Há já alguns anos que falamos de eXtended Detection and Response (XDR), mas, apesar de ser uma palavra-chave na indústria, permanece uma questão fundamental: do que é que estamos realmente a falar? Segundo a Gartner, que definiu o termo pela primeira vez em 2020, XDR é uma ferramenta de deteção de ameaças e resposta a incidentes específica, que integra nativamente múltiplos produtos de segurança num sistema de operações de segurança coeso.
A tecnologia de deteção e resposta alargada do XDR aborda especificamente a necessidade de novos níveis de agregação, correlação e análise de telemetria de segurança, para proteger uma superfície de ataque cada vez mais diversificada e lidar com um panorama onde as ameaças se estão a tornar mais complexas de detetar.
A integração de capacidades XDR na infraestrutura de uma organização significa que os eventos de segurança de diversas fontes e ativos podem ser analisados e correlacionados para determinar que atividades estão a ter lugar. O XDR partilha conhecimentos de uma única plataforma de segurança para respostas rápidas e automatizadas que reduzem a carga de trabalho do pessoal de segurança.
A proposta da WatchGuard: ThreatSync
A correlação já estava presente na primeira versão do ThreatSync da Watchguard: um motor baseado na cloud que analisava dados de eventos de Host Sensores e Fireboxes para identificar comportamentos maliciosos.
Contudo, a antiga solução Threat Detection and Response (TDR) só utilizava a telemetria de endpoint para detetar ficheiros maliciosos e responder a ações iniciadas na cloud, correlacionando eventos de rede com ficheiros e processos individuais no endpoint.
Agora, o ThreatSync evoluiu para se tornar uma solução XDR, integrando soluções de segurança do endpoint e da rede numa única plataforma, que pode correlacionar informações de deteção de ameaças de diferentes camadas de proteção e orquestrar a resposta das ferramentas.
Principais argumentos
As principais características da solução ThreatSync da WatchGuard, que permitem elevar a segurança a um novo patamar são:
· Configuração Zero - Como componente chave da abordagem de Segurança Unificada da WatchGuard, o ThreatSync fornece uma plataforma com múltiplos produtos totalmente integrada, reduzindo os custos associados à configuração e integração de soluções de múltiplos pontos internamente.
· Segurança Abrangente - O XDR ThreatSync aproveita as capacidades de Segurança de Rede e de EDR da WatchGuard para proporcionar múltiplas deteções, que são recolhidas e transformadas em informações acionáveis em tempo real, através de uma única consola.
· Visibilidade Unificada de Ameaças - Reúne e exibe deteções de múltiplos produtos em computadores, servidores e firewalls a partir de uma única consola, eliminando a necessidade de os administradores aprenderem e utilizarem múltiplas consolas, permitindo-lhes responder e deter ameaças avançadas mais rapidamente do que nunca.
· Deteção Unificada de Ameaças - Proporciona capacidades de deteção alargadas, através da correlação de dados de diferentes camadas de proteção do portfólio de soluções de segurança, que indicam a presença de agentes de ameaça. Permite assim uma rápida contenção global do impacto, gravidade e alcance.
· Orquestração unificada de resposta a ameaças - O ThreatSync reduz o tempo médio de resposta (MTTR) ao permitir ações de resposta automatizadas para neutralizar as ameaças nas organizações, num processo mais simples e rápido, reduzindo o risco e oferecendo maior precisão.
Para saber tudo o que o WatchGuard ThreatSync pode fazer por si visite https://www.watchguard.com/wgrd-products/security-services/threatsync
