À medida que ransomware, ataques sem arquivos e phishing continuam a crescer, os líderes de TI e segurança estão adotando uma nova abordagem para combater ameaças avançadas: Detecção e Resposta Estendida (XDR).
Embora haja muito buzz dos líderes do setor, da comunidade de analistas e do ecossistema de fornecedores, o XDR ainda é um conceito em evolução e, como tal, surgem muitas questões válidas que podem parecer surpreendentemente rudimentares:
“O que significa XDR?”
“Como o XDR difere das tecnologias e conceitos que vieram antes dele?”
“Quais são os benefícios do XDR?”
Perguntas simples, mas importantes para ajudar a entender o conceito.
Como um dos progenitores da XDR, na Sophos somos frequentemente solicitados a esclarecer o assunto. Continue lendo para ver nossa análise de algumas das perguntas mais comuns sobre o XDR.
Na verdade, existem três interpretações comuns de XDR em uso.
Analistas como Gartner e Forrester o descrevem como “Detecção e Resposta Estendida”. “Estendido” significa que seu escopo vai além do terminal para combinar dados de segurança de várias fontes.
Outra interpretação é que o “X” significa detecção e resposta em “camadas cruzadas” ou “produto cruzado”; o ponto aqui é que os dados são combinados de vários produtos ou camadas de segurança.
A terceira interpretação envolve olhar para “X” como um tipo de variável matemática que substitui quaisquer fontes de dados que você possa conectar à equação (por exemplo, endpoint, rede, nuvem, mensagens, etc.).
O que é XDR?
XDR é um produto? Uma plataforma? Um serviço? A resposta é sim.
O XDR pode ser empacotado e entregue como uma ferramenta ou conjunto de ferramentas que você e sua equipe implantam, administram e operam, ou como um serviço gerenciado fornecido por uma equipe de especialistas usando uma pilha de tecnologia proprietária ou com curadoria.
Pode até ser implementado em um modelo híbrido no qual algumas funções são gerenciadas por um centro de operações de segurança interno (SOC), enquanto outras são suportadas por uma equipe externa de especialistas. Portanto, para simplificar, é mais fácil pensar na XDR como uma abordagem que pode assumir várias formas.
Com isso em mente, uma definição simples de XDR seria:
Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que as soluções pontuais isoladas não conseguem.
Se você já segue o Sophos há algum tempo, essa definição pode soar familiar e por um bom motivo. Um dos pontos fortes que definem os produtos Sophos nos últimos anos tem sido a Segurança Sincronizada: um conjunto de recursos que permite que produtos de endpoint, rede, celular, Wi-Fi, e-mail e criptografia compartilhem informações em tempo real e respondam automaticamente a incidentes .
Um exemplo de segurança sincronizada é o Security Heartbeat ™, um recurso reconhecido no Gartner 2020 Magic Quadrant para firewalls de rede que permite que o XG Firewall e endpoints protegidos pelo Intercept X conversem entre si para evitar que ameaças se espalhem dentro ou além de uma rede.
XDR representa a evolução dos recursos de segurança sincronizada para a categoria de mercado de rápido crescimento que é hoje.
Qual é a diferença entre XDR e SIEM ou SOAR?
XDR é mais um acrônimo a ser adicionado à verdadeira sopa de letras da terminologia de segurança. A boa notícia é que, se você já estiver familiarizado com esses termos, não será difícil ver onde a XDR melhora a fórmula.
O XDR compartilha muitas semelhanças funcionais com as ferramentas SIEM (informações de segurança e gerenciamento de eventos) e SOAR (orquestração, automação e resposta de segurança). Alguns até se referem à XDR como uma espécie de sucessor espiritual do SIEM e do SOAR.
As principais diferenças, no entanto, se resumem à intenção principal das ferramentas SIEM e SOAR e ao foco do XDR na detecção e resposta a ameaças. A propriedade fundamental que torna as ferramentas SIEM valiosas é sua capacidade de coletar e analisar volumes surpreendentes de eventos de log e outros dados em fontes distintas.
