detectar agentes mal-intencionados que estão usando softwares legítimos para acessar o sistema. Assim, acaba agindo em situações nas quais o SIEM muitas vezes não consegue atuar.

Dessa maneira, realiza análises e correlações automatizadas de dados de atividades, permitindo neutralizar ameaças de maneira mais eficaz. Exemplo: consegue comparar uma ameaça detectada no endpoint com o e-mail ou carga de trabalho de onde foi originada, para então descobrir quais outros equipamentos podem ter sido afetados.

Tanto o EDR quanto o XDR respondem às ameaças no sentido de removê-las. Entretanto, a coleta de dados do XDR é mais abrangente, tendo um maior grau de integração com o ambiente.

Triplé tecnológico

O XDR é dividido em três partes: telemetria e análise de dados, detecção e resposta. A primeira se refere ao monitoramento e coleta de dados em várias camadas de segurança. Isso inclui não apenas terminais, mas também rede, servidor e nuvem. Em seguida, usa a análise de dados para correlacionar o contexto de centenas de alertas dessas camadas para mostrar o número real das notificações de alta prioridade. Assim, auxilia no alívio da sobrecarga existente sobre as equipes de segurança.

Quanto à detecção, a visibilidade superior do XDR permite que ele filtre os alertas e informe aqueles que exigem uma resposta. Essa mesma visibilidade permite criar linhas de base de comportamento normal em um ambiente corporativo. Assim, permite a detecção de ameaças que alavancam o software legítimo, investigando a origem da ameaça para impedi-la de impactar outras áreas do sistema.
Pentest

No que se refere ao terceiro pilar (Resposta), o XDR pode conter e remover as ameaças que caem em seu radar, bem como atualizar as políticas de segurança para evitar que uma violação semelhante ocorra duas vezes. Já o EDR executa essa função apenas em terminais e cargas de trabalho, enquanto o XDR vai além da proteção de terminais para responder a ameaças em todos os pontos de controle de segurança.

Benefícios do XDR

  • Maior visibilidade e contexto: o XDR fornece uma visão de 360 graus do ambiente de segurança. Ele permite que os analistas vejam todas as ameaças em qualquer camada de segurança, bem como o modo com o qual um ataque aconteceu, o ponto de entrada, quem mais foi afetado, onde a ameaça se originou e como se espalhou. Esse contexto adicional é crucial para uma resposta rápida às ameaças.
  • Priorização: as equipes de TI e segurança sofrem para acompanhar dezenas de alertas gerados por seus serviços de segurança. Os recursos de análise e correlação de dados do XDR permitem agrupar alertas relacionados, priorizá-los e revelar apenas os mais importantes.
  • Automação: o uso de automação pelo XDR acelera a detecção e a resposta e remove etapas manuais dos processos de segurança, permitindo que as equipes de TI lidem com um grande volume de dados e realizem processos complexos de maneira repetível.
  • Eficiência operacional: em vez de um conjunto fragmentado de ferramentas de segurança, o XDR fornece uma visão holística das ameaças em todo o ambiente. Ele oferece coleta de dados centralizada e integrada ao ambiente, tendo então um ecossistema de segurança mais amplo.
  • Respostas mais sofisticadas: o EDR tradicional geralmente responde a uma ameaça colocando o endpoint afetado em quarentena. É algo positivo nos casos em que esse endpoint é um dispositivo do usuário. Porém, pode representar um problema quando um servidor crítico é infectado. Os recursos mais sofisticados e a maior visibilidade do XDR permitem adaptar a resposta ao sistema específico e alavancar outros pontos de controle para minimizar o impacto geral.

Em quais casos usar o XDR?

  • Caça a ameaças: embora seja provável que já existam ameaças em qualquer rede, muitas equipes de segurança lutam para encontrar tempo para fazer uma caça proativa de ameaças. Os recursos de telemetria e automação da XDR permitem que muito desse trabalho seja feito automaticamente, permitindo realizar a caça de ameaças junto com outras tarefas, intervindo apenas quando necessário.
  • Triagem: uma das funções mais importantes de uma equipe de segurança é priorizar ou fazer a triagem de alertas e responder rapidamente aos mais importantes. O XDR ajuda a filtrar o ruído usando análises poderosas para correlacionar milhares de alertas em um pequeno número de alertas de alta prioridade.
  • Investigação: a extensa coleta de dados, a visibilidade ampla e a análise automatizada do XDR permitem que as equipes de segurança estabeleçam de forma rápida e fácil onde uma ameaça se originou, como se espalhou e quais outros usuários ou dispositivos podem ser afetados. É algo essencial para remover a ameaça e proteger a rede contra ameaças futuras.

Ficou com alguma dúvida sobre XDR e gostaria de esclarece-la? Sinta-se a vontade para falar com nossos especialistas.

This post is also available in: Português