O que é XDR e como isso pode beneficiar sua segurança?

Shutterstock / Gorodenkoff

A XDR está esperando nos bastidores há algum tempo, mas seu momento pode ter chegado. Como essa nova reviravolta em uma estratégia antiga pode ajudar na sua segurança cibernética? Aqui está nosso guia rápido.

XDR atinge massa crítica

Parece que algumas coisas demoram um pouco para ganhar força. Tem que haver um período de tempo para que a ideia se aloje na consciência coletiva e comece a ter algum domínio nas decisões que envolvem segurança, orçamentos ou ambos. Se o conceito for mais uma estratégia ou iniciativa do que um produto, pode levar mais tempo para que a ideia ganhe massa crítica. Deve haver um número suficiente de pessoas falando sobre isso, implementando-o e, eventualmente, recomendando-o para que ganhe impulso no mercado.

Um exemplo disso é a rede de confiança zero. Foi originalmente debatido em um Ph.D. tese em 1994 de Stephen Paul Marsh. Quase 16 anos depois, John Kindervag trouxe-o para fora do reino da academia e propôs uma maneira prática de criar tal rede, e um ponto de vista e mentalidade para acompanhá-la. É essa mudança de base no pensamento — e na aceitação — que às vezes leva tempo para acompanhar a inovação prática.

Hoje, as redes de confiança zero estão sendo discutidas em todos os lugares e são recomendadas pelo National Cyber ​​Security Center e pelo National Institute of Standards and Technology.

Um XDR de gravação lenta semelhante, ou eXtended Detection and Response, parece que está chegando ao seu momento. XDR é melhor considerado como uma iniciativa ou estratégia que pode ser implementada usando uma combinação de arquitetura de rede e um pacote de tecnologias integradas.

A visão XDR

Uma implementação XDR requer a preparação de uma coleção de produtos de segurança e arquiteturas de rede para que eles interajam de forma cooperativa. O objetivo é evitar ataques cibernéticos bem-sucedidos, detectando ataques em andamento e fornecendo uma resposta automática a esses ataques.

A definição de XDR ainda é fluida. Diferentes fornecedores tendem a distorcer sua definição de XDR para se parecer com — ou centrar-se em — as tecnologias e produtos que eles oferecem tradicionalmente, que entendem completamente e são versados ​​na entrega. No entanto, é provável que uma implementação de XDR inclua tecnologias que fornecem ou tratam destes pontos:

• Segurança de endpoint, em seu sentido mais amplo. Além de endpoints, como PCs e laptops corporativos, também inclui servidores físicos e virtuais — no local ou em data centers — e servidores virtuais na nuvem.
• Proteção para ameaças comumente usadas vetores de entrega, como e-mail comercial e sites e portais corporativos.
• Isolamento automático de arquivos e ameaças e sandboxing.
• Inteligência de ameaças. Isso fornece análises, relatórios e alertas.

O princípio básico é que a integração da tecnologia e análises avançadas irá acelerar drasticamente a detecção e resposta a ameaças. O XDR deve detectar ataques lowkey e de longo prazo tão prontamente quanto detecta malware e vírus. Muitos ataques cibernéticos incorporam longos períodos de acesso remoto secreto. Os agentes de ameaças usam esse tempo para mapear a rede para garantir o máximo impacto de seu ataque de ransomware ou para buscar dados importantes que desejam exfiltrar.

Ameaças persistentes avançadas que empregam observação de longo prazo também devem ser detectadas por um sistema XDR eficaz. A análise e o monitoramento detectarão atividades, padrões de comportamento e outros sinais de alerta que seriam perdidos pelas técnicas de proteção tradicionais.

Ataques cibernéticos sofisticados seguem um processo linear, denominado cadeia de destruição — um termo militar — que descreve a execução em fases do ataque.

