*Por Flavio Costa
Se você já pensou em proteger a sua casa ou escritório, provavelmente viu soluções como alarmes, luzes com detectores de movimento, câmeras etc. Mas todos estes controles de segurança, apesar de terem um efeito dissuasivo, só funcionam na detecção após algum tipo de acionamento, ou seja, depois que um intruso invadiu e passou por mecanismos preventivos como ofendículos, portas, fechaduras e outras barreiras. Já tem algo errado acontecendo e os mecanismos preventivos falharam. Esses sistemas pós-violação são importantes no acompanhamento do ciclo de vida de um ataque não só porque apoiam onde os sistemas de prevenção falham, mas também porque eles visam reduzir o tempo de permanência do criminoso. Se você limitar significativamente o tempo de um intruso, você provavelmente pode ter negado o uso de ferramentas que causariam um dano maior a sua propriedade e ainda pode impedi-lo de atingir seu objetivo primário.
Tempo médio de permanência de um ataque cibernético
De acordo com o relatório M-Trends da Mandiant para 2022, o tempo médio de permanência para ameaças cibernéticas (Tempo Médio de Permanência/Dwell Time) = Tempo Médio de Detecção (MTTD) + Tempo Médio de Resposta (MTTR)) caiu para 21 dias em 2021. Para colocar isso em uma perspectiva melhor, embora seja apenas três dias a menos que os resultados de 2020, é 184 dias a menos que os 205 dias de 2014. Dito isso, nem todo relatório mostra resultados tão otimistas. A IBM e a Ponemon Research publicam um relatório de custo de violação de dados há muitos anos e rastrearam métricas relacionadas ao tempo de permanência por um longo período. De acordo com o relatório de 2022, o tempo médio para identificar uma ameaça é de 323 dias, embora há dados que demonstrem uma redução para 249 dias, se a organização tiver implantado alguma tecnologia automatizada de detecção de ameaças e uma maior integração entre os componentes da arquitetura de segurança.
Como podemos observar, o tempo médio de permanência – dependendo da metodologia, amostragem, região, da indústria e de quem está gerando o relatório – varia muito. Embora alguns meses seja melhor do que mais de 100 dias, ainda é uma eternidade, dada a velocidade com que os negócios se movem e como o cibercrime pode evoluir. De qualquer forma, enxergamos uma redução, então há algum progresso.
E isso se deve a diversos fatores. A pandemia encurtou para meses o processo de inovação digital de diversas organizações, que sentiram a necessidade inerente de maior investimento em segurança, frente ao desafio de adaptação ao cenário de trabalho remoto e também ao constante crescimento de ataques cibernéticos, desde os mais genéricos e campanhas não direcionadas, como phishing, até os mais sofisticados, como APTs envolvendo ransomware e criptomining por seus diversos mecanismos de acesso inicial.
Outros fatores são os que foram justamente apontados pelo estudo da IBM: integração e automação. Mas como fazer isso em um ambiente heterogêneo, que é um quebra-cabeças composto por diversas peças de fornecedores diferentes? É aqui que entra o conceito de eXtended Detection and Response (XDR).
Mas para entender XDR, primeiro precisamos entender como funciona um antivirus (AV), e…
O que é Endpoint Detection and Response (EDR)?
Deixe-me começar dizendo que não há nenhuma diferença entre o que um hacker ético e um antiético sabem, eles possuem criteriosamente o mesmo conhecimento. Isso significa que eles sabem como explorar vulnerabilidades em sistemas, mas usam seus conhecimentos de maneiras diferentes. Hackers éticos usam seu conhecimento para ajudar as organizações a se protegerem, enquanto hackers antiéticos usam seu conhecimento para causar danos ou obter vantagem própria de forma ilícita.
A proteção (ou prevenção) de malware acabará por falhar. Como os hackers antiéticos sabem como a segurança funciona, eles sabem também como evitá-la. Aliás, esse é o conceito fundamental da definição de hacking: explorar vulnerabilidades em um sistema a partir do completo entendimento do seu funcionamento. Qual é a saída lógica de uma solução de antivirus (AV)? Bem, em primeiro lugar você precisa saber como funciona uma solução AV. De uma maneira muito simplificada, as soluções AV normalmente têm detecção baseada em assinaturas, o que significa que procuram padrões específicos ou assinaturas em arquivos para identificar malware conhecido e algum tipo de aprendizado de máquina (ML). Se eu quiser evitar a detecção de algum AV, basta eu criar uma nova assinatura que não será detectada pelo AV, o que é bastante trivial de se fazer, ou não usarei nenhum arquivo, realizarei a minha intenção maliciosa sobre processos que serão executados em memória, sem mexer no disco ou deixar rastros. Na verdade, essa é uma das razões pelas quais os ataques sem arquivos (fileless) são tão comuns hoje em dia.
Portanto, se você (ou seu cliente) está pensando em comprar uma solução AV e se inspirou no discurso de qualquer fornecedor que destaca e depende tanto dos seus recursos de “aprendizado de máquina de próxima geração” em soluções AV, pergunte: o que seu aprendizado de máquina pode fazer quando não há arquivos para analisar? Os melhores mecanismos AV são conhecidos por bloquear apenas 50-60% dos ataques. Em primeiro lugar: em termos de aceitação de risco, isso não é aceitável de forma alguma. Em segundo lugar, esta é apenas uma capacidade de prevenção e para ataques baseados em arquivos, há muitos outros tipos de malware e coisas ruins que podem acontecer que o AV não será capaz de prevenir ou detectar.
