FortiXDR - Detecção, investigação e resposta automatizada a ameaças
Fortinet
A inovação digital transformou as empresas e as redes que utilizam para executar aplicações críticas, realizar transacções online, ligar trabalhadores à distância e capturar e processar dados importantes. E, tal como no passado, estes avanços trouxeram novos desafios de segurança que conduziram a novas soluções de segurança para enfrentar estes desafios. Contudo, a velocidade da transformação deixou pouco tempo às empresas para considerarem a infra-estrutura de segurança mais ampla ao implementarem estas soluções. O resultado é que hoje, mais do que nunca, as equipas de segurança devem tentar gerir uma vasta colecção de ferramentas de segurança de múltiplos fornecedores e alcançar algum tipo de visibilidade e de orquestração e aplicação consistente das políticas em toda a empresa. Entre outros desafios, as equipas de segurança estão a lutar para detectar e responder a um número crescente - e cada vez mais prejudicial - de ciberataques através de um conjunto de ferramentas de segurança complexo e largamente isolado.
Em conversas com clientes, geralmente através de briefings executivos on-line, a maioria compreende os desafios logísticos e tecnológicos desta complexidade e está interessada em passar de dezenas de diferentes fornecedores e produtos de segurança para um punhado ou menos de plataformas de segurança, complementadas por produtos autónomos conforme necessário. Portanto, não me surpreende que, segundo Gartner, 80% das organizações estejam actualmente a consolidar ou a planear consolidar os fornecedores de segurança. Mas a questão que se coloca é: "Como é que eu decido qual o(s) fornecedor(es) a escolher como parte da consolidação"?
Para além de considerações pragmáticas como a satisfação com o fornecedor, o âmbito dos controlos disponíveis na sua plataforma, a eficácia e características de cada controlo, e muito mais, surgiu um princípio organizador que simplifica e integra este processo - XDR, ou eXtended Detection and Response. Definido pelo Gartner como "uma plataforma de detecção e resposta a incidentes de segurança que recolhe e correlaciona automaticamente dados de múltiplos produtos de segurança", o XDR permite um princípio de integração essencial que alavanca as tecnologias existentes para criar uma visão e controlo unificado sobre ambientes complexos e distribuídos. Este é um princípio de consolidação muito mais sensato do que a tomada de decisão orientada por aquisições ("o fornecedor deu-nos muito sobre um conjunto de produtos"). XDR permite diferentes soluções de segurança para ver, partilhar e analisar dados, para que possam detectar mais eficazmente as ameaças e dar uma resposta coordenada que cubra toda a superfície de ataque.
Embora isto pareça uma grande ideia - e é - é muito mais complicado do que possa parecer à primeira vista. Algumas soluções XDR provêm de grandes fornecedores de segurança que podem integrar vários produtos na sua carteira, e outras de pequenas start-ups que tentam criar uma camada de normalização através de componentes de diferentes fornecedores. Cada abordagem tem as suas vantagens e desvantagens. No primeiro caso (fornecedor único de soluções), deve esperar-se uma visão unificada, experiência política comum, relações estreitas entre produtos e outras vantagens. A maior desvantagem é provavelmente a escolha limitada dentro da carteira desse fornecedor. A escolha de uma abordagem XDR 'aberta', por outro lado, afrouxa a restrição de um único fornecedor, mas é provável que fique aquém de outras áreas, tais como integração, análise ou automação. Na nossa experiência, o esforço necessário para gerir de forma centralizada muitos produtos (e múltiplas versões dos mesmos) é significativo. Multiplique este esforço exponencialmente pelo diversificado panorama de fornecedores, para não mencionar a enorme tarefa de análise e automatização para além da gestão, e o resultado é uma enorme sobrecarga para esses fornecedores e uma multiplicidade de limitações para o utilizador final.
FortiXDR - A única solução XDR para gerir de forma autónoma incidentes cibernéticos do início ao fim.