Novamente, isso é funcionalmente semelhante ao que é obtido por meio do XDR. Mas, enquanto o SIEM é principalmente uma ferramenta de pesquisa – exigindo que os usuários façam várias perguntas (muitas vezes de maneiras diferentes) e reunindo as respostas resultantes para chegar a uma conclusão – o XDR é capaz de responder automaticamente a ameaças ou, nos casos em que a resposta automática não pode ser realizadas, acelerando investigações e caças de ameaças lideradas por analistas para melhorar os tempos de resposta.
Da mesma forma, embora as plataformas SOAR possam adicionar assistência à máquina para operadores de segurança humana por meio da criação de manuais (ou seja, fluxos lógicos que podem acionar ações com script quando certas condições são atendidas), elas não criarão esses processos ou fluxos de trabalho para você.
Portanto, embora o SOAR possa ajudar no gerenciamento de alertas, ele requer investimentos iniciais significativos em implementação, bem como manutenção contínua (ajuste) realizada por analistas de segurança experientes para construir um gerenciamento de casos eficaz e manuais de resposta a incidentes.
Uma abordagem XDR pode ser alcançada por meio do uso de um SIEM ou SOAR ou alguma combinação dos dois? Certamente. Mas isso exigiria investimentos significativos em ferramentas, pessoas e processos para preencher as lacunas de funcionalidade.
O que vem a seguir para o Sophos XDR?
Nas próximas semanas, compartilharemos novidades sobre os próximos estágios da Sophos XDR. Neste meio tempo, experimentar um dos principais componentes de XDR, detecção do ponto final e resposta (EDR), com um ensaio livre de Intercept X .
Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 de março de 2020.
O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a um propósito específico.
GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e / ou suas afiliadas nos Estados Unidos e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.
Por Eric Kokonas
Conheça outros produtos Sophos que a Konfido pode lhe oferecer clicando aqui
O site da Konfido utiliza cookies e outras tecnologias parecidas/semelhantes para melhorar a sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições. Você também pode escolher os tipos de cookies que deseja clicando em "Definições".
Leia nossa política de cookies
Sophos XDR – Conheça agora!
À medida que ransomware, ataques sem arquivos e phishing continuam a crescer, os líderes de TI e segurança estão adotando uma nova abordagem para combater ameaças avançadas: Detecção e Resposta Estendida (XDR).
Embora haja muito buzz dos líderes do setor, da comunidade de analistas e do ecossistema de fornecedores, o XDR ainda é um conceito em evolução e, como tal, surgem muitas questões válidas que podem parecer surpreendentemente rudimentares:
Perguntas simples, mas importantes para ajudar a entender o conceito.
Como um dos progenitores da XDR, na Sophos somos frequentemente solicitados a esclarecer o assunto. Continue lendo para ver nossa análise de algumas das perguntas mais comuns sobre o XDR.
E, para obter a descrição do Gartner de XDR, certifique-se de baixar uma cópia de cortesia de seu relatório “ Innovation Insight for Extended Detection and Response ”.
O que significa XDR?
Na verdade, existem três interpretações comuns de XDR em uso.
Analistas como Gartner e Forrester o descrevem como “Detecção e Resposta Estendida”. “Estendido” significa que seu escopo vai além do terminal para combinar dados de segurança de várias fontes.
Outra interpretação é que o “X” significa detecção e resposta em “camadas cruzadas” ou “produto cruzado”; o ponto aqui é que os dados são combinados de vários produtos ou camadas de segurança.
A terceira interpretação envolve olhar para “X” como um tipo de variável matemática que substitui quaisquer fontes de dados que você possa conectar à equação (por exemplo, endpoint, rede, nuvem, mensagens, etc.).
O que é XDR?
XDR é um produto? Uma plataforma? Um serviço? A resposta é sim.
O XDR pode ser empacotado e entregue como uma ferramenta ou conjunto de ferramentas que você e sua equipe implantam, administram e operam, ou como um serviço gerenciado fornecido por uma equipe de especialistas usando uma pilha de tecnologia proprietária ou com curadoria.
Pode até ser implementado em um modelo híbrido no qual algumas funções são gerenciadas por um centro de operações de segurança interno (SOC), enquanto outras são suportadas por uma equipe externa de especialistas. Portanto, para simplificar, é mais fácil pensar na XDR como uma abordagem que pode assumir várias formas.
