XDR será o principal recurso do SOC do futuro

A capacidade de se concentrar nos dados é apenas uma das principais capacidades de que o SOC do futuro precisa para ser eficiente e eficaz. Mas há mais do que isso. À medida que os atacantes usam táticas, técnicas e procedimentos (TTPs) mais complexos para contornar e explorar com sucesso os controles de segurança tradicionais, as organizações precisam de novas abordagens para proteger um número crescente de ativos digitais vulneráveis ​​dentro e fora do perímetro da rede tradicional, além de medidas de segurança proativas e unificadas. Em resumo, os SOCs precisam de uma plataforma que reúna de maneira inteligente todos os dados de segurança relevantes. É nesse contexto que a Detecção e Resposta Estendida (XDR) ganha relevância.

As definições iniciais de XDR descrevem-no como uma solução construída a partir de soluções EDR, onde “X” é simplesmente uma “extensão” ou “próxima geração” de EDR. Mas hoje compreende-se XDR como uma abordagem holística e arquitetônica, que orquestra ferramentas de diferentes fornecedores; sistemas que protegem em vários pontos de aplicação nas áreas de superfície de ataque; tecnologias de segurança baseadas na nuvem e on premise.  

O XDR permite que uma empresa vá além dos controles típicos de detecção, fornecendo uma visão holística e mais simples das ameaças à toda a infraestrutura de TIC. Fornece suporte para uma ampla gama de responsabilidades de segurança de rede e também pode ser adotado para ajudar no suporte a casos de uso específicos, dependendo da maturidade da equipe de segurança. Para isso, ingere e destila vários fluxos de detecção e monitoramento de ameaças, investigação e resposta a incidentes.

O desafio é que, hoje, as organizações mantêm mais de 45 ferramentas de segurança diferentes que, em sua maioria, não se comunicam, além de equipes que não trabalham juntas. Uma realidade operacional que dificulta encarar o XDR como uma solução a mais nesse quebra-cabeças. “Se definirmos o XDR como uma solução, os SOCs não poderão alcançar seu objetivo porque, como solução, o XDR não pode ser uma abordagem holística”, argumentaMarc Solomon, diretor de marketing da ThreatQuotient.

Em contrapartida, encarar o XDR como arquitetura pressupõe ter TODAS as ferramentas e TODAS as equipes trabalhando em conjunto. Ter abordagens de segurança baseadas em dados trabalhando em conjunto e em harmonia com abordagens anteriores baseadas em processos.

Vantagens do XDR

Segundo o Gartner, as principais vantagens da Detecção e Resposta Estendida (XDR) são:

• Recursos aprimorados de proteção, detecção e resposta;
• Maior produtividade do pessoal de segurança operacional;
• Menor custo total de propriedade para detecção e resposta eficazes de ameaças de segurança.

Mas a consultoria alerta que este mercado ainda está em formação, com soluções emergindo de diferentes fornecedores, abordagens e experiências. Segundo suas projeções, em 2023, pelo menos 30% dos provedores de EDR e SIEM declararão fornecer XDR, apesar de não terem a funcionalidade básica de XDR.

Conforme o Gartner, produtos XDR atrairão líderes de segurança pragmáticos que não possuem os recursos para integrar um grande portfólio dos melhores produtos de segurança  e / ou que ainda lutam para obter o valor total das ferramentas SIEM e SOAR. Embora Marc Solomon ressalte que o SIEM, as ferramentas de detecção e resposta de rede e a segurança como serviço são tão importantes para o XDR quanto o EDR. As integrações com essas ferramentas, e outras, será crítica para realmente ter uma abordagem XDR.

Deve-se considerar que três tipos principais de arquiteturas XDR que estão surgindo. 

