O que é detecção e resposta estendidas (XDR)?

Detecção e resposta estendida, ou XDR, é uma arquitetura de cibersegurança aberta que integra ferramentas de segurança e unifica operações de segurança em todas as camadas de segurança — usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho na nuvem e dados.Com XDR, soluções de segurança que não são necessariamente projetadas para trabalhar juntas podem interoperar sem dificuldades na prevenção, detecção, investigação e resposta a ameaças.

O XDR elimina lacunas de visibilidade entre ferramentas e camadas de segurança, permitindo que equipes de segurança sobrecarregadas detectem e resolvam ameaças de forma mais rápida e eficiente, capturando dados contextuais mais completos para tomar melhores decisões de segurança e prevenir futuros ataques cibernéticos.

O XDR foi definido pela primeira vez em 2018, mas a maneira como profissionais de segurança e analistas do setor falam sobre XDR tem evoluído rapidamente desde então. Por exemplo, muitos especialistas em segurança inicialmente descrevem o XDR como uma versão turbinada de EDR (detecção e resposta de endpoint), expandida para abranger todas as camadas de segurança da empresa.No entanto, hoje os especialistas veem o potencial do XDR como muito mais do que a soma das ferramentas e funcionalidades que ele integra, enfatizando benefícios como visibilidade de ameaças de ponta a ponta, uma interface unificada e fluxos de trabalho otimizados para detecção, investigação e resposta a ameaças.

Analistas e fornecedores têm categorizado as soluções XDR como XDR nativo, que integra ferramentas de segurança apenas do fornecedor da solução, ou XDR aberto, que integra todas as ferramentas de segurança no ecossistema de segurança de uma organização, independentemente do fornecedor. Mas está se tornando cada vez mais claro que equipes de segurança empresarial e centros de operações de segurança (SOCs) esperam que mesmo as soluções XDR nativas sejam abertas, proporcionando a flexibilidade para integrar ferramentas de segurança de terceiros que usam atualmente ou que podem preferir usar no futuro.

Hoje, as organizações são bombardeadas por ameaças avançadas (também chamadas de ameaças persistentes avançadas). Essas ameaças passam despercebidas pelas medidas de prevenção de endpoints e permanecem na rede por semanas ou meses — migrando, ganhando permissões, roubando dados e coletando informações das diferentes camadas da infraestrutura de TI em preparação para um ataque em larga escala ou violação de dados. Muitos dos ataques cibernéticos e violações de dados mais danosos e caros — ataques de ransomware, comprometimento de e-mail comercial (BEC), ataques de distributed denial-of-service (DDoS), espionagem cibernética — são exemplos de ameaças avançadas.

As organizações se armaram com várias ferramentas e tecnologias de cibersegurança para combater essas ameaças e fechar os vetores de ataque, ou métodos, que os cibercriminosos usam para lançá-las. Algumas dessas ferramentas se concentram em camadas específicas da infraestrutura; outras coletam dados de log e telemetria em várias camadas.

Na maioria dos casos, essas ferramentas são isoladas — não se comunicam entre si. Isso deixa as equipes de segurança para correlacionar os alertas manualmente para separar os incidentes reais dos falsos positivos e priorizar os incidentes de acordo com a gravidade — e coordená-los manualmente para mitigar e remediar ameaças. De acordo com o estudo da IBM sobre organizações que possuem resiliência cibernética de 2021, 32% das organizações relataram usar de 21 a 30 ferramentas de segurança individuais em resposta a cada ameaça; 13% relataram usar 31 ou mais ferramentas.

Como resultado, as ameaças avançadas demoram muito para serem identificadas e contidas.O relatório de 2022 da IBM sobre o custo de uma violação de dados revela que a violação de dados média levou 277 dias para ser detectada e resolvida. Com base nessa média, uma violação que ocorreu em 1º de janeiro não seria contida até 4 de outubro.

