Extended Detection and Response (XDR) significa detecção e resposta em camadas cruzadas. O XDR coleta e correlaciona dados em uma variedade de camadas de segurança, incluindo endpoints, e-mail, servidores, cargas de trabalho em nuvem e a rede geral. XDR é uma abordagem nova e alternativa para detecção tradicional e resposta a incidentes, integrando procedimentos de detecção e resposta em vários ambientes.

Como funciona o Extended Detection and Response (XDR)

Ameaças bem projetadas podem ser difíceis de detectar porque funcionam entre silos de segurança, que são várias abordagens de segurança que funcionam em paralelo, mas não necessariamente juntas. Devido à capacidade de se esconder entre os silos de segurança, eles podem se espalhar ou se multiplicar com o passar do tempo. Como resultado, eles podem escapar da atenção de um centro de operações de segurança (SOC) e acabar causando mais danos.

O XDR isola e disseca essas ameaças. Ele coleta e correlaciona cada detecção de acordo com as camadas de segurança individuais. Cada “camada” representa uma superfície de ataque diferente : endpoints, email, rede, servidores e cargas de trabalho em nuvem.

Endpoint

Gerenciar a atividade do endpoint é essencial para descobrir como uma ameaça poderia ter se firmado e se espalhado de um endpoint para outro. Com o XDR, você pode usar a varredura de endpoint para pesquisar indicadores de comprometimento (IOCs) e, em seguida, caçá-los usando informações coletadas de indicadores de ataque (IOAs).

Um sistema Extended Detection and Response pode dizer o que aconteceu em um endpoint, bem como de onde uma ameaça veio e como ela conseguiu se espalhar por vários endpoints. O XDR pode então isolar a ameaça, interromper os processos necessários e excluir ou restaurar arquivos.

E-mail

O e-mail é uma das maiores e mais utilizadas superfícies de ataque. Isso o torna um alvo fácil e as soluções Extended Detection and Response podem ajudar a limitar os riscos que vêm com um sistema de e-mail. Embora a segurança de e-mail também possa ser tratada com um sistema de detecção e resposta gerenciada (MDR), o XDR identifica a segurança de e-mail especificamente.

Como parte do processo de triagem, o XDR pode detectar ameaças de e-mail e identificar contas que foram comprometidas. Ele também pode detectar usuários que são atacados com frequência, bem como padrões de ataque. O XDR pode investigar quem é responsável pela ameaça obtida pelos protocolos de segurança e quem mais poderia ter recebido o e-mail em questão.

Para responder ao ataque, o XDR pode colocar e-mails em quarentena, redefinir contas e também bloquear os remetentes responsáveis.

Rede

Analisar a rede em busca de ataques e oportunidades de ataque é uma etapa importante para enfrentar agressivamente os problemas de segurança. Com a análise de rede, os eventos podem ser filtrados, o que ajuda a identificar pontos de vulnerabilidade, como dispositivos não gerenciados e de Internet das Coisas (IoT). Se as ameaças tendem a se originar de pesquisas do Google, e-mail ou ataques bem orquestrados, a análise de rede pode identificar a vulnerabilidade subjacente.

O XDR pode detectar o comportamento problemático na rede e, em seguida, investigar detalhes sobre a ameaça, incluindo como ela se comunica e viaja pela empresa. Isso pode ser feito independentemente da posição da ameaça na rede, de um gateway de serviços de borda (ESG) a um servidor central. O XDR pode então relatar aos administradores informações sobre o escopo do ataque, para que eles possam encontrar uma solução rapidamente.

Servidores e cargas de trabalho em nuvem

Proteger servidores e infraestrutura em nuvem envolve etapas que, em um alto nível, são semelhantes às usadas para proteger terminais. A ameaça deve ser examinada para descobrir como chegou à rede e também como conseguiu se espalhar.

O XDR oferece a capacidade de isolar ameaças projetadas de maneira personalizada para se concentrar em servidores, contêineres e cargas de trabalho em nuvem. O Extended Detection and Response ou XDR  então investiga como a ameaça está afetando a carga de trabalho e examina como ela está se propagando pelo sistema. Em seguida, isola o servidor e interrompe os processos necessários para conter a ameaça. O isolamento de ameaças é um componente essencial para reduzir o tempo médio de recuperação de ataques.

Por exemplo, se uma ameaça obteve acesso à sua rede em nuvem por meio de um endpoint de IoT, o XDR pode determinar de onde ela veio. Você pode então abordar os motivos por trás da violação de segurança e usar essas informações para criar um plano de ataque.

O XDR também pode ser um acréscimo eficaz a um pacote de produtos de segurança porque ajuda a descobrir como a ameaça afetou a carga de trabalho do servidor. Se isso retardar o processamento ou corromper os dados, o XDR pode informar até que ponto isso aconteceu. Então, o XDR pode interromper quaisquer processos que possam facilitar a disseminação da ameaça. Em um ambiente de nuvem que oferece suporte a uma vasta gama de pontos de conexão, os processos de interrupção podem evitar grandes perdas de dados ou a suspensão completa de segmentos cruciais de suas operações.

