Detecção e resposta estendidas (XDR): XDR é uma arquitetura aberta de segurança cibernética que integra ferramentas e unifica as operações de segurança em todas as camadas que exigem proteção, como usuários, terminais, e-mail, aplicativos, redes, cargas de trabalho em cloud e dados. Com a XDR, as soluções de segurança que não são necessariamente projetadas para serem usadas em conjunto podem ser executadas sem problemas na prevenção de ameaças, detecção, investigação e resposta.

A XDR elimina lacunas de visibilidade entre ferramentas e camadas de proteção, permitindo que as equipes de segurança sobrecarregadas detectem e eliminem as ameaças de maneira mais rápida e eficaz e, além disso, elas podem extrair dados mais completos e contextuais para tomar melhores decisões de segurança e prevenir futuros ataques cibernéticos.

A XDR surgiu em 2018, mas a forma como os profissionais de segurança e os analistas do setor falam sobre a XDR tem evoluído rapidamente. Por exemplo, muitos especialistas de segurança descrevem a XDR como uma detecção e resposta de terminais (EDR) mais potente e que abrange todas as camadas de segurança corporativas. Atualmente, os especialistas reconhecem o potencial da XDR como muito mais do que a soma das ferramentas e funcionalidades que ela integra, destacando os benefícios como a visibilidade de ameaças de ponta a ponta, uma interface unificada e fluxos de trabalho otimizados para detecção de ameaças, investigação e respostas.

Além disso, os analistas e fornecedores classificaram as soluções XDR como nativas de XDR, que integra ferramentas de segurança somente do fornecedor da solução ou XDR aberta, que integra todas as ferramentas de segurança no ecossistema de proteção de uma organização, independentemente do fornecedor. Mas tem ficado cada vez mais claro que as equipes de segurança corporativa e os centros de operações de segurança (SOCs) esperam que até as soluções nativas de XDR sejam abertas, oferecendo flexibilidade para integrar ferramentas de segurança de terceiros que eles usam atualmente ou podem preferir usar no futuro.

Atualmente, as organizações são bombardeadas por  ameaças avançadas  (também chamadas de ameaças persistentes avançadas). Essas ameaças driblam as medidas de prevenção de terminal e permanecem observando a rede por semanas ou meses, movimentando-se, obtendo permissões, roubando dados e reunindo informações das diferentes camadas da infraestrutura de TI em preparação para um ataque em grande escala ou uma violação de dados. Muitos dos ataques cibernéticos e violações de dados mais prejudiciais e caros, os ataques de ransomware, o comprometimento de e-mails corporativos (BEC), ataques de negação de serviço distribuída (DDoS) e espionagem cibernética, são exemplos de ameaças avançadas.

As organizações se prepararam com dezenas de ferramentas e tecnologias de  segurança cibernética  para combater essas ameaças e fechar os vetores de ataque, ou métodos, que os criminosos cibernéticos usam para iniciá-los. Algumas dessas ferramentas focam em camadas específicas da infraestrutura. Outras coletam dados do log e de telemetria de diversas camadas.

Na maioria dos casos, essas ferramentas são  isoladas, elas não se comunicam entre si. Isso faz com que as equipes de segurança precisem correlacionar os alertas manualmente para diferenciar os incidentes entre falsos positivos e fazer a triagem dos incidentes de acordo com a gravidade e coordená-los manualmente para minimizar e corrigir as ameaças. De acordo com o Estudo da Organização resiliente cibernética da IBM de 2021, 32% das empresas relataram o uso de 21 a 30  ferramentas separadas de segurança para responder a cada ameaça; 13% afirmaram usar 31 ou mais ferramentas.

Como resultado, as  ameaças avançadas  exigem muito tempo para serem identificadas e contidas. O relatório de Custo de uma violação de dados da IBM de 2022 revela que uma violação de dados comum levou 277 dias para ser detectada e solucionada. Com base nessa média, uma violação ocorrida em 1º de janeiro seria contida apenas no dia 4 de outubro.

