Segundo a pesquisa State of Enterprise DFIR de 2023, 64% dos entrevistados afirmaram que a sobrecarga de alertas e das investigações contribuem para um ambiente de estresse e falta de tempo para outras atividades. Uma estatística que não surpreende, visto que em média as equipes SOC recebem 4.484 alertas todos os dias (um a cada 6,42 segundos em um dia de trabalho de oito horas).
No centro desta questão estão soluções desconectadas e ineficientes de detecção e resposta a ameaças. Muitos profissionais de segurança utilizam ferramentas SIEM para coletar logs e alertas de diversas ferramentas de segurança diferentes entretanto podem surgir dois problemas:
1) Os ataques cibernéticos raramente ficam em silos
2) Soluções SIEM são ótimas na coleta de dados, mas nem todas conseguem correlacionar esses dados de maneira eficaz.
A visibilidade prejudicada e a falta de contexto muitas vezes levam a falsos positivos que retardam os esforços de investigação. A Help Net Security descobriu que as equipes do SOC passam quase três horas fazendo uma triagem manual dos alertas.
XDR é a evolução da detecção e resposta de endpoint (EDR) pois vai além da abordagem de camada única proporcionada pelo EDR ao coletar e correlacionar dados em tempo real e de várias camadas de segurança como e-mail, servidor, carga de trabalho em nuvem, rede e endpoint.
A correlação de atividades para reduzir detecções de alta confiança minimiza o enorme volume de falsos positivos e permite uma detecção e respostas mais rápidas às ameaças. O Enterprise Strategy Group descobriu que ao organizações adotarem o XDR, imediatamente experimentam melhorias significativas em sua postura geral de segurança, aumentam a capacidade de detectar ameaças avançadas e diminuem os tempos de investigação de alertas. A adoção e o ajuste fino dos recursos XDR melhoram a eficiência da segurança, simplificam as operações de segurança e aumentam a produtividade da equipe.
Adotando a abordagem XDR correta
A abordagem adotada dependerá das necessidades da sua organização. Não existe uma única maneira de obter alta capacidade de XDR e nem todas as soluções ou abordagens de são criadas iguais. As três abordagens mais comuns são:
– Nativo (abrangente): essa abordagem aproveita sua própria base para muitas de suas fontes de dados e gerencia todo o processo de XDR em uma única plataforma.
– Aberto: oferece recursos XDR por meio de uma coleção de integrações de terceiros.
– Híbrido: usa fontes nativas em conjunto com integrações de API e de terceiros para detecção correlacionada, investigações integradas e resposta multicamadas.
Independentemente do modelo adotado, opte por um fornecedor com uma base sólida de telemetria nativa com possibilidade de integrar suas fontes existentes.
XDR nativos oferecem vantagens significativas por sua capacidade de aproveitar dados profundos das atividades, otimizar modelos analíticos e otimizar a detecção correlacionada. O Aberto tem uma vantagem sobre o Nativo pois pode coletar dados de forma mais ampla e em muitos casos analisar apenas os dados de alerta, limitando o contexto fornecido e a análise que pode ser feita. Além disso, um fornecedor com modelos de detecção robustos prontos para uso em camadas de segurança, facilita a operação das equipes e elimina a complexidade de configuração de um produto que depende muito de integrações de terceiros.
Embora as estatísticas mostrem que os gastos com segurança cibernética continuam a aumentar, isso não garante que o seu orçamento continuará nessa linha crescente. Ter o sinal verde para investimentos em segurança cibernética pode ser um desafio, por isso aqui estão alguns pontos que defendem a implementação de XDR:
Investir em soluções de segurança = investir no negócio. De acordo com o Cost of a Data Breach 2022 da IBM, as organizações que usam XDR economizaram quase 10% em média em custos de violação e reduziram o ciclo de vida da violação em 29 dias. Menos tempo de inatividade operacional e impacto financeiro são música para os ouvidos dos executivos.
Reduzir o seguro de responsabilidade cibernética. Demonstrar que o XDR vai além do endpoint e que reduz significamente o risco cibernético pode ajudá-lo a diminuir os valores do seguro.
Com a solução XDR da Trend Micro você pode garantir que os invasores não tenham mais onde se esconder e aumentar a segurança cibernética da empresa.
Quer saber mais? Fale com nosso time comercial preenchendo o formulário ou iniciando uma conversa por WhatsApp.