O modelo atual para cíber segurança está quebrado. Consiste em adquirir e implantar uma série de ferramentas autônomas, cada uma com seu próprio console, para analisar logs ou tráfego e detectar anomalias que podem ser ameaças. Nesse modelo, cabe a cada analista de segurança se comunicar com outros analistas para determinar se a detecção individual de cada ferramenta (cada uma das quais, por si só, pode parecer benigna), pode se correlacionar com outras detecções de outras ferramentas para revelar um ataque complexo.
Este modelo força as empresas a criar pilhas de segurança complexas que consistem em SIEM, PLANAR, EDR, NDR e mais, com o propósito de instrumentar a empresa, identificando ameaças, respondendo a ameaças e gerenciando riscos. Adquirir todas essas ferramentas e gerenciar suas licenças é complexo e caro, e a correlação manual necessária para comparar as detecções de cada ferramenta deixa muitas lacunas na infraestrutura geral de segurança.
Os analistas são frequentemente bombardeados com falsos positivos por esses sistemas também, causando “fadiga de alerta” e insatisfação com o trabalho. Mesmo as empresas que se declaram satisfeitas com as SIEM e outras ferramentas admitem que a quantidade de tempo e energia que investiram em uma infraestrutura de segurança com várias ferramentas não está entregando os resultados necessários.
O caso para XDR
XDR, ou Detecção e resposta prolongadaO termo "detecção e resposta" tornou-se uma definição genérica para qualquer tecnologia que execute detecção e resposta, porque, na sigla, X é na verdade uma variável. Embora X possa representar "Endpoint+" ou "Network+", isso ignora o problema atual enfrentado pelas empresas com ferramentas isoladas, dados não correlacionados e sobrecarga de alertas. O objetivo principal de XDR O objetivo é solucionar esse problema e, portanto, X precisa significar "Tudo". Tudo, então, implica uma abordagem de plataforma para cobrir toda a superfície de ataque por meio de detecção e resposta.
Essa abordagem de plataforma pode corrigir o modelo falho atual, convertendo ferramentas isoladas em um conjunto unificado, convertendo dados não correlacionados em uma representação correlacionada e dinâmica da superfície de ataque e transformando a sobrecarga de alertas em tranquilidade. Como uma tecnologia concretiza esse objetivo é a principal questão arquitetural. Existem dois tipos de XDR Hoje: Aberto e Nativo.
Aberto vs. Nativo XDR
- Open XDR é entregue por meio de uma arquitetura aberta capaz de alavancar os recursos de telemetria e resposta das ferramentas de segurança existentes na superfície de ataque
- Nativo XDR é entregue a partir de um conjunto de ferramentas de segurança de um único fornecedor que fornece telemetria e resposta em toda a superfície de ataque
Independentemente da abordagem arquitetônica de um XDR Para ser considerada uma plataforma, ela deve satisfazer os seguintes requisitos técnicos. XDR:
- Implementabilidade - Arquitetura de microsserviço nativa da nuvem para escalabilidade, disponibilidade e flexibilidade de implantação
- Fusão de dados - Dados normalizados e enriquecidos em toda a superfície de ataque, incluindo rede, nuvem, endpoints, aplicativos e identidade
- Correlação - Detecções correlacionadas de alta fidelidade em várias ferramentas de segurança
- Resposta Inteligente - Resposta automática ou com um clique da mesma plataforma
Um equívoco comum sobre Aberto vs. Nativo XDR é que são tipos mutuamente exclusivos de XDREles não são. Um XDR Uma plataforma pode ser totalmente aberta e parcialmente nativa. Por exemplo, uma XDR plataforma pode ter algumas ferramentas integradas de seu fornecedor enquanto se integra abertamente às ferramentas existentes de outros fornecedores. Isso permite uma estratégia de Segurança Composável, a capacidade de alavancar as ferramentas existentes e, ao mesmo tempo, permitir que o cliente cancele algumas delas quando e onde achar necessário.
A composição de Open vs. Native XDR A abordagem adotada por uma plataforma é um meio para um fim: especificamente, como a plataforma realiza a detecção e a resposta em toda a superfície de ataque. Compradores de XDR É preciso encarar a abordagem arquitetônica como um meio para um fim e tomar a melhor decisão para a empresa.
O Ideal XDR está aberto
Haverá algumas empresas que não terão problemas em mover toda a pilha de segurança para um único fornecedor e adotar uma Nativo XDR plataforma. Também haverá algumas empresas que se preocupam menos em cobrir toda a superfície de ataque e só querem detecção e resposta para seus endpoints, por exemplo. Neste caso, eles devem buscar um Nativo baseado em EDR XDR plataforma.
No entanto, para a maioria das empresas, um Open XDR plataforma Deve ser considerada a principal prioridade. Por quê? Porque nenhum fornecedor sozinho jamais conseguirá criar ou adquirir as melhores ferramentas de nuvem, endpoint, rede, identidade etc., portanto, uma solução exclusivamente nativa é essencial. XDR A plataforma não será a melhor da categoria. Além disso, é extremamente provável que a empresa tenha já investiu capital e esforço significativos na implantação de ferramentas de segurança existentes - ele não vai querer abandonar esses investimentos, portanto, um Nativo XDR solução não interagiria com essas ferramentas e não capturaria toda a superfície de ataque naquela empresa. Se um Open XDR plataforma tem alguns atributos nativos para cobrir certas áreas da superfície de ataque para empresas em crescimento, ótimo. Mas deve ser aberto primeiro.
Em última análise, se uma empresa deseja definir e executar uma estratégia de Segurança Componível e obter todos os seus benefícios, XDROs requisitos técnicos são entregues por meio de uma plataforma, totalmente... Open XDR plataforma é a única maneira realista de fazer isso.
