Detectar, reagir e mitigar as ameaças de segurança cibernética é uma das prioridades nos departamentos de TI atualmente.
Nenhuma empresa está imune a ataques cibernéticos e todos os negócios dependem de alguma forma do ambiente digital.
Como as organizações adotaram uma força de trabalho híbrida, remota e presencial, muitos funcionários estão usando dispositivos pessoais para realizar tarefas de trabalho diárias, que geralmente são conectadas por meio de redes desprotegidas.
Essa mudança levou a um aumento no número de ataques de ransomware, violações de dados e golpes online.
Por sua vez, as empresas estão procurando soluções modernas de monitoramento de segurança, detecção e resposta que forneçam cobertura muito além do software tradicional de proteção contra malware.
A medida que muitas empresas e executivos começam a explorar o mundo das soluções de segurança cibernética, eles ficam sobrecarregados com o amplo espectro de tecnologias, soluções e serviços disponíveis.
Neste post vamos apresentar as diferenças entre os 3 principais tipos de soluções de monitoramento, detecção e resposta de segurança: EDR, MDR e XDR.
EDR, MDR, XDR: decodificando as diferenças entre as soluções
Compreender os requisitos do seu negócio, da sua TI, da conformidade regulatória da sua empresa, e compará-los com as diferenças entre Detecção e Resposta de Endpoint (EDR), Detecção e Resposta Gerenciada (MDR) e Detecção e Resposta Estendida (XDR), ajudará você a navegar pela tecnologia e no processo de seleção do fornecedor de segurança.
Detecção e Resposta de Endpoint (EDR)
O EDR (Endpoint Detection and Response) é um software projetado para ajudar as empreas a identificar, interromper e reagir a ameaças ou ataques que se manifestam por meio de dispositivos terminais (laptops, desktops, tablets, smartphones, etc.).
Assim como outros softwares de segurança de endpoints, o EDR é implantado instalando agentes em endpoints e pode ser gerenciado por meio de software na infra-estrutura local ou por meio de um portal baseado em nuvem.
As soluções de EDR podem detectar malwares que foram criados para evitar o software antivírus tradicional.
Eles são ideais para empresas que têm uma força de trabalho remota, ou que têm uma necessidade crítica de proteger e monitorar constantemente endpoints distribuídos.
De acordo com o Gartner, mais de 50% das empresas substituirão o software de segurança legado, por soluções de EDR e plataformas de proteção de terminais (EPP) até o final de 2023.
A maioria dos produtos de EDR disponiveis atualmente, conseguem somente identificar eventos de segurança dos dispositivos nos quais seus agentes de software estão instalados.
Isso significa que a capacidade da plataforma EDR de detectar, proteger, interromper e responder a ataques e ameaças em toda a rede, está limitada aos terminais endpoints.
Isso resulta em monitoramento, detecção e resposta parciais de segurança e pode deixar outras áreas da rede de TI abertas a ataques.
Detecção e Resposta Gerenciada (MDR)
O MDR (Managed Detection and Response) é um serviço de segurança gerenciado avançado, que inclui monitoramento, alertas e suporte de resposta às ameaças e ataques 24 horas por dia, 7 dias por semana, 365 dias por ano.
Esse serviço é fornecido por uma equipe especializada, experiente e treinada do centro de operações de segurança, também chamado de SOC (Security Operacion Center).
Esses recursos normalmente aproveitam uma plataforma de gerenciamento de informações e eventos de segurança (SIEM – Security Information Event Management), que ingere e correlaciona arquivos de metadados de vários dispositivos de TI em toda a rede, incluindo aplicativos de missão crítica e ambientes de nuvem de terceiros.
O SIEM permite à equipe de operações de segurança discernir entre o que é uma ameaça real e o que não é (um falso positivo).
Isso é feito integrando informações e feeds de ameaças de terceiros (de fabricantes e agências federais por exemplo) ao SIEM, onde os indicadores de comprometimento (ameaça validada e inteligência de ataque) são combinados e comparados com os metadados gerados no ambiente do cliente.
A infra-estrutura de hardware, SIEM, software de tickets, processos e procedimentos operacionais são terceirizados (por uma fração do custo de construir esse recurso internamente), e normalmente são mantidos por um Provedor de Serviços de Segurança Gerenciados ou MSSP (Management Security ervice Provider).
MSSPs avançados vão além dos serviços básicos de monitoramento, alerta, relatórios e resposta e podem fornecer pesquisa avançada de ameaças, análise forense, verificação proativa de ameaças, relatórios personalizados, análises, inteligência e análise de incidentes e suporte de resposta para ajudar a remover riscos do ambiente do cliente, para se recuperar de um ataque ou violação de dados.
Os MSSPs também oferecem uma variedade diversificada de ferramentas de segurança cibernética, incluindo sistemas de detecção de intrusão, análise de tráfego de rede, SIEM, detecção de endpoint e muito mais.
Os serviços de MDR são adequados para organizações que não possuem uma equipe de segurança cibernética dedicada ou desejam terceirizar a função de operações de segurança, e permitir que sua equipe interna se concentre em atividades mais estratégicas do negócio.