Com isso em mente, uma definição simples de XDR seria:
Uma abordagem que unifica as informações de vários produtos de segurança para automatizar e acelerar a detecção, investigação e resposta de ameaças de maneiras que as soluções pontuais isoladas não conseguem.
Se você já segue o Sophos há algum tempo, essa definição pode soar familiar e por um bom motivo. Um dos pontos fortes que definem os produtos Sophos nos últimos anos tem sido a Segurança Sincronizada: um conjunto de recursos que permite que produtos de endpoint, rede, celular, Wi-Fi, e-mail e criptografia compartilhem informações em tempo real e respondam automaticamente a incidentes .
Um exemplo de segurança sincronizada é o Security Heartbeat ™, um recurso reconhecido no Gartner 2020 Magic Quadrant para firewalls de rede que permite que o XG Firewall e endpoints protegidos pelo Intercept X conversem entre si para evitar que ameaças se espalhem dentro ou além de uma rede.
XDR representa a evolução dos recursos de segurança sincronizada para a categoria de mercado de rápido crescimento que é hoje.
Qual é a diferença entre XDR e SIEM ou SOAR?
XDR é mais um acrônimo a ser adicionado à verdadeira sopa de letras da terminologia de segurança. A boa notícia é que, se você já estiver familiarizado com esses termos, não será difícil ver onde a XDR melhora a fórmula.
O XDR compartilha muitas semelhanças funcionais com as ferramentas SIEM (informações de segurança e gerenciamento de eventos) e SOAR (orquestração, automação e resposta de segurança). Alguns até se referem à XDR como uma espécie de sucessor espiritual do SIEM e do SOAR.
As principais diferenças, no entanto, se resumem à intenção principal das ferramentas SIEM e SOAR e ao foco do XDR na detecção e resposta a ameaças. A propriedade fundamental que torna as ferramentas SIEM valiosas é sua capacidade de coletar e analisar volumes surpreendentes de eventos de log e outros dados em fontes distintas.
Novamente, isso é funcionalmente semelhante ao que é obtido por meio do XDR. Mas, enquanto o SIEM é principalmente uma ferramenta de pesquisa – exigindo que os usuários façam várias perguntas (muitas vezes de maneiras diferentes) e reunindo as respostas resultantes para chegar a uma conclusão – o XDR é capaz de responder automaticamente a ameaças ou, nos casos em que a resposta automática não pode ser realizadas, acelerando investigações e caças de ameaças lideradas por analistas para melhorar os tempos de resposta.
Da mesma forma, embora as plataformas SOAR possam adicionar assistência à máquina para operadores de segurança humana por meio da criação de manuais (ou seja, fluxos lógicos que podem acionar ações com script quando certas condições são atendidas), elas não criarão esses processos ou fluxos de trabalho para você.
Portanto, embora o SOAR possa ajudar no gerenciamento de alertas, ele requer investimentos iniciais significativos em implementação, bem como manutenção contínua (ajuste) realizada por analistas de segurança experientes para construir um gerenciamento de casos eficaz e manuais de resposta a incidentes.
Uma abordagem XDR pode ser alcançada por meio do uso de um SIEM ou SOAR ou alguma combinação dos dois? Certamente. Mas isso exigiria investimentos significativos em ferramentas, pessoas e processos para preencher as lacunas de funcionalidade.
O que vem a seguir para o Sophos XDR?
Nas próximas semanas, compartilharemos novidades sobre os próximos estágios da Sophos XDR. Neste meio tempo, experimentar um dos principais componentes de XDR, detecção do ponto final e resposta (EDR), com um ensaio livre de Intercept X .
Gartner Innovation Insight for Extended Detection and Response, Peter Firstbrook, Craig Lawson, 19 de março de 2020.
O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a um propósito específico.
GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e / ou suas afiliadas nos Estados Unidos e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.
Por Eric Kokonas
Conheça outros produtos Sophos que a Konfido pode lhe oferecer clicando aqui
Procurar no site
Categorias