Detecção e resposta estendida (XDR) usa uma gama mais ampla de fontes de dados para permitir a detecção, investigação e resposta em várias camadas de segurança. O XDR desfaz silos de segurança para identificar toda a trajetória de um ataque com uma visualização completa.
XDR: contando a história toda
Quando se trata de detecção de ameaças, o trabalho do analista do centro de operações de segurança (SOC) é conectar os pontos da infiltração inicial, por meio do movimento lateral, a qualquer exfiltração. Este processo permite uma compreensão mais rápida do impacto e das ações de resposta necessárias.
Quanto mais fontes de dados e vetores de segurança você trouxer para uma plataforma XDR única e integrada, maiores serão as oportunidades de correlação e mais abrangente será a investigação e a resposta.
Por exemplo, hoje um analista pode usar uma ferramenta de detecção e resposta de endpoint (EDR) para obter visibilidade detalhada de atividades suspeitas em endpoints gerenciados – e então ter uma visão separada em silos de alertas de segurança de rede e análise de tráfego. Quanto aos workloads em nuvem, o analista provavelmente tem visibilidade limitada para identificar atividades suspeitas.
Todas as partes do ambiente geram alertas ruidosos que provavelmente são enviados para um gerenciamento de informações e eventos de segurança (SIEM). O analista pode ver os alertas, mas perde um registro detalhado de todas as atividades entre os alertas. Sem correlação adicional, o analista perderá detalhes de ataques importantes deixados enterrados em alertas sem contexto ou uma maneira de conectar eventos relacionados.
O XDR reúne as camadas para que os analistas de segurança possam ter uma visão geral e explicar rapidamente o que pode estar acontecendo na empresa, incluindo como o usuário foi infectado, qual foi o primeiro ponto de entrada e o que ou quem mais faz parte do mesmo ataque.
Endpoints
O registro eficiente da atividade do endpoint é necessário para analisar como uma ameaça pode ter chegado, alterado e se espalhado por eles. Usando o XDR, você pode procurar indicadores de comprometimento (IoCs) e caçar ameaças com base em indicadores de ataque (IOAs).
Detecte: Pesquise e identifique eventos de endpoint suspeitos e perigosos
Investigue: O que houve no endpoint? De onde veio o evento? Como ele se propagou em outros endpoints?
Responda: Isole o evento, pare processos, apague/ restaure arquivos
Muitas organizações podem começar com o endpoint, por meio de ferramentas EDR. Embora o EDR seja um bom primeiro passo, ele pode perder o início e/ou o fim da história do ataque. O que houve antes dele chegar ao endpoint? Ele chegou por e-mail? Poderiam outros ter recebido o mesmo e-mail? O que aconteceu depois da chegada em um endpoint? Houve movimentação lateral no servidor ou contêiner? Ele se espalhou para um dispositivo não gerenciado?
Dado que 94% das violações começam através de e-mail,[1] a capacidade de identificar contas comprometidas e detectar ameaças maliciosas por e-mail é uma parte crítica do recurso de detecção de ameaças mais ampla de uma organização.
Detecte: Pesquise e identifique ameaças de e-mail, contas comprometidas, usuários altamente atacados e padrões de ataque por e-mail
Investigue: Quem realizou a infiltração? Quem mais recebeu o e-mail malicioso?
Resposta: E-mail em quarentena, bloqueio de remetentes de e-mail, redefinição de contas
O e-mail, como vetor de ataque número um, deve ser um ponto de expansão de prioridade para detecção e resposta multicamadas. Ameaças de e-mail frequentemente não impactam endpoints até um usuário clicar num anexo ou num link. Uma ameaça dormente pode estar alojada em vários inboxes sem ter sido detectada. Conectar a detecção de endpoint com os e-mails que originaram o problema significa que você pode automaticamente analisar as caixas de entrada para saber quem mais recebeu o conteúdo malicioso e se ele está na caixa de outros usuários. Você pode, então, pôr em quarentena os e-mails e remover a ameaça para evitar disseminação e danos adicionais.
Rede
Análise de redes é uma boa forma de se identificar ataques direcionados, à medida que eles se deslocam lateralmente ou se comunicam com servidores de comando e controle (C&C). A análise de rede pode ajudar a filtrar os eventos do ruído e reduzir os pontos cegos, como a Internet das coisas (IoT) e dispositivos não gerenciados.
Detecte: Procure e identifique comportamento anômalo conforme as ameaças se espalham
Investigue: Como a ameaça se comunica? Como ela se move pela organização?
Responda: Descreva o escopo do ataque
Logs de rede são uma grande fonte de dados para ajudá-lo a entender a dimensão de um ataque, mas sem correlacionar estes logs com outros tipos de alertas, é difícil entender o contexto necessário para se avaliar o que está relacionado e é importante. Por esse motivo, a rede e o enpoint criam uma combinação poderosa. Ao correlacionar os dados, algo que pode ter parecido benigno apenas na camada de endpoint, como atividade suspeita do PowerShell, torna-se um alerta de alta prioridade quando é considerado junto com a comunicação C&C associada com um servidor.
Workloads de Servidor e Nuvem
Assim como endpoints, isso envolve registro eficiente da atividade para que se analise como uma ameaça pode ter chegado e se espalhado por servidores e workloads de nuvem. Você pode varrer por IoCs e caçar com base em IoAs.
Detecte: Pesquise e identifique ameaças que visam especificamente servidores, workloads em nuvem e contêineres
Investigue: O que houve dentro do workload? Como se espalhou?
Responda: Isole o servidor, interrompa os processos
As organizações podem empregar ferramentas EDR para servidores e workloads em nuvem, mas podem sacrificar a eficácia ao fazê-lo. O EDR sozinho não está equipado para lidar com novos modelos de nuvem nem fornecer o tipo de dados e visibilidade necessários. Como acontece com qualquer vetor, correlacionar informações de ambientes de servidor pode validar atividades suspeitas como maliciosas – como servidores que se comunicam com um endereço IP em um país com o qual nunca se comunicaram antes – vinculando-os a dados de atividades de outras camadas, seja endpoint e/ou rede.
Artigos Relacionados