Republicada a partir de Jeffery Stutzman, CEO da Trusted Internet
“A detecção e resposta estendida é uma plataforma que integra, correlaciona e contextualiza dados e alertas de vários componentes de prevenção, detecção e resposta de segurança. XDR É uma tecnologia baseada em nuvem que engloba múltiplas soluções pontuais e análises avançadas para correlacionar alertas de diversas fontes em incidentes, a partir de sinais individuais mais fracos, criando detecções mais precisas. Seu objetivo é reduzir a proliferação de produtos, a sobrecarga de alertas, os desafios de integração e os custos operacionais, sendo especialmente interessante para equipes de operações de segurança que têm dificuldade em gerenciar um portfólio de soluções especializadas ou em obter valor de uma solução baseada em nuvem. SIEM ou solução SOAR.” (Gartner)
O Gartner também diz que até o final de 2023, pelo menos 30% dos EDR e no SIEM Os fornecedores alegarão fornecer XDR, apesar de lhes faltar núcleo XDR funcionalidade. Isso é totalmente verdade. Aliás, Crowdstrike, SentinalOne, CyberReason e outros classificaram suas soluções de endpoint como XDR.
O Gartner também fez algumas previsões.
- Até o final de 2027, XDR Será utilizado por até 40% das organizações de usuários finais para reduzir o número de fornecedores de segurança que possuem, em comparação com menos de 5% atualmente.
- Até o final de 2027, XDR e o SASE será usado por até 50% das organizações de usuários finais para reduzir o número de fornecedores de segurança que possuem, em comparação com menos de 5% atualmente.
Acredito que o Gartner entendeu errado. Não acredito que as previsões do Gartner se tornem realidade. Aqui está o porquê.
- XDR Não se pode confiar em um agente, e os profissionais de segurança sabem disso.. Eles reconhecem que XDR é mais do que apenas proteger os sistemas com EDR ou um agente instalado. XDR Vai muito além disso.
- Completude do EDR como um XDR está em falta: A maioria dos MDRs monitora firewalls e endpoints, além de fluxo, autenticação e talvez mais alguns outros. Verdade. XDR Monitora todos os pontos de dados possíveis, independentemente de haver ou não um agente carregado.
A Gartner acredita que XDR E o SASE irá REDUZIR o número de tecnologias em uma organização, quando, na verdade, acredito que ele irá consolidar e representar o cenário com mais precisão, independentemente da tecnologia ou da quantidade de tecnologias utilizadas para obter uma visão mais completa e precisa. XDR Não reduziremos o número de fornecedores, mas sim incorporaremos o uso de mais fornecedores, cada um escolhido por ser o melhor em sua área. Acabaram-se os dias de ficar confinado a um único ambiente protegido por muros de segurança.
Cinco anos atrás, nós (Trusted Internet) selecionamos nossa pilha de tecnologia da lista dos cinco principais laboratórios NSS - firewalls FortiGate, FortiClient e Sophos no endpoint e, em seguida, escolhemos outras com base em nossos próprios requisitos; Armor da Minerva, Sophos Intercept X e outros para completar nossa pilha de tecnologia e modelo de entrega. Tínhamos nossa infraestrutura prescrita, mas nem todos queriam remover seus novos firewalls Cisco Firepower. E os outros que têm Palo Alto? Para uma empresa com múltiplas tecnologias, as correlações tornam-se quase impossíveis. Imagine nossa posição como o MSSPs. Cada empresa é única em muitos aspectos, e cada uma delas tem seus próprios requisitos de correlação. Como resultado, tivemos que trazê-los para nosso próprio data lake, onde realizamos análises de correlação de nível 2 e 3 por busca manual de ameaças. Somos forçados a tentar correlacionar todos eles (manualmente).
Hoje oferecemos diversas opções. XDR opções, Stellar, Sophos, Fortinet e, em breve, potencialmente uma segunda opção em AbraXDRAgora podemos usar centenas de integrações de fornecedores e pontos de dados para identificar, rastrear e correlacionar anomalias. Em vez de extrair e analisar arquivos PCAP por horas, o Each nos permite conectar centenas de pontos de dados na empresa – não apenas logs de segurança, mas qualquer tipo de log. Até mesmo logs de segurança física podem ser integrados ao Open.XDRÉ possível correlacioná-lo se puder ser integrado ao data lake. E tudo isso é feito em um único Open.XDR painel de vidro. Os analistas treinam a máquina para reconhecer padrões de vida durante aproximadamente o primeiro mês, para garantir que os padrões sejam aprendidos com precisão antes que a IA ajude a normalizar as operações.
XDR Isso não vai reduzir o número de fornecedores.
XDR permitirá a expansão do campo de atuação para quantos fornecedores você desejar conectar, todos os melhores em suas respectivas áreas, realizando análises complexas e respostas automatizadas.