Ao quebrar os silos entre soluções pontuais específicas de camada, o XDR promete às equipes de segurança sobrecarregadas e SOCs a visibilidade de ponta a ponta e a integração necessárias para identificar ameaças mais rapidamente, responder a elas mais rapidamente e resolvê-las mais rapidamente — e minimizar os danos que causam.

Em um período relativamente curto desde sua introdução, o XDR está fazendo a diferença. De acordo com o relatório de custo de uma violação de dados de 2022 da IBM, as organizações que implementaram XDR reduziram o ciclo de vida das violações de dados em 29 dias e diminuíram os custos de violação em 9% em média, comparadas às organizações sem XDR.

O XDR é tipicamente consumido como uma solução baseada em nuvem ou software como serviço (SaaS); um analista do setor, Gartner, define XDR como "baseado em SaaS". Também pode ser a tecnologia central que impulsiona a oferta de detecção e resposta gerenciada (MDR) de um provedor de segurança ou nuvem.

As soluções de segurança XDR podem integrar:

• Ferramentas de segurança individuais (ou soluções pontuais) como antivírus, análise de comportamento de usuários e entidades (UEBA) ou firewalls;
  
  
• Soluções de segurança específicas de camada como EDR, plataformas de proteção de endpoints (EPPs), detecção e resposta de rede (NDR) ou análise de tráfego de rede (NTA);
  
  
• Soluções que coletam dados ou coordenam fluxos de trabalho através de camadas de segurança, incluindo gerenciamento de informações e eventos de segurança (SIEM) ou orquestração, automação e resposta de segurança (SOAR).
  

Coleta contínua de dados

O XDR coleta dados de log e telemetria de todas as ferramentas de segurança integradas, criando um registro continuamente atualizado de tudo o que acontece na infraestrutura - logins (bem-sucedidos e malsucedidos), conexões de rede e fluxos de tráfego, mensagens de e-mail e anexos, arquivos criados e salvos, processos de aplicações e dispositivos, mudanças de configuração e registro. O XDR também coleta alertas específicos gerados pelos vários produtos de segurança.

As soluções abertas de XDR normalmente coletam esses dados usando uma interface de programação de aplicativos aberta ou API (Soluções XDR nativas podem exigir uma ferramenta leve de coleta de dados, ou agente, instalada em dispositivos e aplicações.)Todos os dados coletados são normalizados e armazenados em um banco de dados central baseado em nuvem ou em um data lake.

Análise em tempo real e detecção de ameaças

O XDR usa análises avançadas e algoritmos de aprendizado de máquina para identificar padrões que indicam ameaças conhecidas ou atividades suspeitas em tempo real, conforme elas ocorrem.

Para fazer isso, o XDR correlaciona dados e telemetria através das várias camadas da infraestrutura com dados de serviços de inteligência de ameaças, que fornecem informações continuamente atualizadas sobre novas táticas, vetores e muito mais sobre ameaças cibernéticas.Os serviços de inteligência de ameaças podem ser proprietários (operados pelo provedor de XDR), de terceiros ou baseados na comunidade. A maioria das soluções XDR também mapeia dados para MITRE ATT&CK, uma base de conhecimento global acessível e sem custo sobre táticas e técnicas de ameaças cibernéticas.

Os algoritmos de análise e aprendizado de máquina do XDR também podem fazer suas próprias investigações, comparando dados em tempo real com dados históricos e linhas de base estabelecidas para identificar atividades suspeitas, comportamentos aberrantes de usuários finais e qualquer coisa que possa indicar um incidente ou ameaça de cibersegurança. Eles também podem separar os "sinais", ou ameaças legítimas, do "ruído" dos falsos positivos, para que os analistas de segurança possam se concentrar nos incidentes que importam. Talvez o mais importante, os algoritmos de aprendizado de máquina aprendem continuamente com os dados, melhorando a detecção de ameaças ao longo do tempo.