1. Ecossistema bloqueado pelo fornecedor. Frequentemente apontada por grandes fornecedores de segurança como o melhor caminho a seguir, essa abordagem promove o uso de um conjunto integrado de produtos de segurança (geralmente baseados em nuvem) de um único fornecedor. Enfatizando a simplicidade e a cobertura abrangente, essa abordagem parece atraente. Mas o desafio é que as organizações normalmente se protegem usando muitas tecnologias diferentes, incluindo firewalls, IPS / IDS, roteadores, segurança da Web e de e-mail e soluções de detecção e resposta de endpoint de diferentes fornecedores. Eles também têm SIEMs e outras ferramentas que hospedam ameaças internas e dados de eventos – sistemas de bilhetagem, repositórios de gerenciamento de log, sistemas de gerenciamento de caso. E podem contar com alguns “grandes fornecedores” para lidar com a maior parte de suas tarefas de segurança. 

Os fornecedores devem ser capazes de acomodar a realidade de que nem todas as organizações terão todas as suas ferramentas de um único fornecedor prontamente, e o apetite para remover e substituir é baixo no curto prazo. Sem mencionar o fato de que novos fornecedores e soluções continuarão a surgir devido à inovação contínua necessária para acompanhar novos casos de uso, ameaças e vetores de ameaças.

2. Aterre e expanda. Esta abordagem começa a partir de uma área de superfície específica de ataque onde o fornecedor está focado, como Endpoint Detection and Response (EDR) ou Network Detection and Response (NDR), com o fornecedor planejando adicionar recursos XDR adicionais por meio da integração com outras ferramentas de segurança. 

Embora essa abordagem forneça a oportunidade de selecionar um líder em uma tecnologia básica de detecção e resposta, ela também apresenta alguns desafios. As integrações são essenciais para criar uma arquitetura XDR. No entanto, o fornecedor provavelmente se concentrará na inovação contínua de sua oferta de tecnologia principal, em detrimento das integrações. Sem mencionar a quantidade significativa de tempo que levará para identificar as ferramentas para interoperar e executar integrações profundas para cumprir a promessa do XDR, se a integração não for uma competência central. 

3. Abra a plataforma. Os fornecedores que seguem essa estratégia oferecem uma plataforma focada na integração, unindo ferramentas nas diferentes áreas de superfície de ataque e também em outras infraestruturas de segurança. Servindo como um canal entre as tecnologias de segurança existentes, incluindo fornecedores que reivindicam soluções XDR, essa abordagem possibilita uma abordagem mais agnóstica para XDR. Isso requer a competência central do fornecedor e o foco na integração e no fluxo de dados entre os sistemas. Organizações que não estão começando do zero e têm uma variedade das melhores soluções entre departamentos e equipes, têm um caminho flexível para a frente com uma arquitetura aberta e extensível que permite forte integração e interoperabilidade com ferramentas existentes — incluindo aquele produto com o qual o fornecedor XDR pode não estar familiarizado. Interfaces padrão são usadas para ingestão e exportação,

Existem prós e contras em cada uma dessas abordagens. Mas se você vê o XDR como um destino e não uma solução, independentemente do caminho que você tomar, você precisará entender o foco e as competências essenciais de cada fornecedor, o nível de esforço envolvido na transição para o XDR e onde pode haver distrações. Só então você pode ter certeza de que o fornecedor selecionado pode cumprir a promessa de XDR de atingir a meta de detecção e resposta em toda a infraestrutura e em todos os vetores de ataque.

Como começar

Especialistas do Gartner recomendam que as lideranças de SRM interessadas em melhorar a capacidade de resposta a incidentes:

• Avaliem uma estratégia de consolidação de fornecedor baseada em XDRs em sua capacidade de melhorar a eficácia da segurança e melhorar a produtividade das operações de segurança.

• Concentrem as considerações iniciais do produto XDR na detecção centrada em ameaças e em casos de uso de segurança pesada de resposta a incidentes, como espaço de trabalho do usuário, uso da nuvem, carga de trabalho do aplicativo ou proteção de rede tradicional.

• Avaliem as soluções XDRs em sua utilidade geral, não apenas nas peças dos componentes; outros recursos a serem considerados são a base de data lake subjacente com armazenamento de dados flexível e de baixo custo, orquestração e automação funcionais e análise de segurança avançada. Um XDR confiável é mais que apenas uma série de soluções pontuais de um único fornecedor e deve ser capaz de substituir algumas das ferramentas de operações de segurança existentes por formas alternativas de trabalho mais eficientes.

