EDR vs XDR vs MDR: Qual deles sua empresa precisa?

Compilação de análise comportamental com EDR e XDR

A análise de ameaças comportamentais, também conhecida como análise de comportamento de usuários e entidades (UEBA), baseia-se na coleta de informações relevantes e no exame delas em busca de comportamento anômalo ou mau conhecido. Maus comportamentos conhecidos são tarefas que uma empresa identificou como uma entidade que não deveria estar executando, como um PC de escritório tentando fazer varredura de porta em um servidor no data center ou o PC de um corretor de bolsa tentando operar uma comunidade Discord.

Comportamentos anômalos são ações que não são categoricamente proibidas pela política, mas são incomuns e merecem investigação mais aprofundada — tal ação pode resultar em uma violação de segurança. Os exemplos incluem um assistente administrativo baixando centenas de gigabytes de informações de contato do CRM ou uma conta de usuário fazendo login em Vladivostok em vez de Pittsburgh.

Como o EDR lida com a análise de ameaças

As ferramentas de EDR transformam endpoints em peças de uma arquitetura de análise de ameaças e os utilizam para coletar dados sobre o estado do endpoint e o que ele está fazendo. Uma ferramenta EDR poderia registrar qual usuário está conectado à máquina, quais programas estão sendo executados nela em um determinado momento e o que esses programas estão fazendo na rede ou em serviços específicos.

As equipes de TI podem oferecer EDR por meio de um cliente independente, ou a funcionalidade EDR pode ser integrada a ferramentas padrão de proteção de endpoint que executam antimalware, firewall, prevenção de invasões, etc. Integrar ou usar as mesmas ferramentas do sistema de proteção de endpoint (EPP) amplifica a parte de resposta do EDR. Amplia as opções disponíveis para o sistema agir em resposta às ameaças quando elas são detectadas. As respostas podem variar desde a melhoria do registro até a exclusão de um usuário ou o desligamento de um dispositivo.

O estudo de pesquisa Secure Cloud Access and Policy Enforcement 2021-22 da Nemertes descobriu que as organizações que têm mais sucesso em segurança cibernética são mais propensas a usar um agente combinado EPP-EDR.

Como o XDR lida com a análise de ameaças

Os sistemas XDR realizam análises de ameaças comportamentais reais. Eles aplicam métodos que vão desde a simples correspondência de padrões até aprendizado de máquina e análise de linguagem natural para detectar ameaças e riscos. Os sistemas XDR funcionam com fluxos de dados de plataformas de servidores, aplicativos, serviços em nuvem e dispositivos de rede físicos ou virtuais.

Com a adição do EDR, as plataformas XDR também extraem dados de endpoints. XDR é basicamente uma reformulação da marca UEBA. A parte “estendida” pode ser interpretada como a extensão da análise a mais fluxos de dados, especialmente sistemas EDR, mas não indica uma mudança na função ou propósito fundamental.

EDR, XDR ou ambos? E o que acontece com o MDR?

Simplificando, EDR sem XDR é útil e XDR sem EDR é útil. Mas numa implementação ideal, o EDR alimenta e é conduzido por um sistema XDR.

As equipes de segurança cibernética estão –e têm estado há muito tempo– cronicamente com falta de pessoal e sobrecarregadas. Os riscos estão proliferando e o potencial impacto comercial de uma violação grave continua a aumentar. A expansão das operações de segurança padrão para incluir EDR e XDR irá inevitavelmente desencadear outra rodada de “faça você mesmo ou compre” na liderança em segurança cibernética.

É aí que entram em ação os serviços gerenciados de detecção e resposta (MDR). O MDR pode ser uma extensão de um contrato de terceirização SOC existente ou executado como uma oferta mais focada adquirida em adição ou em vez de um serviço SOC. Geralmente, as organizações mais pequenas não têm os recursos para equipar e financiar adequadamente um SOC e fariam bem em incluir o MDR em quaisquer acordos de terceirização de SOC que explorem. É provável que grandes organizações consigam gerenciar internamente a detecção e resposta a ameaças se já tiverem seu próprio SOC.

As organizações que terceirizam um SOC podem decidir terceirizar esse tipo de resposta a ameaças internamente devido aos eventos que surgem por meio do EDR e da organização. Em qualquer uma destas situações, o serviço SOC pode ter um âmbito de resposta limitado disponível.

As organizações que buscam EDR devem procurar produtos que:

• incorporar funções EPP ou integrar-se estreitamente com um cliente EPP;
• Integram-se desde o primeiro momento com os seus sistemas SIEM ou XDR;
• fornecer agentes para todos os sistemas operacionais relevantes;
• fornecer funcionalidade idêntica em todas as plataformas e dispositivos, incluindo desktops, laptops e dispositivos móveis; e
• oferecer um amplo conjunto de opções de resposta possíveis.

As organizações que buscam XDR devem, entre outras coisas, considerar:

• amplitude de fontes de dados compreendidas e integração imediata;
• gama de opções de resposta;
• disponibilidade de uma rica biblioteca de modelos ou runbooks para respostas; e
• incorporação significativa de técnicas de IA na análise.

A pesquisa da Nemertes mostrou que as organizações que são mais bem-sucedidas em segurança cibernética também têm maior probabilidade de integrar EDR com serviço de acesso seguro, corretor de segurança de acesso à nuvem (CASB) e implementações seguras de gateway como serviço da web (SWGaaS) e XDR com sua borda definida por software, serviços CASB e SWGaaS.