O XDR vai melhorar a segurança?

Texto original: Jon Clay (Global Threat Communications)

Cibercriminosos e hackers mal-intencionados têm mudado suas táticas, técnicas e procedimentos (o chamado TTP) para aprimorar sua capacidade de infiltrar uma organização e não serem pegos pelos profissionais e soluções de segurança. A opção por métodos mais direcionados de ataque parece ter se tornado a nova tendência desta área, que faz com que as organizações se vejam obrigadas a melhorar sua visibilidade sobre todo o ciclo de vida do ataque. Foi-se o tempo em que eles apenas visavam ao endpoint e, sendo assim, uma defesa conectada é fundamental.

Muitas organizações têm adotado o EDR (Endpoint Detection & Response) como forma de obter mais dados sobre os ataques em endpoints. Por outro lado, temos constatado, mesmo em casos de ransomware, que o endpoint tem sido cada vez menos visado. Ao invés de focar nele, os atacantes têm se movimentado lateralmente dentro das empresas em busca de sistemas críticos que aumentarão suas chances de receberem o resgate (veja este webinar em inglês sobre ataques de ransomware).

Isso significa que os indivíduos por trás de ataques motivados por dinheiro vão se deslocar pela rede e deixar rastros além do endpoint. Levar o EDR para outras áreas é justamente a definição do XDR. O “X” da questão pode ser um dado de rede, e-mail ou web, pode ser de instâncias cloud e outros. Isso proporciona muito mais visibilidade sobre todo o ciclo do ataque, desde a infiltração, passando pela movimentação e chegando à extração dos dados. E vai melhorar a capacidade da organização de evitar a extração de dados críticos ou a violação de sistemas críticos na rede.

Para fazer isso são necessários alguns componentes:

  1. Um fornecedor de segurança que tenha soluções em todo o composto da rede, incluindo nuvem, gateway (email e web), redes físicas, servidores, endpoints (incluindo dispositivos móveis) e IoT/IIoT;
  2. Suporte para inteligência de ameaças e analytics. Ele deve ser tão automatizado quanto possível e também ser capaz de incluir informações de terceiros (como CERT, ISAC, ISAO etc.);
  3. Histórico de expertise em correlacionamento de diversos vetores de ameaças com uso de IA e machine learning.

Isso vai exigir uma mudança substancial nas práticas tradicionais de segurança, saindo do modelo em que as empresas buscam soluções de ponta de diversos fornecedores (estimativas apontam uma média de 50-100 aplicações de segurança em empresas grandes). Ao invés disso, o futuro aponta para uma abordagem consolidada, com menos fornecedores. Usar diferentes fabricantes para as diversas áreas da segurança pode levar à formação de silos e segmentação devido à falta de integração entre os produtos do mercado; em contraste, o XDR consegue mudar este cenário, ao incluir os feeds de informação de terceiros.

A Trend Micro vem inovando há 30 anos e nossa gama de produtos nos permitiu desenvolver uma solução XDR efetiva. Além disso, os quase 15 anos de investimentos que fizemos em IA e machine learning em nossos produtos de backend e frontend nos dão ampla bagagem em análise de dados. Por fim, temos um enorme banco de dados global de inteligência de ameaças, que nos permite detectar perigos e proteger proativamente nossos clientes.