28 Abr XDR: conheça sua origem e as diferenças em relação a SIEM
Com a pandemia, cresceram as superfícies de ataques e as empresas passaram a repensar suas estruturas fazendo a transição do SIEM para XDR
Com a pandemia, em 2020, do dia para a noite as organizações tiveram que se organizar para oferecer aos seus colaboradores condições de executar suas funções e tarefas em casa. E, para isso, foi necessário pulverizar os acessos de dezenas, centenas e até milhares de pessoas para que o trabalho não parasse. Ao priorizar os acessos em detrimento da segurança, numa situação nunca vista antes, as superfícies de ataques cresceram de forma exponencial acelerando também a transformação digital.
Com vetores de ataques sofisticados de endpoints a redes e à nuvem, empresas passaram a adotar uma nova abordagem para combatê-las: primeiramente, o Extended Detection and Response (EDR) e, mais recentemente, o XDR (Extended Detection and Response).
O surgimento deste novo conceito fez com que as organizações repensassem a estrutura utilizada até então: o SIEM. Mas, afinal, o que diferencia XDR do SIEM?
Neste artigo, vamos falar sobre o conceito de ambos e quais as diferenças na prática, além de apresentar o ecossistema XDR da Trellix.
Primeiro, vamos entender o que é XDR
Como falamos no início, o XDR é a evolução de EDR. Alguns especialistas ainda consideram que o conceito de XDR ainda está em desenvolvimento.
Ao passo que o EDR coleta e correlaciona atividades em vários endpoints, o XDR aumenta o escopo de detecção para além deles. Com isso, é capaz de fornecer constatação, análise e resposta também em redes, servidores, cargas de trabalho em nuvem etc.
Um dos destaques é sua capacidade de oferecer um painel único que permite visibilidade aprimorada e contextualizada para auxiliar os times nas ameaças, seja por meio de investigação, tiragem e correção rápida.
O XDR surge para cobrir as falhas do SIEM
A jornada do SIEM teve início com uma abordagem mais ampla: coleta de dados de log e eventos disponíveis de várias fontes da organização para serem armazenados e utilizados em vários casos.
No entanto, as ferramentas SIEM exigem muitos ajustes e amplo esforço das equipes para que sejam implementadas. Os resultados são times de TI sobrecarregados com o grande número de alertas provenientes de um SIEM e perda de alertas críticos.
Dessa forma, o XDR surge como uma forma de resolver as falhas e brechas do SIEM para detecção e resposta eficazes a ataques direcionados. Isso inclui inteligência de ameaça e análise de comportamento.
Como citado anteriormente, o XDR coleta e correlaciona dados automaticamente em vários vetores de segurança. Isso facilita a detecção mais rápida de ameaças para que os analistas tenham dados para responder de forma eficiente, antes que elas cresçam e avancem.
Outro destaque é a sua capacidade de integração pronta para uso e mecanismos de detecção pré-ajustados em vários produtos e plataformas diferentes, melhorando a produtividade das equipes.
Em resumo:
Podemos afirmar que o XDR entrega o que um SIEM entregaria. Mas, o SIEM não é capaz de entregar o que o XDR oferece.
Isso porque o SIEM retém e correlaciona eventos e traz a inteligência para dentro da operação de segurança. Já o XDR, além de exercer essas mesmas funções, obtém inteligência de ameaça e orquestração de respostas.
Integrações com outras soluções e ferramentas
Outro ponto importante é que o SIEM necessita de soluções terceiras para incorporar, como antivírus, firewall ou mesmo proteção EDR. Dessa forma, mesmo com o arcabouço de soluções acopladas ao SIEM, será necessário muito tempo de maturidade, enquanto o XDR já está definido.
E este é um ponto importante em relação às duas tecnologias e aos fornecedores disponíveis no mercado e trazemos como destaque o ecossistema XDR da Trellix, lançada no começo deste ano (leia mais aqui).
Ele foi projetado para acelerar a eficácia das operações de segurança e fornecer aos clientes a capacidade de ingerir mais de 600 tecnologias nativas e abertas. Com isso, os analistas têm uma melhor percepção, mais controle e um contexto abrangente de ameaça, o que permite economia de tempo e condições para agirem de forma decisiva.
Por fim, a plataforma XDR aberta e nativa da empresa ajuda as organizações confrontadas com as ameaças mais avançadas de hoje a ganharem confiança na proteção e resiliência de suas operações.
Fale com o nosso time: a Defcon1 é Revelation Partner of the year
Em março de 2022, a Defcon1 foi nomeada com “Parceiro Revelação do Ano”, durante o Envolve Partner Summit 2022 realizado na Costa Rica. Foi um reconhecimento importante e demonstra a capacidade do nosso time em atender nossos clientes com as soluções da Trellix.
Quer saber mais como implantar o XDR na empresa? Fale com nossos especialistas e conheça a melhor plataforma disponível no mercado.