Como o XDR funciona

O XDR (Extended Detection and Response) é uma solução unificada de segurança cibernética que coleta e analisa dados de várias fontes para prevenir, descobrir e responder a ataques cibernéticos. Ela expande a Detecção e Resposta de Endpoints (EDR) com recursos adicionais para detecção e resposta em um domínio de rede, ou mesmo entre domínios, para proteger de forma coesa todo o ambiente digital de uma organização, incluindo sua rede, armazenamento em nuvem, aplicativos e endpoints.

Por que XDR para segurança de endpoint?

Construir o contexto de um incidente de segurança identificando as causas-raiz e determinando como responder exige um alto grau de conhecimento especializado, habilidades e experiência, e é difícil encontrar pessoas com esses recursos. Mesmo com o talento certo, os analistas de ameaças das empresas estão cada vez mais sobrecarregados com a investigação manual e o escalonamento de eventos de segurança com base em informações correlacionadas de uma ampla variedade de produtos de segurança, como sistemas SIEM (Security Information and Event Management), EPP (Endpoint Protection Platforms) e outros sistemas de prevenção e detecção de intrusão (IPS) de rede e host.

O XDR foi desenvolvido para detecção e resposta a ameaças mais avançadas - soluções capazes de gerar automaticamente associações contextuais entre eventos e reconhecer comportamentos anômalos - para reduzir a carga sobre os analistas humanos. A detecção avançada não se trata de mais alertas, mas de alertas melhores e respostas automatizadas. 

Como o XDR funciona

O XDR atinge seu objetivo de detecção de maior qualidade, análise automatizada e ajuste em tempo real à conscientização da segurança da rede e dos terminais de algumas maneiras.

O XDR não apenas correlaciona dados de registro de eventos de segurança, mas também une dados relacionados, gerando fluxos lógicos detalhados e aplicando análises baseadas em aprendizado de máquina para detectar comportamentos anômalos. 

Essa análise produz uma "história única", permitindo a análise de dados cruzados para aumentar a visibilidade e descobrir o contexto da ameaça, como táticas, técnicas e procedimentos (TTP) relacionados a um evento de segurança.

Em segundo lugar, o XDR realiza uma análise dinâmica dos processos em execução (incluindo a geração de processos filhos) para: 

  • Detectar processos de malware nocivos
  • Verificar a sanidade dos arquivos críticos do sistema e dos arquivos de configuração
  • Rastrear processos que acessam, modificam ou executam arquivos críticos do sistema
  • Inspecionar o conteúdo da memória para detectar malware sem arquivo

O XDR procura identificar ameaças internas que podem já ter contornado as varreduras externas e obtido acesso inicial. O XDR pode detectar ameaças desconhecidas e ameaças que as assinaturas de malware não conseguem identificar. 

As ferramentas XDR compartilham informações de inteligência sobre ameaças com um servidor gerenciado centralmente que pode atualizar os perfis de segurança de todos os endpoints, aumentando a conscientização em toda a rede. O XDR também pode agir acessando remotamente os serviços nos endpoints para procurar e evitar ameaças semelhantes.

Funções básicas do XDR

  • Identificação de malware baseada em assinatura
  • Funções do firewall do host
  • Criptografia de disco total ou parcial ou segmentação de dados
  • Restringe e monitora o uso de dispositivos USB
  • Permitir ou não permitir o acesso a determinados aplicativos e URLs

Funções XDR avançadas

  • Junte dados relacionados de rede, nuvem e endpoint
  • Gerar fluxos lógicos detalhados do processo e do comportamento do usuário
  • Realizar análise dinâmica dos processos em execução
  • Identificar o uso indevido de credenciais
  • Monitore as conexões de rede do endpoint quanto a comportamentos anômalos
  • Aplique a análise baseada em aprendizado de máquina para detectar comportamentos anômalos
  • Analisar o contexto dos processos à medida que eles são gerados
  • Verificar a sanidade dos arquivos críticos do sistema e dos arquivos de configuração
  • Rastreie quais processos estão acessando, modificando ou executando arquivos críticos do sistema
  • Inspecionar o conteúdo da memória para detectar malware sem arquivo
  • Compartilhe informações de inteligência sobre ameaças com um sistema de gerenciamento central
  • Crie perfis de ameaças em tempo real a partir da inteligência compartilhada sobre ameaças
  • Envie as alterações de configuração do perfil de segurança para os endpoints em toda a rede
  • Coloque em quarentena, substitua ou exclua remotamente arquivos de endpoints em toda a rede 
  • Acesse remotamente qualquer serviço de endpoint, como shell, PowerShell e scripting 
Como um serviço de Detecção e Resposta Gerenciada 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece a experiência e o suporte de que os CISOs precisam. CylanceGUARD combina a profunda experiência incorporada pelo BlackBerry Cybersecurity Services com a proteção de endpoints baseada em IA por meio de CylanceENDPOINT. Em resumo, o CylanceGUARD fornece às empresas as pessoas e a tecnologia necessárias para proteger a empresa do cenário moderno de ameaças.