O que é XDR aberta?
A XDR aberta é um tipo de solução ou plataforma de segurança de Detecção e resposta estendidas (XDR) compatível com integrações de terceiros para coletar formas específicas de telemetria, habilitar detecção de ameaças e investigação em diferentes fontes de dados e executar ações de resposta.
Também conhecida como XDR híbrida, a XDR aberta integra ferramentas distintas dentro da stack de segurança, como detecção e resposta de endpoint (EDR), firewall de próxima geração (NGFW), gerenciamento de identidade e acesso (IAM), proteção de workload em nuvem (CWP), broker de segurança de acesso à nuvem (CASB), entre outros. Ao eliminar os silos entre essas ferramentas, a organização produz alertas mais precisos, gera respostas mais rápidas, melhora as capacidades de investigação de ameaças e otimiza as investigações.
O que é XDR?
A XDR é considerada a próxima evolução da EDR. Ela é uma solução de segurança que extrai telemetria de segurança de várias fontes, incluindo endpoints, workloads na nuvem e e-mail de rede. Esses dados de ameaças enriquecidos são filtrados e condensados em um único console por meio da plataforma XDR, permitindo que as equipes de segurança identifiquem e remedeiem ameaças de segurança de forma rápida e eficiente em vários domínios usando uma solução unificada.
Relatório de Investigação de Ameaças 2024
No Relatório de Investigação de Ameaças 2024 da CrowdStrike, a CrowdStrike revela as mais recentes táticas de mais de 245 adversários modernos e mostra como esses adversários continuam a evoluir e emular o comportamento de usuários legítimos. Obtenha insights para ajudar a impedir ataques aqui.
Baixe agoraTipos de XDR
As soluções de XDR se enquadram em duas grandes categorias:
- XDR híbrida ou aberta
- XDR nativa ou fechada
Essas duas categorias diferem principalmente em relação aos tipos de ferramentas e soluções compatíveis com a plataforma XDR. Uma solução de XDR aberta é independente de fabricante e integra dados de diferentes fontes e fornecedores de soluções. Por outro lado, uma solução de XDR nativa integra ferramentas de um único fabricante de segurança.
Para saber mais sobre as diferenças entre XDR aberta e XDR nativa, leia nossa publicação complementar, XDR aberta vs. XDR nativa.
Por que a solução XDR aberta é importante?
Em um cenário de ameaças cada vez mais complexo, a maioria das organizações depende de diferentes ferramentas e fabricantes para fornecer proteção abrangente. Cada uma dessas ferramentas desempenha um papel distinto no fortalecimento da postura de segurança da organização. No entanto, gerenciar e operar cada uma delas individualmente não é eficiente nem eficaz. Muitas vezes, os analistas de segurança são forçados a analisar e reunir
manualmente volumes de dados de alertas e eventos diversos gerados por diferentes sistemas, perdendo tempo valioso em caso de ataque e aumentando a probabilidade de um adversário passar despercebido.
Ao mesmo tempo, muitas dessas soluções de segurança são as melhores ferramentas, escolhidas especificamente pela organização com base nas suas necessidades específicas. Substituir essas ferramentas pode ser caro, e a solução substituta talvez não ofereça o mesmo nível de proteção.
É aqui que entra a XDR. Em um modelo de XDR aberta, a organização pode unir a telemetria essencial das suas diversas ferramentas de segurança e de diferentes fabricantes em única visualização, dando aos analistas de segurança acesso a dados ricos e robustos de toda a stack de segurança. Ao conectar as soluções de segurança que estavam isoladas, a organização amplia a visibilidade e melhora a detecção, acelerando os tempos de resposta e fortalecendo a postura de segurança sem adicionar complexidade à stack de segurança.
Por que escolher a XDR aberta: 5 benefícios
A XDR aberta é a escolha ideal para organizações que adotaram a abordagem de melhores soluções na cibersegurança e têm soluções de vários fornecedores em sua stack de segurança. Nesse caso, o modelo de XDR aberta proporciona vários benefícios importantes em comparação com uma solução de XDR nativa:
1. Independente de fabricante: a XDR aberta permite que as organizações unam telemetrias distintas de vários parceiros de segurança em uma única visualização para as empresas aproveitarem ao máximo seus ativos existentes e continuarem investindo nas ferramentas e soluções que melhor atendem às suas necessidades.
2. Flexível e escalável: com um modelo de XDR aberta, não há dependência de fabricante. Essa é uma funcionalidade essencial, já que o cenário de fabricantes de cibersegurança está em constante evolução. A adoção de uma abordagem de XDR aberta garante que a organização possa implementar soluções de ponta de diferentes fornecedores a qualquer momento.
3. Proteção aprimorada: com uma solução de XDR aberta, as organizações lidam com lacunas na arquitetura de segurança utilizando uma variedade de ferramentas ou soluções de vários fabricantes. Por outro lado, com uma abordagem de XDR nativa, as organizações ficam limitadas ao conjunto de ferramentas oferecido pelo seu fabricante designado.