Mesmo que sua empresa já tenha uma equipe de segurança interna, as soluções de MDR podem impedir que seus funcionários sejam sobrecarregados s com tarefas de pesquisa e análise de ameaças, gerenciamento e manutenção das plataformas de SIEM e emissão de tíquetes.
Provedores avançados de MDR também podem ajudar a evitar a fadiga e o esgotamento dos alertas, algo que mais de 84% das equipes de segurança estão relatando.
Por fim, provedores avançados de MDR, adaptarão seus serviços de acordo com as metas e os requisitos de segurança cibernética do cliente .
Detecção e Resposta Estendida (XDR)
O XDR é um termo desenvolvido pelo Gartner e fabricantes para descrever plataformas de detecção de ameaças e resposta a incidentes baseadas em SaaS, que aproveitam análises e automação para detectar, procurar e validar ameaças na rede e sistemas.
Geralmente o XDR é uma plataforma específica do fabricante, que integra várias aplicações e serviços de software de segurança, reunindo vários componentes em uma única solução.
Essas soluções XDR levam você além do EDR e de outros controles de detecção típicos, fornecendo uma visão completa das ameaças em toda a sua organização.
Eles usam uma combinação de automação e aprendizado de máquina para fornecer às equipes de segurança alertas confiáveis e ricos em contexto.
Uma palavra de cautela
Pesquisas e mais de 10 anos de experiência neste setor nos mostraram que nem todos os MSSPs são criados iguais.
Alguns MSSPs oferecem apenas serviços limitados de monitoramento, detecção e resposta a ameaças ou incidentes, e muitos não fornecem análises avançadas e inteligência acionável, que uma empresa pode aproveitar para desenvolver ou melhorar sua capacidade e programa geral de segurança cibernética.
Além disso, se você estiver procurando um MSSP, as organizações devem observar que alguns provedores de EDR se gabam de fornecer recursos de MDR, mas estão fornecendo esses serviços por meio de uma plataforma de EDR – não uma plataforma SIEM totalmente funcional que possui registro robusto, correlação de ameaças, inteligência e recursos de relatórios.
Essa tática de muitos provedores de EDR está confundindo o mercado, assim muitos provedores de EDR estão prometendo demais e definindo a expectativa errada em termos de quais ameaças podem realmente monitorar e detectar e como podem responder a essas ameaças.
Na verdade, eles estão fornecendo uma versão menos holística e abrangente do MDR baseado em SIEM e SOC.
Isso deixa uma organização suscetível a ataques e riscos porque a cobertura de monitoramento é minimizada.
Com base em nossa análise e experiência, muitas soluções de EDR que possuem recursos de MDR não fornecem XDR.
Escolhendo a solução certa de monitoramento, detecção e segurança de resposta de ameaças para sua empresa
A seleção de uma solução de segurança depende de vários fatores, incluindo suas metas e objetivos comerciais e financeiros, o orçamento de TI e segurança de sua empresa , a maturidade e o nível de capacidade de sua equipe e programa de TI e segurança e, por último, suas prioridades atuais de TI e operações, iniciativas e projetos.
As soluções de EDR parecem agregar mais valor às empresas que exigem monitoramento, detecção e resposta de ameaças superiores ou modernos de seus dispositivos de endpoint – não de toda a rede corporativa e aplicativos de negócios de missão crítica.
Muitas soluções de EDR incluem serviços gerenciados e suporte de manutenção de MSPs e MSSPs, de modo que as organizações que procuram terceirizar essas funções devido à equipe interna limitada, costumam ser as primeiras a adotar as tecnologias de EDR.
Se as organizações estiverem procurando implantar, gerenciar e manter soluções de EDR internamente, elas precisarão de treinamento adicional, educação, experiência e possivelmente suporte de terceiros, pois os tipos de ameaças, incidentes e situações de remediação que serão experimentadas pela equipe interna, muitas vezes exigem um certo nível de especialização no domínio cibernético.
O XDR oferece às empresas uma plataforma centralizada e uma pilha de serviços integrada em detecção e resposta a ameaças, a equipe que arquiteta, implanta e gerencia essa pilha de tecnologia e serviços precisa ser altamente experiente e treinada.
As ofertas avançadas de MDR, como as fornecidas Memphis Network, atendem organizações que buscam monitoramento, detecção e resposta de ameaças em toda a empresa (incluindo cobertura de dispositivos de endpoint) fornecidos por um grupo experiente, treinado e certificado de segurança e com profissionais de operações.
A Memphis Network fornece uma plataforma SIEM e XDR totalmente gerenciada como parte do serviço de MDR e pode oferecer análises, relatórios e inteligência de negócios aprimorados além de seu principal serviço de MDR.
Se você deseja defender e proteger proativamente seus funcionários, sistemas e dados enquanto melhora seu programa e postura de segurança, entre em contato conosco para explorar como os serviços de MDR podem reduzir seus riscos e proteger sua organização.