XDR: o que é, como funciona e como é que os MSP o utilizam?

Há já alguns anos que falamos de eXtended Detection and Response (XDR), mas, apesar de ser uma palavra-chave na indústria, permanece uma questão fundamental: do que é que estamos realmente a falar? Segundo a Gartner, que definiu o termo pela primeira vez em 2020, XDR é uma ferramenta de deteção de ameaças e resposta a incidentes específica do fornecedor que integra nativamente múltiplos produtos de segurança num sistema de operações de segurança coeso.

Hoje em dia, 62% dos profissionais de segurança afirmam estar "muito familiarizados" com o termo XDR, que subiu de apenas 24% em 2020. Embora isto seja claramente uma melhoria, 29% ainda afirmam estar apenas "algo familiarizados", "pouco familiarizados" ou "nada familiarizados" com a tecnologia XDR, de acordo com um estudo recente do ESG.

Como a questão do que é o XDR ainda não é clara para alguns, decidimos aprofundar o conceito. A tecnologia de deteção e resposta alargada aborda especificamente a necessidade de novos níveis de agregação, correlação e análise de telemetria de segurança para proteger uma superfície de ataque cada vez mais diversificada e lidar com um panorama em constante evolução onde as ameaças se estão a tornar mais complexas de detetar. A integração de capacidades XDR na infraestrutura de uma organização significa que os eventos de segurança de diversas fontes e ativos podem ser analisados e correlacionados para determinar que atividades estão a ter lugar. O XDR partilha conhecimentos de uma única plataforma de segurança para respostas rápidas e automatizadas que reduzem a carga de trabalho do pessoal de segurança.

A correlação já estava presente na primeira versão do ThreatSync da Watchguard: um motor baseado na cloud que analisava dados de eventos de Host Sensores e Fireboxes para identificar comportamentos maliciosos. Contudo, a antiga solução Threat Detection and Response (TDR) só utilizava a telemetria de endpoint para detetar ficheiros maliciosos e responder a ações iniciadas na cloud, correlacionando eventos de rede com ficheiros e processos individuais no endpoint. Agora, o ThreatSync evoluiu para se tornar uma solução XDR, integrando soluções de segurança do endpoint e da rede numa única plataforma, que pode correlacionar informações de deteção de ameaças de diferentes camadas de proteção e orquestrar a resposta das ferramentas.

Como funciona o XDR?

O XDR aumenta a segurança ao combinar diferentes tecnologias que geram deteções mais precisas do que quando operam separadamente. O XDR recolhe e exibe deteções de múltiplo produtos para computadores, servidores e firewalls de uma forma unificada, o que proporciona aos profissionais de segurança o contexto das deteções de ameaças e lhes permite responder e deter mais rapidamente as ameaças avançadas, reduzindo significativamente o risco representado pelas ameaças à segurança. Ao incluir estes dados numa única consola Cloud, elimina também a necessidade de aprender a utilizar múltiplas consolas. Assim, é possível detetar ameaças tanto em dispositivos protegidos como desprotegidos, utilizando dados de múltiplo domínios para frustrar ameaças avançadas que não são visíveis no perímetro ou no ponto final.

Além disso, a utilização de correlação entre domínios e eventos significa que as atividades podem ser monitorizadas para diferentes produtos de segurança, o que facilita a categorização e deteção de cenários maliciosos que podem parecer inofensivos por si só, mas que, quando contextualizados, se tornam indicadores de compromisso (IoC), reduzindo o tempo médio até à deteção (MTTD), permitindo uma rápida contenção de potenciais impactos e limitando a gravidade e o âmbito dos incidentes.

A automatização e programação de respostas liberta os analistas de tarefas repetitivas ou manuais, atuando sobre deteções que correspondem a critérios previamente definidos. Isto torna possível terminar processos, apagar ficheiros, isolar um ponto final ou bloquear um IP público sem a necessidade de intervenção do analista.

Casos de utilização e benefícios de XDR para os MSP

A utilização de XDR proporciona grandes vantagens aos prestadores de serviços geridos (MSP) ao proteger a segurança dos seus clientes. Por exemplo, a correlação entre a segurança da rede e o endpoint pode fazer toda a diferença no caso de uma ameaça persistente avançada (APT). Hoje em dia esperamos que os ficheiros sejam descarregados quase instantaneamente, pelo que as firewalls têm de permitir que ficheiros desconhecidos sejam descarregados enquanto os enviam para a sandbox para análise. Uma vez analisado, se o ficheiro for considerado malicioso, o XDR correlaciona-o com um endpoint para o remover do dispositivo.

Do mesmo modo, para processos em execução num computador que não sejam prejudiciais per si, mas que possam fazer ligações maliciosas, tais como browsers ou clientes de email, as capacidades XDR podem pegar em dados de ligações bloqueadas na firewall e ligá-los a aplicações individuais no endpoint. Isto permite aos utilizadores detetar novas aplicações maliciosas ou simplesmente descobrir goodware com comportamento suspeito que requer uma análise mais aprofundada.

Os casos de utilização acima referidos destacam como esta ferramenta pode ajudar os MSP a proteger as redes dos seus clientes. No entanto, existem outros benefícios da utilização do XDR que os MSP podem obter:

• Visibilidade unificada da ameaça:

O XDR proporciona maior precisão e acelera a deteção através da unificação dos dados de ameaças num único interface. A recolha e visualização de múltiplas deteções com vários produtos torna os MSP mais ágeis, uma vez que obtêm o contexto em torno das deteções que fornecem a informação de que necessitam para responder e deter ameaças avançadas de forma mais eficiente.

• Redução do tempo médio de deteção (MTTD): 

Segundo dados da IBM, em 2022, as empresas levaram em média 207 dias para identificar um incidente de segurança. No entanto, as organizações com tecnologias XDR ganharam vantagens consideráveis nos tempos de identificação e resposta. As organizações que utilizaram XDR encurtaram o ciclo de vida do incidente em aproximadamente um mês (29 dias), em média, em comparação com as organizações que não utilizaram XDR.

• Orquestração unificada de resposta a ameaças: 

O XDR permite aos MSP serem mais eficientes ao oferecer uma vasta gama de ações de resposta, permitindo-lhes programar e automatizar a resposta a ameaças em toda a rede a partir de uma única consola mais rapidamente, o que reduz o risco e proporciona maior precisão e velocidade de resposta ao reduzir o tempo de resposta médio a tempo (MTTR). Para qualquer empresa, ser capaz de reduzir os tempos de deteção e mostrar agilidade nas ações de resposta pode fazer a diferença entre responder a tempo a uma ameaça e evitar que esta cause maiores danos ou que o ataque se propague e assuma o controlo dos sistemas da organização.

• Não é necessária qualquer configuração: 

Algumas soluções XDR requerem conhecimentos avançados ao instalar, configurar e configurar a ferramenta. A solução XDR, WatchGuard ThreatSync, faz parte da estrutura da Plataforma de Segurança Unificada, oferecendo uma experiência de utilizador unificada e intuitiva que simplifica a adaptação e a aprendizagem, e como é multi-produto e totalmente integrada, isto reduz os custos associados à configuração e integração de soluções.

O XDR é a solução perfeita para os MSP que gerem empresas de média dimensão, permitindo-lhes aumentar as capacidades de segurança de forma automatizada e sem a necessidade de especialistas em cibersegurança. Melhora a visibilidade, aumenta as capacidades de detecção em cenários específicos, e simplifica a resposta a ataques e a sua remediação. Descubra como a WatchGuard o pode ajudar a adotar uma abordagem de segurança baseada em XDR através da nossa solução ThreatSync.