O EDR (Endpoint detection and response) tradicional basicamente coleta dados de telemetria sobre eventos relacionados a endpoints, como processos de aplicativos que se conectam a endereços de rede específicos. Esses dados geralmente não são alimentados por sistemas de informações de segurança e gerenciamento de eventos (SIEM), o que pode sobrecarregar a rede com dados.
No entanto, esses dados são essenciais para análise por algoritmos de aprendizado de máquina e equipes de resposta a incidentes para sinalizar sinais de um possível ataque cibernético.
Essa é a premissa por trás de uma geração emergente de ofertas de EDR chamada XDR (Extended Detection Response), em que X se refere à coleta de um conjunto mais amplo de dados relacionados à rede, nuvem e outras partes da área de TI de uma empresa.
O XDR é uma plataforma de monitoramento de segurança baseada em SaaS que fornece e analisa dados relevantes de endpoint, servidor, rede e carga de trabalho na nuvem para identificar ameaças avançadas. Ele basicamente coleta mais dados de ameaças do que seus predecessores EDR para fornecer uma imagem mais completa de possíveis ataques.
Os sistemas XDR executam as seguintes tarefas:
- Coletar dados de telemetria de ameaças de pelo menos duas, e geralmente mais, fontes. Isso inclui dados provenientes de endpoints, servidores, firewalls de rede e serviços globais de detecção de ameaças de terceiros.
- Analisar dados e usar mecanismos de aprendizado de máquina para desenvolver uma linha de base para o comportamento “normal”. Após concluídos, os dados são continuamente monitorados e analisados para identificar anomalias no comportamento do usuário, dispositivo e serviço que possam indicar uma ameaça à segurança cibernética.
- Realizar ações se uma anomalia for detectada, usando IA para formular o impacto do evento de segurança em toda a rede corporativa.
Os benefícios do XDR se estendem ao centro de operações de segurança
Muitos especialistas descrevem o XDR como uma expansão da tecnologia de detecção e resposta de endpoint (EDR), que verifica dispositivos de endpoint em busca de violações em tempo real.
Porém, uma plataforma XDR vai além e aplica os princípios EDR em todo o ambiente de TI, trazendo informações de ferramentas de segurança para uma visão unificada e abrangente do cenário de inteligência de ameaças.
Como o XDR consome e correlaciona vários fluxos de dados, teoricamente ele pode pesar as informações no contexto e minimizar os falsos positivos.
A capacidade do XDR de automatizar a análise de causa raiz pode aliviar a carga dos times de SOC ao lidar com muitas tarefas manuais tediosas e reduzir o alto número de falsos positivos inerentes a outros sistemas de segurança.
Na prática, o XDR visa oferecer uma maneira mais simples, rápida e automatizada de responder aos desafios da segurança dos dispositivos endpoint. A chave para fazer o XDR eficiente é entender profundamente os dados para que os times de segurança possam obter insights e fornecer alertas de alta confiança.
Como evolução do EDR, o XDR competirá de igual para igual com diferentes plataformas de análise de segurança para detecção, investigação, resposta e busca de ameaças.
As plataformas de análise de segurança têm mais de uma década de experiência em agregação de dados que se aplicam a esses desafios, mas ainda precisam fornecer recursos de resposta a incidentes suficientes em escala corporativa, forçando as empresas a priorizar soluções alternativas.
De maneira objetiva, o XDR está surgindo para preencher esse vazio por meio de uma abordagem distintamente diferente, ancorada em endpoint e otimização.
E à medida que o próprio XDR evolui, espera-se que a definição de endpoint também evolua com base em onde o alvo do invasor está, independentemente de assumir a forma de um laptop, estação de trabalho, dispositivo móvel ou nuvem.
Sobre a Service IT
Tecnologia é a nossa especialidade! Integradora de soluções e serviços de TI desde 1995, a Service IT possui uma equipe de profissionais altamente treinados e capazes de atender as demandas de tecnologia da sua empresa. E por isso, se responder a perguntas como a que foi feita ainda é um desafio para sua empresa, entre em contato agora mesmo!
A Service IT é especializada em outsourcing e consultoria de tecnologia. Distribuída através de escritórios em Porto Alegre, Curitiba, São Paulo, Rio de Janeiro, Buenos Aires e Santiago, a empresa possui estrutura preparada para atender toda a América Latina. Com um Centro de Operações próprio, a Service IT monitora e gerencia o ambiente de TI de seus principais clientes com foco em infraestrutura, managed services, cloud e segurança.