XDR gerenciada (MXDR)

O que é uma XDR gerenciada (MXDR)?

Detecção e Resposta Estendidas Gerenciadas (MXDR), às vezes chamado de Detecção e Resposta Estendidas como um Serviço (XDRaaS), é um serviço de segurança holístico que fornece capacidades de detecção e resposta avançadas usando uma combinação de tecnologias digitais e expertise terceirizada orientada por humanos. É considerada uma abordagem transformadora para cibersegurança porque lida com as limitações impostas por modelos de segurança tradicionais e fornece proteção em várias fontes de segurança, como e-mail, servidores na nuvem e redes.

Baseada nas capacidades existentes de Detecção e Resposta Gerenciada (MDR) e Detecção e Resposta Estendidas (XDR), a MXDR combina expertise humana e as ferramentas digitais mais recentes para permitir coleta de dados e capacidades de correlação robustas, bem como investigação contínua de ameaças, monitoramento de ameaças e resposta a incidentes (IR), tudo oferecido como um serviço.

MDR vs MXDR

Para compreender a diferença entre MDR e MXDR, é recomendável primeiro ler sobre a diferença entre EDR e XDR.

Basicamente, a diferença entre MDR e MXDR é a mesma diferença entre uma ferramenta de EDR tradicional e XDR de próxima geração, exceto pelo fato de que tanto a MDR como a MXDR são entregues como um serviço.

Como a MXDR funciona?

A MXDR combina as tecnologias, ferramentas, soluções e serviços orientados por humanos mencionados acima em um único serviço gerenciado. Isso possibilita uma visibilidade completa, de ponta a ponta, de toda a superfície de ataque e permite que o provedor do serviço ofereça monitoramento, detecção, investigação e priorização dos alertas revelados pela solução combinada 24 horas por dia, 7 dias por semana.

A MXDR também automatiza alguns aspectos das atividades de resposta e remediação, especialmente para alertas de baixo risco ou que possam ser resolvidos com facilidade. Para ameaças mais complexas ou de risco mais elevado, o sistema envolverá uma equipe de agentes de resposta para ajudar a organização a desenvolver e executar rapidamente um plano de resposta para remediar o incidente.

Componentes e capacidades da MXDR

A MXDR combina tecnologia e serviços avançados em uma única oferta coesa.

Na maioria das vezes, o provedor de serviços de MDR consolida todas as atividades, dados e insights do conjunto de ferramentas de segurança estendido e da equipe em um Centro de Operações de Segurança (SOC, na sigla em inglês), uma função de segurança centralizada que capacita os especialistas em segurança a monitorar, detectar, analisar, relatar e responder a incidentes de segurança.

Estas são algumas das principais capacidades de segurança na MXDR:

• Priorização: a MXDR automatiza os alertas de detecção e aplica regras pré-determinadas para ajudar as equipes de segurança a distinguir entre eventos benignos ou falso-positivos e ameaças reais. Em seguida, o sistema transforma essas informações em insights acionáveis para a equipe de segurança, possibilitando a priorização das atividades.
• Inteligência de ameaças: refere-se a dados que são coletados, processados e analisados para entender os motivos, alvos e comportamento de ataque de um ator de ameaças. Ela permite que as equipes de segurança tomem decisões mais rápidas, mais informadas e baseadas em dados e alterem seu comportamento de reativo para proativo na luta contra atores de ameaças.
• Detecção contínua de ameaças: é o processo de análise de um ecossistema de segurança em nível holístico para encontrar usuários maliciosos, atividades anormais e qualquer coisa que possa comprometer uma rede. Ciberameaças altamente evasivas são o foco principal das ferramentas de detecção e resposta a ameaças. As soluções mais avançadas de XDR/MXDR protegem a organização de ameaças conhecidas e desconhecidas (vetores de ataque cuja assinatura é catalogada nos bancos de dados e arquivos sem assinatura de várias ferramentas, respectivamente).
• Gerenciamento de vulnerabilidades: o gerenciamento de vulnerabilidades é o processo contínuo e regular de identificação, avaliação, relatório, gerenciamento e remediação de vulnerabilidades cibernéticas de segurança em endpoints, cargas de trabalho e sistemas. Uma solução de MXDR avançada inclui um programa de gerenciamento de vulnerabilidades que usa inteligência de ameaças e conhecimento de TI e operações de negócios para priorizar os riscos e abordar as vulnerabilidades o mais rápido possível.
• Investigação de ameaças: é a prática de busca proativa de ciberameaças que estão escondidas em uma infraestrutura. O time de threat hunters faz uma investigação mais profunda para encontrar atores mal-intencionados em seu ambiente que tenham escapado de suas defesas iniciais de segurança de endpoint.
• Resposta orientada: oferece conselhos acionáveis da melhor maneira para conter e remediar uma ameaça específica. As organizações são aconselhadas sobre atividades tão fundamentais como a necessidade de isolar um sistema da rede, até as mais sofisticadas, como a forma de eliminar uma ameaça ou o passo a passo para se recuperar de um ataque.
• Remediação: a remediação gerenciada restaura os sistemas ao seu estado anterior ao ataque removendo malware, limpando o registro, ejetando invasores e removendo mecanismos de persistência. Ela garante que a rede seja retornada a um estado de bom funcionamento conhecido e impede outros comprometimentos.
• Perícia forense cibernética: é um serviço oferecido por fornecedores de cibersegurança que utiliza tecnologias avançadas e ferramentas de dados para reconstruir eventos passados e rastrear a cadeia de ações até o momento do comprometimento. Isso não só ajuda a organização a identificar como um ataque ocorreu (o que pode ajudar a melhorar as medidas de segurança para o futuro), como também pode esclarecer quem foi o responsável pelo ataque e quais foram as suas motivações.