Ao quebrar os silos entre as  soluções pontuais específicas da camada, a XDR  promete às equipes de segurança e SOCs superdimensionados a visibilidade e a integração de ponta a ponta de que precisam para identificar ameaças rapidamente, responder a elas com maior agilidade e resolvê-las com urgência, além de reduzir os danos causados.

Dentro do curto período desde o seu surgimento, a XDR já está fazendo a diferença. De acordo com o relatório de Custo de uma violação de dados de 2022, as organizações que implementaram a XDR reduziram o ciclo de vida da violação de dados em 29% e reduziram os custos violação em 9% em média em comparação a outras organizações sem XDR.

A XDR  é normalmente consumida como um serviço baseado em cloud ou como uma solução software como serviço (SaaS).  Um analista de mercado, o Gartner, define a XDR como 'baseado em SaaS'. Também pode ser a principal tecnologia que orienta uma solução de detecção e resposta gerenciada (MDR) do provedor de  soluções de segurança  ou cloud.

 As soluções de segurança  de XDR podem integrar:

• Ferramentas de segurança individuais (ou soluções pontuais) como antivírus, análise de comportamento de usuário e entidade (UEBA) ou firewalls;
  
  
• Soluções de segurança específicas de camada, como EDR, plataformas de proteção de terminais (EPPs), detecção e resposta de rede (NDR) ou análise de tráfego de rede (NTA);
  
  
• Soluções que coletam dados ou coordenam fluxos de trabalho nas camadas de segurança, incluindo gerenciamento de eventos e informações de segurança (SIEM) ou orquestração de segurança, automação e resposta (SOAR).
   

Coleta de dados contínua

A XDR coleta dados de log e telemetria de todas as ferramentas segurança integradas , criando um registro eficaz continuamente atualizado de tudo o que acontece na infraestrutura, como logins (com sucesso e sem sucesso), conexões de rede e fluxos de tráfego, mensagens de e-mail e anexos, arquivos criados e salvos, processos de dispositivos e aplicativos e alterações de configuração e registro. A XDR também coleta alertas específicos gerados por vários produtos segurança. 

As soluções de XDR abertas normalmente coletam esses dados usando uma interface aberta de programação de aplicativos ou API. As soluções nativas de XDR podem requerer uma ferramenta leve de coleta de dados, ou agente, que deve ser instalada em dispositivos e aplicativos. Todos os dados coletados são normalizados e armazenados em um banco de dados ou data lake central baseado na cloud. 

Análise em tempo real e detecção de ameaças

A XDR usa algoritmos de análise avançada e machine learning para identificar padrões que indicam ameaças conhecidas ou atividades suspeitas em tempo real, à medida que elas surgem.

Para fazer isso, a XDR correlaciona dados e telemetria  nas diversas camadas de infraestrutura com dados de serviços de inteligência de ameaças, que entregam informações continuamente atualizadas, táticas novas e recentes de ameaças cibernéticas, vetores e mais. Os serviços de inteligência de ameaças podem ser proprietários (operados pelo provedor de XDR)  de terceiros ou baseados na comunidade. A maioria das soluções XDR também mapeiam dados para o MITRE ATT&CK, uma base de conhecimento global livremente acessível sobre táticas e técnicas de ameaças cibernéticas para hackers.

A análise e os algoritmos de XDR também podem fazer a própria investigação, comparando dados em tempo real com dados históricos e linhas de base estabelecidas para identificar atividades suspeitas, atividades incomuns do usuário final e qualquer coisa que possa indicar um incidente ou ameaça de segurança cibernética.  Eles também podem diferenciar os "sinais", ou ameaças legítimas, do "ruído" de falsos positivos, para que os analistas de segurança possam se concentrar nos incidentes que importam. Talvez o principal seja que os algoritmos de machine learning aprendem continuamente com os dados, para realizar a detecção de ameaças ao longo do tempo.

A XDR resume dados importantes e resultados de análises em um console de gerenciamento central que também atua como a interface com o usuário (IU) da solução. A partir do console, os membros da equipe de segurança podem obter visibilidade total sobre todos os problema de segurança em toda a empresa e iniciar investigações, respostas a ameaças e correções em qualquer ponto da infraestrutura estendida.
 