O XDR resume dados importantes e resultados analíticos em um console de gerenciamento central que também serve como a interface do usuário (IU) da solução. A partir do console, os membros da equipe de segurança podem obter visibilidade completa de todos os problemas de segurança, em toda a empresa, e iniciar investigações, respostas a ameaças e remediações em qualquer lugar da infraestrutura estendida.

Recursos automatizados de detecção e resposta

A automação é o que coloca a resposta rápida no XDR. Com base em regras predefinidas estabelecidas pela equipe de segurança — ou "aprendidas" ao longo do tempo por algoritmos de aprendizado de máquina — o XDR possibilita respostas automatizadas que aceleram a detecção e a resolução de ameaças, permitindo que os analistas de segurança se dediquem a trabalhos mais importantes. O XDR pode automatizar tarefas como:

• Triagem e priorização de alertas de acordo com a gravidade;
  
  
• Desconectar ou desligar dispositivos impactados, desconectar usuários da rede, interromper processos de sistema/aplicação/dispositivo e retirar fontes de dados do ar;
  
  
• Iniciar software antivírus/anti-malware para escanear outros endpoints na rede para a mesma ameaça;
  
  
• Acionar playbooks de resposta a incidentes SOAR relevantes (fluxos de trabalho automatizados que orquestram vários produtos de segurança em resposta a um incidente de segurança específico).

XDR também pode automatizar atividades de investigação e remediação de ameaças (veja a próxima seção). A automação proporciona às equipes de segurança uma resposta mais rápida aos incidentes, prevenindo ou minimizando os danos causados.

Investigação e remediação de ameaças

Uma vez que uma ameaça de segurança é isolada, as plataformas XDR fornecem recursos que os analistas de segurança podem usar para investigar a ameaça mais a fundo. Por exemplo, a análise forense e os relatórios de "rastreamento" ajudam os analistas de segurança a identificar a causa raiz de uma ameaça, identificar os vários arquivos afetados e identificar as vulnerabilidades que o invasor explorou para entrar e se mover pela rede, obter acesso a credenciais de autenticação ou executar outras atividades maliciosas.

Armados com essa informação, os analistas podem coordenar ferramentas de remediação para eliminar a ameaça.A remediação pode envolver:

• Destruir arquivos maliciosos e removê-los dos endpoints, servidores e dispositivos de rede;
  
  
• Restaurar configurações de dispositivos e aplicações danificadas, configurações de registro, dados e arquivos de aplicações;
  
  
• Aplicar atualizações ou patches para eliminar vulnerabilidades que levaram ao incidente;
  
  
• Atualizar regras de detecção para prevenir recorrências.
  

Suporte para caça a ameaças

Caça a ameaças (também chamada de caça às ameaças cibernéticas) é um exercício de segurança proativo em que um analista de segurança busca na rede ameaças ainda desconhecidas ou conhecidas, mas que ainda não foram detectadas ou remediadas pelas ferramentas automatizadas de cibersegurança da organização.

Ameaças avançadas podem se esconder por meses antes de serem detectadas, preparando-se para um ataque ou violação em grande escala. A caça às ameaças eficaz e oportuna pode reduzir o tempo necessário para encontrar e remediar essas ameaças, o que pode limitar ou prevenir danos do ataque.

Caçadores de ameaças usam uma variedade de táticas e técnicas que dependem das mesmas fontes de dados, análises e recursos de automação que o XDR usa para detecção, resposta e remediação de ameaças. Por exemplo, um caçador de ameaças pode querer procurar um arquivo específico, mudança de configuração ou outro artefato com base em análises forenses ou em dados MITRE ATT&CK descrevendo os métodos de um atacante específico.

Para apoiar esses esforços, o XDR disponibiliza seus recursos de análise e automação para analistas de segurança através de meios guiados por IU ou programáticos, para que possam realizar consultas ad-hoc de dados, correlações com inteligência de ameaças e outras investigações. Algumas soluções XDR incluem ferramentas criadas especificamente para caça a ameaças, como linguagens de script simples (para automatizar tarefas comuns) e até ferramentas de consulta em linguagem natural.