• Reconhecimento: Encontrar uma vulnerabilidade por varredura de portas, sondagem de defesas, coleta de informações úteis de outras violações de dados ou engenharia social.
• Armamento: Construção ou selecionando uma carga maliciosa que pode ser entregue explorando uma vulnerabilidade identificada.
• Entrega: Entrega de um pacote de software como arma. Isso pode ser por meio de um ataque de phishing. Normalmente, será um trojan de acesso remoto ou outro malware que fornece aos agentes da ameaça acesso secreto à sua rede.
• Exploração: obter acesso à rede comprometida e realizar reconhecimento adicional ou executar ações como escalonamento de privilégios.
• Instalação: Instalação da carga maliciosa do ataque. Pode ser ransomware, por exemplo.
• Comando e controle (C2): Estabelece uma linha de comunicação entre o malware e os servidores de controle e comando remoto do agente da ameaça. Eles aceitam informações do malware e enviam instruções, atualizações e outras cargas úteis para o malware.
• Ações: os atores da ameaça executam o ataque e sua rede é criptografada, excluída ou danificada de outra forma.

A promessa ou visão do XDR é vincular rigidamente os controles e defesas de segurança às operações de segurança — o centro de operações de segurança, seja modesto ou sofisticado — em uma solução integrada ponta a ponta que pode detectar o diferentes fases de uma cadeia de destruição.

Como implantar XDR

Você não pode simplesmente sair e comprar XDR, não mais do que pode sair e comprar alguma segurança cibernética. Em ambos os casos, você pode encontrar fornecedores que o ajudarão a planejar a migração lenta para XDR e aconselhar ou fornecer alguns dos sistemas de que você precisa para implementá-la. Como não há lojas completas para XDR, APIs abertas, padrões abertos da indústria e a promoção de ecossistemas de usuários e parceiros são essenciais para a sustentabilidade da XDR como solução. Fornecedores e grupos de interesse estão trabalhando muito nisso.

Muito parecido com uma rede de confiança zero, um sistema XDR é algo que pode ser integrado desde o início se você estiver gerenciando um site novo e começando do zero. Sem esse luxo, você precisa planejar como vai colocá-lo em fase. Isso envolve a identificação de quais ferramentas e sistemas existentes podem ser substituídos ou atualizados para aqueles com recursos de XDR.

Isso permitirá a identificação de fases com base na vida útil restante dos componentes identificados. Saber quando esses componentes serão substituídos ou atualizados fornece um conjunto de pontos no tempo. Alguns ficarão isolados, outros podem ser levados um pouco adiante ou atrasados ​​por um curto período para agrupá-los em fases lógicas e gerenciáveis.

Quanto maior a organização, maior será o desafio de implantar e convencer o C-suite de que é uma mudança e despesa justificada. Além disso, as empresas de grande escala provavelmente estarão em posição de conceber ou comissionar seu próprio equivalente integrado de ponta a ponta a uma implementação de XDR construída a partir de aplicativos prontos para uso. Por esse motivo, o XDR é mais atraente para empresas de nível superior, pequenas e médias empresas.

Um conjunto de características de amadurecimento

Embora o XDR tenha ganhado destaque e muitos dos grandes jogadores como Fortinet, Cisco e McAfee tenham ofertas de XDR, ainda é uma nova abordagem para o problema de detecção de ameaças, relatórios e gerenciamento automatizado. Existem diferentes interpretações do que é e do que não é XDR. Não é de surpreender que eles tendam a favorecer as tecnologias e a experiência de produto de cada fornecedor.

Você deve conversar com os fornecedores de XDR, mas também falar com seus atuais parceiros de segurança estratégica e perguntar a eles sobre a XDR e qual é o plano de jogo deles para este espaço.

Dê uma boa olhada em seus sistemas atuais de detecção e resposta a ameaças. O que funciona, o que não funciona e o que pode ser melhorado? Talvez o conjunto de próxima geração de suas ferramentas atuais de seus fornecedores existentes seja mais adequado para você.

Se XDR é o caminho a seguir para sua organização, comece o exercício de planejamento para a introdução em fases e envolva todas as partes interessadas — incluindo suas equipes operacionais de segurança e TI.