Recursos automatizados de detecção e resposta

A automação é o que confere rapidez às respostas na  XDR. Com base em regras predefinidos criadas pela equipe de segurança, ou "aprendidas" ao longo do tempo pelos algoritmos de machine learning, a XDR permite gerar respostas automatizadas que possibilitam a detecção e a resolução de ameaças, além de liberar os analistas de segurança para focarem em atividades mais importantes. A XDR pode automatizar tarefas como:

• Triagem e priorização de alertas de acordo com a gravidade;
  
  
• Desconectar ou desligar dispositivo afetados, desconectar usuários da rede, interromper processos do sistema/aplicativos/dispositivos e deixar fontes de dados off-line;
  
  
• Acionar um software antivírus ou antimalware  para fazer varredura em outros terminais na rede em busca da mesma ameaça;
  
  
• Acionar playbooks relevantes deresposta a incidentes SOAR  (fluxos de trabalho automatizados  que orquestram vários produtos de segurança em  resposta a um incidente de segurança específico).  

A XDR também pode automatizar as atividades de investigação e a correção de ameaças (consulte a próxima seção). Toda essa automação ajuda as equipes de segurança  a responder a incidentes rapidamente e a evitar ou minimizar os danos que eles causam.
 

Investigação de ameaças e correção

Depois que uma ameaça é isolada, a XDR fornece recursos que os analistas de segurança podem usar para investigar melhor a ameaça. Por exemplo, a análise forense ajuda os analistas de segurança a identificar a causa raiz de uma ameaça, identificar os diversos arquivos afetados e apontar as vulnerabilidades que o invasor descobriu para entrar e mover-se pela rede, obter acesso a credenciais de autenticação ou realizar outras atividades maliciosas.

Com essas informações, os analistas podem usar ferramentas de correção para eliminar a ameaça. A correção pode envolver:

• Destruir arquivos maliciosos e eliminá-los dos terminais, servidores e dispositivos de rede;
  
  
• Restaurar as configurações danificadas de dispositivos e aplicativos, configurações de registro, dados e arquivos de aplicativos;
  
  
• Aplicar atualizações ou patches para eliminar as vulnerabilidades que levaram ao incidente;
  
  
• Atualizar regras de detecção para evitar uma recorrência.
   

Suporte à caça de ameaças

A investigação de ameaças (também chamada de investigação de ameaças cibernéticas) é um exercício de segurança proativo no qual um analista de segurança procura na rede ameaças ainda desconhecidas ou ameaças conhecidas que ainda não foram detectadas ou corrigidas pelas ferramentas automatizadas de segurança cibernética da empresa.

Novamente, as ameaças avançadas podem ficar à espreita por meses antes de serem detectadas, preparando-se para um ataque ou uma violação em larga escala. A investigação de ameaças eficaz e oportuna pode reduzir o tempo necessário para detectar e corrigir essas ameaças e limitar ou evitar danos causados pelo ataque.

Os responsáveis pela investigação de ameaças usam uma variedade de táticas e técnicas, a maioria das quais conta com as mesmas origens de dados, as mesmas análises e os mesmos recursos de automação que o XDR usa para a detecção, a resposta e a correção de ameaças. Por exemplo, um analista que investiga ameaças pode procurar um arquivo específico, mudanças de configuração ou outro artefato com base em análises forenses ou dados do MITRE ATT&CK que descrevem os métodos de um invasor específico.

Para fornecer suporte à investigação de ameaças, o XDR disponibiliza esses recursos para analistas de segurança por meio de programação ou por meio de uma IU, para que eles possam realizar consultas de dados de procuras sob demanda, correlações com a inteligência de ameaças e outras investigações. Algumas soluções de XDR incluem ferramentas criadas especificamente para caça dr ameaças como linguagem de script simples (para automatizar tarefas comuns) e até mesmo para ferramentas de consulta com linguagem natural.