Detecção e resposta estendidas (XDR)
O que é XDR?
XDR significa detecção e resposta em camadas cruzadas. A XDR coleta e correlaciona dados em diversas camadas de segurança, incluindo endpoints, e-mail, servidores, cargas de trabalho em nuvem e a rede geral. A XDR é uma abordagem nova e alternativa para detecção e resposta a incidentes tradicional, integrando procedimentos de detecção e resposta em vários ambientes.
Como funciona a XDR
Ameaças bem projetadas podem ser difíceis de detectar porque funcionam entre silos de segurança, que são várias abordagens de segurança funcionando em paralelo, mas não necessariamente juntas. Devido à capacidade de se esconder entre os silos de segurança, elas podem se espalhar ou se multiplicar com o passar do tempo. Como resultado, elas podem escapar da atenção de um centro de operações de segurança (SOC) e acabar causando mais danos.
A XDR isola e disseca essas ameaças. Ela coleta e correlaciona cada detecção de acordo com as camadas de segurança individuais. Cada “camada” representa uma superfície de ataque diferente: endpoints, e-mail, rede, servidores e cargas de trabalho em nuvem. As maneiras específicas pelas quais uma solução XDR protege cada superfície de ataque são descritas no white paper do seu provedor de XDR.
Terminal
Gerenciar a atividade do endpoint é essencial para descobrir como uma ameaça pode ter se firmado e se espalhado de um endpoint para outro. Com a XDR, você pode usar a varredura de endpoint para pesquisar indicadores de comprometimento (IOCs) e, em seguida, caçá-los usando informações coletadas de indicadores de ataque (IOAs).
Um sistema XDR pode dizer o que aconteceu em um endpoint, bem como de onde surgiu uma ameaça e como ela conseguiu se espalhar por vários endpoints. A XDR pode isolar a ameaça, interromper os processos necessários e excluir ou restaurar arquivos.
O e-mail é uma das maiores e mais usadas superfícies de ataque. Isso o torna um alvo fácil, e as soluções XDR podem ajudar a limitar os riscos que acompanham um sistema de e-mail. Mesmo que a segurança de e-mail também possa ser tratada com um sistema de detecção e resposta gerenciada (MDR), a XDR identifica especificamente a segurança de e-mail.
Como parte do processo de triagem, a XDR pode detectar ameaças de e-mail e identificar contas que foram comprometidas. Ela também pode detectar usuários que são atacados com frequência, bem como padrões de ataque. A XDR pode investigar quem é responsável pela ameaça obtida pelos protocolos de segurança e quem mais poderia ter recebido o e-mail em questão.
Para responder ao ataque, a XDR pode colocar e-mail em quarentena, redefinir contas e também bloquear os remetentes responsáveis.
Rede
Analisar a rede em busca de ataques e oportunidades de ataque é uma etapa importante para enfrentar com agressividade os problemas de segurança. Com a análise de rede, os eventos podem ser filtrados, o que ajuda a identificar pontos de vulnerabilidade, como dispositivos não gerenciados e de Internet das Coisas (IoT). Se as ameaças tendem a se originar de pesquisas do Google, e-mail ou ataques bem orquestrados, a análise de rede pode identificar a vulnerabilidade subjacente.
A XDR pode detectar o comportamento problemático na rede e, em seguida, investigar detalhes sobre a ameaça, incluindo como ela se comunica e como se desloca pela empresa. Isso pode ser feito independentemente da posição de uma ameaça na rede, de um gateway de serviços de borda (ESG) a um servidor central. A XDR pode então relatar aos administradores informações sobre o escopo do ataque, para que eles possam encontrar uma solução rapidamente.
Servidores e cargas de trabalho em nuvem
Proteger os servidores e a infraestrutura em nuvem envolve etapas que, em um alto nível, são semelhantes às usadas para proteger endpoints. A ameaça deve ser examinada para descobrir como chegou à rede e também como conseguiu se espalhar.
A XDR oferece a capacidade de isolar ameaças projetadas de maneira personalizada para se concentrar em servidores, contêineres e cargas de trabalho em nuvem. A XDR então investiga como a ameaça está afetando a carga de trabalho e examina como ela está se propagando pelo sistema. Em seguida, isola o servidor e interrompe os processos necessários para conter a ameaça. O isolamento de ameaças é um componente essencial para reduzir o tempo médio de recuperação de ataques.
Por exemplo, se uma ameaça obteve acesso à sua rede em nuvem por meio de um endpoint de IoT, a XDR pode determinar de onde ela veio. Você pode então abordar os motivos por trás da violação de segurança e usar essas informações para criar um plano de ataque.
A XDR também pode ser um acréscimo eficaz a um pacote de produtos de segurança porque ajuda a descobrir como a ameaça afetou a carga de trabalho do servidor. Se isso retardar o processamento ou corromper os dados, a XDR pode informar até que ponto isso aconteceu. Assim, a XDR pode interromper quaisquer processos que possam facilitar a disseminação da ameaça. Em um ambiente de nuvem que oferece suporte a uma vasta gama de pontos de conexão, a interrupção dos processos pode evitar grandes perdas de dados ou a suspensão completa de segmentos essenciais de suas operações.
Servidores e cargas de trabalho em nuvem
Um sistema XDR pode alimentar um data lake — um repositório centralizado de dados brutos — e esterilizá-lo. Ele primeiro inicia a varredura entre camadas para detectar ameaças, depois as caça, investiga e elimina.
