Segurança

Seria o XDR uma evolução do SIEM?

30/04/2021

Tempo estimado de leitura: 4 minutos

Tecnologia XDR gera proatividade no gerenciamento de segurança de uma empresa, identificando e corrigindo ameaças em tempo real.

Toda empresa precisa de um gerenciamento de segurança, ainda mais depois da popularização do trabalho remoto. Afinal, se antes a estrutura de uma organização estava centralizada em um escritório, agora cada lar dos colaboradores pode se tornar um vetor de ataque.

Para o cibercriminoso, basta apenas ter acesso a um terminal para expandir seu ataque por toda a rede corporativa. Essa invasão vem a partir de investidas bem comentadas aqui no Mundo + Tech: e-mails de phishing, SMS com links maliciosos, técnica de web scraping (saiba mais aqui).

Então, ter uma estratégia de segurança cibernética se tornou obrigação. Seja um projeto interno ou com apoio de parceiros, uma tecnologia tem chamado a atenção: a Extended Detection and Response (XDR).

XDR é uma solução projetada para detectar e entregar, de forma automatizada, ameaças por meio de uma varredura inteligente de todos os hardwares e softwares de uma empresa. Tudo isso porque integra outras tecnologias: Big Data Analytics, Inteligência Artificial e Machine Learning.

O objetivo de um XDR lembra bastante a premissa de um SIEM (solução que já abordamos neste artigo). Porém, há algumas diferenças entre essas duas tecnologias e você sabe dizer quais são? Leia este texto e entenda mais por que uma solução XDR tem sido destaque nas empresas.

O que é uma solução XDR?

Antes de detalharmos uma solução XDR, precisaremos voltar algumas casas. Muitos ataques, vazamentos de dados e outros eventos de segurança têm como ponto de partida um colaborador e a sua estação de trabalho.

Com o home office, então, as empresas passaram a adotar soluções de Endpoint Detection and Response (EDR), que vão proteger os endpoints corporativos. Ou seja, notebooks, desktops, smartphones, servidores físicos e outros dispositivos cedidos pela empresa.

O EDR vai prover um gerenciamento de segurança proativo, uma vez que ele terá visibilidade total da máquina a partir de um monitoramento contínuo e tempo real. Assim, o time de TI consegue mitigar ameaças, prevenir ataques e dar suporte para algo que possa ainda acontecer.

Porém, apesar de uma estação física estar totalmente em conformidade, é preciso lembrar que um dispositivo é uma infraestrutura de TI: ele se conecta à rede corporativa, à nuvem, aos servidores e aos aplicativos da empresa.

Se somar todas as infraestruturas de TI de uma empresa, ela poderia demorar para encontrar soluções para cada tipo de sistema e máquina. Então o XDR se torna uma opção para as equipes de segurança, que precisam responder em tempo ágil qualquer demanda.

Até porque a tecnologia, em uma única interface, irá agregar todos os seus dados, dando contexto necessário para detectar ataques sofisticados e até mesmo distribuídos de uma empresa: seja em infraestruturas em nuvem, estações de trabalho, dispositivos móveis, servidores etc.

Essa visibilidade holística da empresa permite um gerenciamento mais seguro, assim como aplicar políticas de segurança consistentes. As vantagens são conseguir antecipar tendências de ameaças e diminuir a carga de trabalho da TI com monitoramentos constantes das operações.

Principais características e diferenças de EDR e XDR

Tanto a solução EDR quanto XDR têm a mesma proposta: fazer com que uma empresa deixe de ter um gerenciamento de segurança reativo por ter sistemas e tecnologias legados. Entre as semelhanças das duas tecnologias, estão:

– Prevenção: as soluções possuem uma abordagem preventiva em que se concentram na detecção e correção contínuas de ameaças. As duas também atuam para evitar incidentes de segurança ao coletar dados, gerando análises deles e aplicando uma medida antes de algo ocorrer.

– Agilidade: por fornecerem respostas rápidas a ameaças, as duas tecnologias conseguem minimizar os custos de um incidente e reduzir os possíveis dados gerados devido a uma invasão.

– Proatividade: a coleta de dados vai identificar possíveis brechas e falhas de segurança. Com alertas enviados ao time de TI, os colaboradores conseguem atualizar e corrigir esses problemas antes que eles sejam explorados.

Mas, como citado no tópico anterior, XDR dá uma visão de todo trabalho na rede e nos ambientes em nuvem. Além disso, o XDR se diferencia do EDR em mais um ponto:

Integração: O EDR protege um endpoint. Ou seja, detalha e previne ameaças de um único dispositivo. É preciso integrar todas as licenças EDR em uma interface para a empresa ter uma visão geral de todas as máquinas.

Enquanto isso, uma solução XDR consegue reunir os dados coletados de dispositivos, e-mails, sistemas, aplicativos e ambientes em nuvem de forma simplificada. O benefício é um time de TI com uma arquitetura de segurança resumida e intuitiva para tocar as demandas de trabalho.

E qual a relação com o SIEM?

A pergunta deste tópico é explicada por Curtis Franklin Jr., editor sênior da Dark Reading, braço de segurança da InformationWeek. O SIEM vai extrair dados de uma variedade de fontes (criando logs de cada atividade) para, assim, realizar análises automatizadas.

Em seguida, vai fornecer “alertas e ações para a equipe de segurança e de infraestrutura”, ressalta Franklin Jr., que terão a missão de corrigir e atualizar os possíveis problemas e ameaças encontrados pela tecnologia.

Porém, quando comparada a uma solução XDR, o SIEM demanda a contratação a parte de funções de segurança adicionais, como: antivírus, firewall e até mesmo uma proteção EDR. Daí fica a questão se XDR é uma evolução dessas duas tecnologias.

O editor do Dark Reading destaca que o XDR pode ser uma saída mais simples quando uma empresa busca um fornecedor de segurança. Com um maior número de dispositivos espalhados em diversas residências, as empresas podem encontrar uma escassez de habilidades dos funcionários de TI para que consigam lidar com possíveis eventos de segurança chegando de todos os lados.

Principais destaques desta matéria

  • XDR é uma tecnologia que fornece proatividade no gerenciamento de segurança.
  • Ela coleta e integra dados de hardware e software para identificar ameaças em tempo real.
  • Com maior número de funcionários trabalhando remotamente, solução diminui complexidade da estratégia de segurança de uma empresa.

Compartilhe:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NEWSLETTER