Cinco benefícios da MXDR

1. Complexidade reduzida e maior eficiência

O panorama de ameaças (e o conjunto de soluções correspondente) se tornou muito mais amplo e complexo para as organizações nos últimos anos. Gerenciar a quantidade enorme de alertas dessas tecnologias de segurança, bem como proteger o grande influxo de endpoints habilitados por IoT que surgem com o avanço da tecnologia e o crescimento do trabalho remoto, faz com que o trabalho das equipes de TI de proteger toda a superfície de ataque e investigar incidentes que possam surgir a qualquer momento e em qualquer lugar fique mais difícil, complicado e demorado.

A MXDR terceiriza atividades críticas, como monitoramento de alertas, priorização e resposta, a uma equipe externa, liberando a equipe interna de TI para se concentrar nas operações. Ela também utiliza as melhores tecnologias e soluções disponíveis para automatizar alguns aspectos da detecção e resposta a ameaças, ajudando a simplificar e otimizar as atividades de segurança e possibilitando ganhos importantes de eficiência para a equipe estendida.

2. Custos reduzidos

Embora a MXDR seja um serviço gerenciado e, portanto, uma despesa para os negócios, normalmente custa menos do que manter uma equipe e ferramentas de segurança no mesmo nível dentro da empresa. Em geral, a MXDR tem um custo total de operação mais baixo para a empresa, devido às economias relacionadas à redução da complexidade no ambiente de TI, ao compartilhamento de licenças para soluções de software e às eficiências valiosas disponibilizadas para a equipe de TI.

3. Maior visibilidade e controle

A MXDR fornece visibilidade de ponta a ponta, de toda a superfície de ataque e consolida todas as atividades e insights em um console centralizado. Isso proporciona à equipe de segurança uma visão mais clara e completa das ameaças e riscos que a organização enfrenta. Além disso, as capacidades de resposta e remediação, incluindo a habilidade de automatizar algumas ações, dá às organizações um maior controle sobre sua postura de segurança.

4. Otimização de recursos

O setor de TI, e de cibersegurança em particular, está passando por uma escassez cada vez maior de talentos, o que dificulta até para as empresas mais conhecidas a atração e retenção dos profissionais necessários para organizar e liderar uma função de segurança. Além disso, determinar como responder a cada alerta e qualquer ameaça ativa ( fazer isso rapidamente antes que uma intrusão se torne uma violação séria) exige mais pessoal e expertise do que normalmente é mantido internamente.

À medida que os departamentos de TI e segurança enfrentam essa escassez, um workload cada vez maior e a complexidade de um conjunto de ferramentas cada vez mais amplo, a MXDR é uma forma de ajudar as organizações a otimizar suas equipes e outros recursos e melhorar a postura de segurança. Isso é especialmente importante para empresas que têm cada vez menos tempo ou recursos para implementar e otimizar totalmente suas soluções existentes, corrigir e atualizar aplicações e a infraestrutura. O uso de um serviço de MXDR para gerenciar essas tarefas melhora a segurança geral da organização e também ajuda a reduzir o workload do pessoal de TI.

5. Melhor detecção de ameaças

Por fim, a MXDR conta com as ferramentas mais recentes e as mentes mais brilhantes na área de cibersegurança para proteger os clientes das ameaças mais sofisticadas. Isso acaba levando a uma postura de segurança mais forte para a empresa e um aumento da proteção para seus clientes.

Solução de MXDR da CrowdStrike

O CrowdStrike Falcon^® Complete XDR é o primeiro serviço de detecção e resposta estendidas gerenciadas (MXDR) do mundo com remediação de ponta a ponta, da principal líder em MDR.

O Falcon Complete XDR fornece gerenciamento orientado por especialistas 24 horas por dia, 7 dias por semana, investigação de ameaças proativa, inteligência de ameaças nativa e uma remediação completa em toda a superfície de ataque de um cliente para interromper os ataques. Com a ingestão de telemetria nativa e de terceiros, as organizações se beneficiam de melhor visibilidade entre domínios e remediação de ponta a ponta para erradicar ameaças de forma holística e eficiente.

O Falcon Complete XDR expande seu serviço de MDR comprovado com proteção adicional em vetores de ataque mais críticos. Isso possibilita uma rápida detecção entre domínios de movimento lateral e ataques sigilosos e avançados.