XDR vs. Detecção de ameaças tradicional
A XDR difere da detecção de ameaças tradicional porque visa especificamente resolver problemas criados por uma abordagem de silo. Uma maneira pela qual a XDR “retira os silos” de um sistema consiste na segmentação das superfícies de ataque em suas categorias primárias. Dessa forma, você obtém uma solução relativamente abrangente para cargas de trabalho de e-mail, redes, servidores e nuvem.
A XDR é diferente no modo como busca não apenas detectar e identificar ameaças, mas também responder a elas. Alguns sistemas de detecção de ameaças apenas detectam a ameaça, sem tomar medidas decisivas para eliminá-la. Dependendo das suas necessidades, esse aspecto da XDR pode não ser útil, principalmente se você quiser ter mais liberdade de como responder às ameaças.
A XDR também pode ser uma ferramenta útil para gerenciar alertas. Um sistema de segurança pode ser inundado com uma variedade de alertas, e gerenciá-los às vezes pode exigir tanto trabalho quanto lidar com as próprias ameaças. Um sistema XDR pode consolidar alertas que, embora desejáveis, podem não conter informações acionáveis. Isso ajuda os administradores a se concentrarem nos alertas que requerem etapas definitivas.
Como a XDR não apenas detecta, mas também responde às ameaças, uma equipe de segurança pode economizar tempo e recursos com a implementação da XDR. Por exemplo, se a equipe de TI sabe como deseja responder a cada ameaça, e a solução XDR tem essa capacidade, ela pode cobrir várias bases de uma vez, usando a XDR para identificar e isolar ameaças, bem como interromper os processos problemáticos envolvidos.
XDR vs. Detecção e resposta de endpoint (EDR)
A EDR é diferente da XDR porque o “E” se refere especificamente aos endpoints, enquanto o “X” na XDR indica que ele lida com dados de rede e nuvem também.
Se você já tem uma solução de segurança para sua rede e infraestrutura em nuvem, pode ser melhor usar uma solução EDR como FortiEDR. Pode ser difícil fazer a interface de um sistema XDR com sua solução de segurança de rede atual e a redundância pode resultar em mais obstáculos do que oportunidades.
XDR vs. Análise de tráfego de rede (NTA)
Tanto a XDR quanto a NTA podem detectar ameaças. A NTA concentra-se no reconhecimento de padrões e, portanto, pode fornecer uma resposta instantânea a pacotes de dados que violam o padrão esperado. Por exemplo, se um servidor geralmente obtém tráfego dos EUA, Canadá e Brasil, mas de repente começa a receber tráfego da Rússia, um sistema NTA pode ser usado para eliminar a ameaça potencial.
Portanto, a NTA pode ser uma solução melhor do que a XDR se as ameaças que sua organização enfrenta puderem ser isoladas usando esse tipo de detecção de padrão.
XDR vs. Informações de segurança e gerenciamento de eventos (SIEM)
A XDR difere do SIEM porque fornece soluções de resposta. Embora o SIEM possa trabalhar com uma solução de resposta, ele se concentra em detectar ameaças, não em responder a elas. Se você deseja personalizar a forma como você responde às ameaças, uma solução SIEM como FortiSIEM pode ser uma escolha melhor do que a XDR.
Em alguns casos, a XDR pode detectar e responder a uma ameaça automaticamente, mesmo quando ela não representa um perigo real. Uma resposta prematura como essa pode prejudicar sua organização. Com o SIEM, você é livre para decidir como responder a cada ameaça, o que pode impedi-lo de interromper ou suspender as operações sem necessidade.
XDR vs. Orquestração de segurança, automação e resposta (SOAR)
Enquanto a XDR faz um bom trabalho ao se concentrar na detecção e resposta às ameaças em seu próprio ecossistema, a SOAR também pode fazer muito disso, mas também pode ser usada para ajudar a orquestrar a política de segurança e relatórios.
Se a sua resposta imediata às ameaças é eficaz, mas você precisa de um sistema que ajude na implementação geral de políticas de segurança, uma solução como FortiSOAR pode ser uma escolha melhor do que a XDR. A implementação de uma solução XDR em cima de um sistema de reação a ameaças existente e eficaz pode exigir mais tempo do que você tem disponível, sem garantir resultados melhores do que a solução existente.
Obtenha visibilidade total de ataque
O FortiClient permite que você descubra riscos, monitore-os e avalie a quantidade de exposição que resultam. Isso pode ser feito para diversos endpoints, dando a você a flexibilidade de adaptar sua abordagem de segurança às necessidades da sua organização.
Além disso, o FortiClient fornece uma defesa contra ameaças avançadas e, como um componente central da sua telemetria, pode comunicar informações sobre as ameaças que elimina automaticamente. Como ele se integra perfeitamente ao Fortinet Security Fabric, é possível incorporar automação baseada em políticas que pode conter ameaças e prevenir sua propagação. Se você já tem uma solução de segurança pronta para Fabric, o FortiClient pode trabalhar com ela para tornar a solução de segurança da sua empresa ainda mais forte. Quer as coisas tenham abrandado devido à COVID ou estejam começando a se recuperar, agora é um bom momento para obter detecção e resposta integradas com o FortiClient.