Você já ouviu aquela expressão “se há fumaça, há fogo”? A fumaça é o indicador de um incidente chamado fogo, mas se a fumaça for de um churrasco? Esse indicador não é malicioso de forma alguma. A fumaça é um IoC (indicador de comprometimento) que pode ser os 40-50% restantes que o AV não está detectando. Se houver fumaça, há algo acontecendo e precisamos investigar para ter certeza se isso é um churrasco ou todos os seus bens queimando. Se aquela fumaça não deveria ter acontecido. Bem… isso significa que há uma ameaça que não pudemos evitar. Então só porque temos um sistema de alarme de incêndio, isso significa que não precisamos chamar os bombeiros? E se o sistema falhou? Se foi explorado e iniciou a sequência errada e ao invés de usar o gás FM-200 primeiro, iniciou os aspersores com sistema de água? E se não forem suficientes para combater o incêndio? Seguindo a mesma analogia, se você estiver usando apenas um AV, isso significa que você está contando apenas com o detector de fumaça para combater o incêndio em seu ambiente.
Onde o AV fica aquém, o EDR entra em ação
As soluções de EDR, por outro lado, fornecem uma abordagem mais abrangente para a segurança de endpoints, indo além da simples detecção de malware, como resposta a incidentes, análise forense e recursos de threat hunting. Eles normalmente usam uma combinação de técnicas, como análise comportamental e aprendizado de máquina, para detectar e responder a ameaças avançadas em dispositivos, fornecendo mais visibilidade para detectar atividades, mesmo que não envolvam arquivos, ou até mesmo que não sejam maliciosas, com o intuito de fornecer visibilidade. Afinal de contas, você não pode detectar aquilo que não pode ver e, consequentemente, não poderá se proteger daquilo que não conseguir detectar. As soluções de EDR podem detectar e responder a ameaças conhecidas e desconhecidas, mesmo que não tenham uma assinatura específica. No meu canal no YouTube eu explico como funciona o Cisco Secure Endpoint, a ferramenta de EDR da Cisco.
Agora que já falamos sobre alguns desafios de cibersegurança com relação a tempo de permanência (detecção + resposta), sabemos que AV não é uma solução de segurança e sim uma funcionalidade que faz parte de uma solução mais completa que é o EDR.
Afinal de contas, o que é um XDR e como ele ajuda a combater o incêndio em seu ambiente?
Particularmente, acredito que ter capacidade de detecção e resposta estendidas (XDR) seja mais um resultado do que um produto. A resposta realmente varia conforme mudam os interlocutores para quem você pergunta.
A IDC define XDR como “uma extensão do MDR trazendo várias fontes de telemetria, como mensagens, logs de firewall, endpoint, rede e identidade e correlação de gerenciamento de acesso; integração com plataformas de proteção de dados; e integrações inteligentes com provedores de serviços web e e-mail, inteligência de ameaças e sistemas de detecção/prevenção de intrusão.”
A Forrester define XDR como “A evolução do EDR, que otimiza a detecção, investigação, resposta e busca de ameaças em tempo real. A Forrester acredita que a tecnologia XDR substituirá (EDR) no curto prazo e usurpará as funções de um SIEM no longo prazo.”
De acordo com o Gartner, o Extended Detection and Response (XDR) é “uma ferramenta de detecção de ameaças de segurança e resposta a incidentes baseada em SaaS, específica de um fornecedor, que integra nativamente vários produtos de segurança em um sistema de operações de segurança coeso que unifica todos os componentes licenciados”.
Em poucas palavras, vamos pensar em XDR como uma nova tecnologia de segurança cibernética.
Assim como um sistema detector de fumaça tradicional apenas alerta sobre a presença de fumaça em um local específico, as soluções AV e EDR tradicionais fornecem apenas visibilidade e alerta para tipos específicos de ameaças em endpoints. Obviamente, o EDR é uma evolução do AV, mas eles estão presentes apenas no endpoint e, assim como um sistema de alarme de incêndio, existem diferentes tipos de sensores que podem ser adicionados para detectar diferentes tipos de incêndios, como sensores de calor ou detectores de monóxido de carbono. Portanto, o XDR também pode ser considerado um sistema de supressão de incêndio que permite não apenas detectar um possível incêndio, mas também responder a ele automaticamente, antes que cause danos ou que eles sejam maiores.
O XDR expande os recursos do EDR integrando telemetria de várias fontes, como tráfego de rede, serviços em nuvem e dispositivos de segurança, para fornecer uma visão mais abrangente da postura de segurança de toda a organização, criando contextualização, que é super importante no entendimento de um incidente cibernético onde precisamos de respostas para perguntas como: onde o ataque começou? Quais sistemas ele afetou? Como ele se espalhou? Onde ele está presente nesse momento? Como podemos isolá-lo?
Observe que usei o termo “expande”. Portanto, isso não é algo que evoluiu do EDR ou foi feito para substituí-lo. Ele visa melhorar a detecção de ameaças e a resposta a incidentes, fornecendo um único painel para as equipes de segurança detectarem, investigarem e responderem a ameaças em tempo real. Isso ajuda a superar as limitações de soluções pontuais, pois permite detectar e responder a ameaças que podem ter passado despercebidas.
O Gartner diz que “os principais componentes da proteção da infraestrutura de segurança estão atingindo a maturidade de recursos e vários fornecedores oferecem amplos portfólios. Integrá-los é um próximo passo natural. Ao mesmo tempo, o armazenamento e análise de big data em nuvem e a capacidade de aprendizado de máquina estão permitindo abordagens mais centralizadas à segurança.”
Detecções mais inteligentes resultam em operações de segurança mais produtivas. Respostas mais confiantes resultam em segurança mais eficaz. *Flávio Costa é especialista em cibersegurança e porta-voz da Cisco, criador de conteúdo e instrutor oficial CompTIA.
Este artigo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Hub Cybertech Br.