Também será preciso avaliar bem dois componentes que toda solução XDR deve oferecer, descritos pelo Gartner como front-end e back-end.

O front-end deve ter três ou mais soluções ou sensores, incluindo, mas não se limitando a, detecção e resposta de endpoint (EDR), plataformas de proteção de endpoint (EPP), rede (firewalls, sistemas de detecção e prevenção de intrusão [ IDPS]), detecção e resposta de rede (NDR), identidade, segurança de email, detecção de ameaças móveis, proteção de carga de trabalho em nuvem e fraude. O objetivo é que essas sejam soluções focadas em ameaças e respostas que podem agregar a um todo maior do que os itens individuais fornecem por conta própria.

O back-end deve incluir:

• Mecanismo de política unificado para todos os componentes.
• Armazenamento de dados centralizado (muitas vezes referido como um lago de dados) para armazenamento e processamento de telemetria da solução do componente XDR, bem como um ecossistema relevante de outras fontes de dado;
• Integrações, geralmente via API, para permitir melhores casos de uso de resposta;
• Análise avançada para pré-processar e correlacionar alertas de alto valor e reduzir falsos positivos;
• Capacidade de realizar melhores funções de automação, orquestração e fluxo de trabalho, com orquestração nativa e automação dos processos de operações de segurança e resposta a incidentes.

Para garantir que sua implementação seja eficaz e que você obtenha a maior proteção para seus investimentos, evite os erros a seguir.

• Complexidade de integração

As soluções XDR precisam se integrar perfeitamente às soluções existentes. Se a integração exigir trabalho excessivo ou plug-ins personalizados, você perderá os ganhos de produtividade. E, provavelmente, também terá que sacrificar parte do controle e visibilidade que tornam o XDR uma melhoria em relação às alternativas. Se a plataforma que você deseja não se integrar bem, é melhor tentar encontrar outra.

Embora você possa não obter todos os recursos de sua plataforma preferida, não ter que manter ou construir uma integração do zero pode valer a pena. Ser capaz de tirar proveito da integração nativa permite que você implemente uma nova plataforma rapidamente e fornece aprimoramentos de proteção imediatos.

Da mesma forma, ao procurar integrar ferramentas adicionais com seu XDR, certifique-se de priorizar aqueles que já são compatíveis. Em geral, você deve ter cuidado com aplicativos, ferramentas e serviços que exigem trabalho de integração adicional, pois essa é uma dívida que terá de carregar.

• Falta de automação

A automação é um fator chave para a eficiência do XDR. A capacidade de automatizar rastreamento, alertas e respostas é o que reduz a carga de trabalho das equipes de segurança e permite que elas se concentrem em tarefas de nível superior. No entanto, a automação precisa ir além de simplesmente processos de sandbox ou bloquear todo o tráfego para ser eficaz.

A plataforma XDR escolhida deve incluir, idealmente, automação que se adapte às condições atuais do sistema e responda com base em vários parâmetros. Por exemplo, reconhecer quando um dispositivo foi conectado à sua rede e ser capaz de combiná-lo com um perfil de usuário anterior ou atribuir a ele um status temporário. Isso pode permitir que você monitore mais de perto dispositivos desconhecidos e restrinja mais rapidamente o acesso potencialmente malicioso.

• Complexidade operacional

As plataformas XDR devem facilitar os esforços das equipes de segurança e resposta. Isso vai além das interfaces e painéis e se estende aos requisitos de configuração e manutenção. Se uma solução for difícil de atualizar ou não permitir que as configurações sejam facilmente definidas ou alteradas, seu valor diminui.

Além disso, se uma plataforma é construída com várias tecnologias não nativamente vinculadas, suas equipes ainda estão usando ferramentas díspares. É improvável que essas ferramentas sejam tão eficazes e exijam mais esforços operacionais adicionais. Em vez disso, você deve procurar plataformas que incluem serviços nativos e funcionalidades que não requerem complementos externos.

Quanto mais fácil for a integração do XDR ao ambiente existente, melhor será o investimento.