Servidores e cargas de trabalho em nuvem

Um sistema XDR pode alimentar um data lake – um repositório centralizado de dados brutos – e esterilizá-lo. Ele primeiro inicia a varredura de camada cruzada para detectar ameaças, depois as caça, investiga e as elimina.

XDR vs. Detecção de Ameaça Tradicional

O XDR difere da detecção de ameaças tradicional porque visa especificamente resolver problemas criados por uma abordagem de silo. Uma maneira pela qual a XDR “des-silos” um sistema é segmentando as superfícies de ataque em suas categorias primárias. Dessa forma, você obtém uma solução relativamente abrangente para e-mail, redes, servidores e cargas de trabalho em nuvem.

O XDR é diferente em como busca não apenas detectar e identificar ameaças, mas também responder a elas. Alguns sistemas de detecção de ameaças apenas detectam a ameaça, sem tomar medidas decisivas para eliminá-la. Dependendo de suas necessidades, esse aspecto do XDR pode não ser útil, principalmente se você quiser ter mais liberdade de como responder às ameaças.

O XDR também pode ser uma ferramenta útil para gerenciar alertas. Um sistema de segurança pode ser inundado com uma série de alertas, e gerenciá-los às vezes pode exigir tanto trabalho quanto lidar com as próprias ameaças. Um sistema XDR pode consolidar alertas que, embora desejáveis, podem não conter informações acionáveis. Isso ajuda os administradores a se concentrarem nos alertas que precisam de etapas definitivas.

Como o XDR não apenas detecta, mas também responde às ameaças, uma equipe de segurança pode economizar tempo e recursos com a implementação do XDR. Por exemplo, se a equipe de TI sabe como deseja responder a cada ameaça, e a solução XDR tem essa capacidade, eles podem cobrir várias bases de uma vez, usando XDR para identificar e isolar ameaças, bem como desligar os processos problemáticos envolvidos .

Extended Detection and Response (XDR) vs. detecção e resposta de endpoint (EDR)

EDR é diferente de XDR porque o “E” se refere especificamente aos terminais, enquanto o “X” no XDR indica que ele lida com dados de rede e nuvem também.

Se você já tem uma solução de segurança para sua rede e infraestrutura em nuvem, pode ser melhor usar uma solução EDR como o FortiEDR . Pode ser difícil fazer a interface de um sistema XDR com sua solução de segurança de rede atual e a redundância pode resultar em mais obstáculos do que oportunidades.

Extended Detection and Response (XDR) vs. Análise de tráfego de rede (NTA)

Tanto o XDR quanto o NTA podem detectar ameaças. O NTA se concentra no reconhecimento de padrões e, portanto, pode fornecer uma resposta instantânea a pacotes de dados que violam o padrão esperado. Por exemplo, se um servidor geralmente obtém tráfego dos EUA, Canadá e Brasil, mas de repente começa a receber tráfego da Rússia, um sistema NTA pode ser usado para eliminar a ameaça potencial.

Portanto, o NTA pode ser uma solução melhor do que o XDR se as ameaças que sua organização enfrenta puderem ser isoladas usando esse tipo de detecção de padrão.

Extended Detection and Response (XDR) vs. Gerenciamento de eventos e informações de segurança (SIEM)

O XDR difere do SIEM porque vem com soluções de resposta. Embora o SIEM possa trabalhar com uma solução de resposta, ele se concentra na detecção de ameaças, não em responder a elas. Se você deseja personalizar o design de como responde às ameaças, uma solução SIEM como o FortiSIEM pode ser uma escolha melhor do que o XDR.

Em alguns casos, o XDR pode detectar e responder a uma ameaça automaticamente, mesmo quando ela não representa um perigo real. Uma resposta prematura como essa pode prejudicar sua organização. Com o SIEM, você é livre para decidir como responder a cada ameaça, o que pode impedi-lo de interromper ou interromper as operações desnecessariamente.

XDR vs. Orquestração, automação e resposta de segurança (SOAR)

Enquanto o XDR faz um bom trabalho ao se concentrar na detecção e resposta às ameaças em seu próprio ecossistema, o SOAR pode fazer muito da mesma coisa, mas também pode ser usado para ajudar a orquestrar a política de segurança e relatórios.

Se a sua resposta imediata às ameaças é eficaz, mas você precisa de um sistema que ajude na implementação geral das políticas de segurança, uma solução de SOAR pode ser uma escolha melhor do que o XDR. Implementar uma solução XDR em cima de um sistema de resposta a ameaças existente e eficaz pode exigir mais tempo do que você tem disponível, sem garantir resultados melhores do que a solução existente.