4. Valor otimizado: em um modelo de XDR aberta, não é preciso descartar e substituir soluções existentes para usar na plataforma XDR. Em vez disso, a organização pode tomar medidas para configurar e integrar diferentes ferramentas de segurança dentro da visualização geral.
5. Desempenho aprimorado: ao fornecer uma visualização única da telemetria de segurança da empresa, as organizações não só habilitam novas eficiências dentro da força de trabalho, mas também melhoram o desempenho.
Benefícios da XDR
As organizações também recebem benefícios importantes ao implementar uma solução de XDR, seja ela nativa ou aberta. Esses benefícios incluem:
- Visibilidade consolidada de ameaças: a XDR oferece visibilidade granular trabalhando em várias camadas, coletando e correlacionando dados de e-mail, endpoints, servidores, workloads na nuvem e redes.
- Detecções e investigação sem complicações: analistas e times de threat hunters podem se concentrar em ameaças de alta prioridade porque a XDR elimina do fluxo de alertas anomalias consideradas insignificantes. Com análises avançadas e conteúdo de correlação já integrados na ferramenta, a XDR detecta automaticamente ameaças sigilosas, praticamente eliminando a necessidade de equipes de segurança gastarem tempo constantemente criando, ajustando e gerenciando regras de detecção.
- Orquestração e resposta de ponta a ponta: o contexto e a telemetria detalhados de ameaças entre domínios (desde hosts afetados e a causa raiz até indicadores e cronogramas) orientam todo o processo de investigação e remediação. Alertas automatizados e ações de resposta avançadas podem acionar fluxos de trabalho complexos e multiferramentas para grandes ganhos de eficiência do Centro de Operações de Segurança (SOC, na sigla em inglês) e neutralização de ameaças precisa.
Principais funcionalidades para buscar em uma plataforma de XDR
O centro da XDR fornecida por uma plataforma nativa em nuvem é melhorar a visibilidade de ameaças e reduzir o tempo necessário para identificar e responder a um ataque. No entanto, nem todas as soluções são criadas da mesma forma.
As equipes de segurança devem considerar cuidadosamente qual plataforma será a base para sua funcionalidade de XDR para garantir cobertura abrangente, flexibilidade para o futuro e otimização de recursos. Aqui, revisaremos algumas das principais dúvidas que as organizações podem ter ao avaliar os fabricantes e ofertas de XDR.
Dados
- A solução ingere e centraliza dados de soluções de segurança e endpoints em toda a empresa?
- A solução utiliza automação avançada e tecnologias como inteligência artificial (IA) e machine learning (ML) para analisar dados, correlacioná-los com a superfície de ataque invadida e executar análise e priorização?
- A solução normaliza os dados, reorganizando-os para que os usuários os utilizem adequadamente para consultas e análises posteriores em investigações de ameaças?
- A solução apresenta esses dados às equipes de segurança em um único console que não só permite que os usuários acessem informações entre domínios para investigação, mas também direcionem e orquestrem a resposta?
Plataforma
- A solução é independente de fabricante? Ela é compatível com a integração com diferentes ferramentas de diferentes fabricantes?
- Há limitações da plataforma que possam afetar a capacidade da organização de integrar soluções no futuro?
- A plataforma é compatível com configurações e personalização avançadas, incluindo detecções personalizadas, com base nas necessidades exclusivas de cada cliente?
- A plataforma utiliza esquemas abertos e bem definidos em trocas de dados com sistemas de segurança de TI adicionais para garantir a comunicação eficaz entre ferramentas de segurança?
- A plataforma é reconhecida por analistas ou grupos relevantes do setor como líder na área de XDR?
Experiência do usuário final
- A solução oferece uma experiência de usuário intuitiva e envolvente?
- Quais recursos a organização oferece para ajudar a integrar novos membros da equipe e garantir a adoção e o uso adequado?
CrowdXDR Alliance™: a abordagem de XDR aberta da CrowdStrike
Para aproveitar os benefícios da XDR aberta, a CrowdStrike fundou a CrowdXDR Alliance™, uma coalizão revolucionária de organizações que buscam habilitar detecção e resposta unificadas e centradas em ameaças em todo o ecossistema de segurança e tecnologia de uma organização. A aliança inclui soluções de segurança e TI líderes do setor, como Google Cloud, Proofpoint, Zscaler e CloudFlare.
Especificamente, a CrowdXDR Alliance™ oferece:
- uma abordagem unificada de XDR com ontologia compartilhada, linguagem de consulta comum e automações de fluxo de trabalho personalizadas.
- visibilidade inigualável com uma ampla variedade de fontes proprietárias e de terceiros em várias tecnologias e domínios.
- a flexibilidade e a capacidade de ter XDR do seu jeito, dando a você a escolha do escopo de XDR da sua organização, dos domínios incluídos e das ferramentas integradas.
Anne Aarness é Gerente Sênior de Marketing de Produtos na CrowdStrike, lotada em Sunnyvale, Califórnia.
