XDR: o que é, como funciona e como pode ser usado pelos MSPs?
Há alguns anos, falamos sobre detecção e resposta estendida (XDR). Apesar de ser uma expressão muito conhecida do setor, resta uma dúvida fundamental: sobre o que realmente estamos falando? De acordo com o Gartner, que definiu o termo pela primeira vez em 2020, o XDR é uma ferramenta de detecção de ameaças e resposta a incidentes específica do fornecedor que integra nativamente vários produtos de segurança em um sistema de operações de segurança consistente.
No momento, 62% dos profissionais de segurança afirmam que estão muito familiarizados com o termo XDR, em comparação com os 24% de 2020. Embora isso seja uma melhoria, 29% dos profissionais ainda se consideram pouco ou nada familiarizados com a tecnologia XDR, de acordo com um estudo recente da ESG.
Como a questão do que é XDR ainda não está clara para algumas pessoas, decidimos aprofundar o conceito. A tecnologia de detecção e resposta estendida aborda especificamente a necessidade de novos níveis de agregação, correlação e análise de telemetria de segurança para proteger uma superfície de ataque cada vez mais diversificada e lidar com o cenário em constante evolução, no qual as ameaças são cada vez mais difíceis de detectar. Integrar recursos de XDR na infraestrutura de uma organização significa que ativos e eventos de diversas origens podem ser analisados e correlacionados para definir quais atividades estão em execução. O XDR compartilha conhecimento a partir de uma plataforma de segurança única para alcançar respostas rápidas e automatizadas que reduzem a carga de trabalho da equipe de segurança.
A correlação já estava presente na primeira versão do ThreatSync da WatchGuard. Esse mecanismo baseado em nuvem analisava dados de eventos de Host Sensors e Fireboxes para identificar comportamentos maliciosos. No entanto, a antiga solução de Detecção e Resposta a Ameaças (TDR) usava apenas telemetria de endpoint para detectar arquivos maliciosos e responder a ações iniciadas na nuvem, correlacionando eventos de rede com arquivos e processos individuais no endpoint. Agora, o ThreatSync evoluiu para se tornar uma solução de XDR, integrando soluções de endpoint e segurança de rede em uma única plataforma, que pode correlacionar informações de detecção de ameaças em diferentes camadas de proteção e orquestrar a resposta das ferramentas.
Como o XDR funciona?
O XDR aumenta a segurança combinando diferentes tecnologias que geram detecções mais precisas do que quando operadas separadamente. A solução coleta e mostra detecções entre produtos para computadores, servidores e firewalls de maneira unificada. Isso fornece aos profissionais de segurança o contexto das detecções de ameaças, além de permitir que eles respondam e contenham ameaças avançadas de forma mais rápida, reduzindo significativamente o risco representado por ameaças de segurança. A inclusão desses dados em um único console na nuvem também elimina a necessidade de aprender a usar diferentes consoles. Assim, é possível detectar ameaças em dispositivos protegidos e desprotegidos usando dados entre domínios para impedir ameaças avançadas que não são visíveis no perímetro ou no endpoint.
Além disso, o uso da correlação entre domínios e eventos significa que as atividades podem ser monitoradas para produtos diferentes de segurança, o que facilita a categorização e a detecção de cenários maliciosos que parecem inofensivos isoladamente, mas se tornam indicadores de comprometimento (IoCs) quando contextualizados. Isso reduz o tempo médio de detecção (MTTD), permite a contenção rápida de possíveis impactos e limita a gravidade e o escopo dos incidentes.
O agendamento e a automação de respostas dispensam os analistas de executar tarefas repetitivas/manuais ao agir em detecções que atendem aos critérios definidos. Assim, é possível encerrar processos, excluir arquivos, isolar um endpoint ou bloquear um IP público sem a intervenção do analista.
Casos de uso e benefícios do XDR para MSPs
O uso do XDR oferece muitas vantagens para provedores de serviços gerenciados (MSPs) na proteção da segurança dos clientes. Por exemplo, a correlação entre a segurança da rede e o endpoint pode fazer toda a diferença no caso de uma ameaça persistente avançada (APT). No momento, esperamos que os arquivos sejam baixados de maneira instantânea. Para isso, os firewalls precisam permitir que arquivos desconhecidos sejam baixados enquanto são enviados para análise no sandbox. Se o arquivo for considerado malicioso, ele será correlacionado pelo XDR com um endpoint para que seja removido do dispositivo.
Da mesma forma, os recursos do XDR podem pegar dados de conexões bloqueadas no firewall e os vincular com aplicativos individuais no endpoint em processos executados em um computador que não são prejudiciais isoladamente, mas podem fazer conexões maliciosas (como navegadores ou clientes de e-mail). Isso permite que os usuários detectem novos aplicativos maliciosos ou simplesmente descubram goodware com comportamento suspeito que necessite de análise mais profunda.
Os casos de uso acima destacam como essa ferramenta pode ajudar os MSPs a protegerem as redes dos clientes. No entanto, há outros benefícios no uso do XDR para MSPs:
- Visibilidade de ameaças unificada: o XDR oferece maior precisão e acelera a detecção ao unificar dados de ameaças em uma única interface. A coleta e a visualização de detecções cruzadas com vários produtos torna os MSPs mais ágeis, pois obtêm o contexto que fornece as informações necessárias para responder e interromper ameaças avançadas de forma mais eficiente.
- Redução do tempo médio de detecção (MTTD): de acordo com dados da IBM, em 2022, as empresas levaram em média 207 dias para identificar incidentes de segurança. No entanto, as organizações com tecnologias XDR ganharam vantagens consideráveis nos tempos de identificação e resposta. As organizações que implantaram o XDR reduziram o ciclo de vida do incidente em aproximadamente um mês (29 dias) em comparação com aquelas que não implantaram a solução.
- Orquestração unificada de resposta: O XDR permite que os MSPs sejam mais eficientes oferecendo várias ações de resposta, bem como habilitando o agendamento e a automatização de resposta a ameaças em toda a rede a partir de um único console com mais rapidez. Isso reduz riscos e oferece maior precisão e velocidade, reduzindo o tempo médio de resposta. Para uma empresa, a capacidade de reduzir o tempo de detecção e mostrar agilidade nas ações de resposta pode fazer muita diferença entre responder a uma ameaça e impedir que ela cause maiores danos, ou que o ataque se espalhe e assuma controle dos sistemas da organização
- Nenhuma configuração necessária: algumas soluções XDR exigem conhecimento avançado ao instalar e configurar a ferramenta. A solução ThreatSync da WatchGuard faz parte da estrutura da Plataforma de Segurança Unificada® e oferece uma experiência de usuário unificada e intuitiva, que simplifica a adaptação e o aprendizado. Por ser composta de vários produtos e totalmente integrada, existe uma redução de custos associados à configuração e à integração das soluções.
O XDR é a solução perfeita para MSPs que administram pequenas e médias empresas, pois permite o aumento dos recursos de segurança de maneira automatizada e sem a necessidade de especialistas de cibersegurança. Essa solução melhora a visibilidade, aumenta a capacidade de detecção em situações específicas e simplifica a resposta e a correção de ataques. Descubra como a WatchGuard pode ajudar você a adotar uma abordagem de segurança baseada em XDR com a nossa solução ThreatSync.