Na Fortinet, desenvolvemos soluções integradas e multi-produtos que funcionam como um sistema único e coeso; primeiro com o Advanced Threat Protection Framework e, mais recentemente, com o Fortinet Security Fabric. O Tecido de Segurança é uma plataforma de segurança cibernética abrangente, integrada e automatizada, alimentada pelos serviços de segurança FortiGuard Labs que protege a empresa digital desde o ponto final e o IoT através da rede e da nuvem. FortiXDR foi concebido para estender o Fortinet Security Fabric, reduzir a complexidade, acelerar a detecção, automatizar a investigação de alertas e coordenar a resposta a ataques informáticos. Como parte do Tecido de Segurança Fortinet, FortiXDR é capaz de aproveitar o tecido de dados comum, telemetria correlacionada, visibilidade unificada, integração nativa e interoperação sem descontinuidades do portfólio de soluções habilitadas para o tecido da Fortinet. Com base nisto, análises automatizadas, investigações de incidentes e respostas predefinidas são executadas directamente fora da caixa. FortiXDR fornece estas capacidades avançadas para as três etapas de detecção e remediação de incidentes de segurança:
- Detecção avançada: FortiXDR começa por aproveitar a riqueza da informação de segurança partilhada através do Tecido de Segurança Fortinet para correlação e análise. E porque pode reunir informações em toda a mais vasta carteira da indústria, mais telemetrias de ameaças podem ser utilizadas para encontrar uma ameaça activa - especialmente as concebidas para evitar a detecção
- Investigação avançada: FortiXDR é a primeira solução XDR a utilizar inteligência artificial (IA) para investigar ameaças detectadas - um processo que qualquer outra solução XDR entrega a um analista de segurança humana sobrecarregado, retardando o processo e deixando os sistemas vulneráveis a erros humanos. E dado o volume de alertas que a maioria das redes gera, muitas equipas de segurança simplesmente não têm os recursos para investigar todas as ameaças potenciais.
Tradicionalmente, uma vez iniciada a detecção, um analista de segurança deve analisar o potencial incidente, decidir como investigá-lo e verificá-lo, avaliar o âmbito e os componentes associados para determinar se indica uma ameaça mais profunda que pode não ser imediatamente visível à primeira vista, e depois determinar a resposta adequada - se deve classificar o alerta como falso positivo ou desencadear a solução XDR para responder.
- Resposta avançada: Como o FortiXDR está totalmente integrado no Tecido de Segurança, é inerentemente capaz de mobilizar todos os recursos disponíveis necessários para uma resposta eficaz, automatizada e coordenada. E porque as suas capacidades de resposta são mais unificadas do que a maioria dos formatos de informação de segurança, os clientes podem também utilizar conectores para incorporar até mesmo muitas soluções de terceiros na sua resposta.
Principais benefícios de FortiXDR
FortiXDR não só acelera a detecção, investigação e resposta, mas também fornece um argumento convincente para as organizações consolidarem produtos de segurança independentes.
Os primeiros utilizadores mostram que, em média, o número de alertas que requerem investigação é reduzido em 77% ou mais. E, como mencionado anteriormente, FortiXDR é a única solução XDR que é aumentada com AI em todos os elementos do processo de detecção, investigação e resposta. Isto reduz a carga sobre as equipas de segurança ao completar tarefas complexas em segundos, que levariam os peritos com ferramentas especializadas 30 minutos ou mais. E fá-lo sem erro humano.
E com a sua vasta carteira de controlos independentes que podem ser implementados para abordar a cadeia de ciber-morte de ponta a ponta, há muitas oportunidades para consolidar cada vez mais vendedores ao longo do tempo.
Tudo isto permite às organizações reduzir o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR), reduzindo o impacto dos incidentes cibernéticos e melhorando simultaneamente a eficiência das operações de segurança e a postura global de segurança. Liberta profissionais de segurança experientes para contribuições de maior valor para a segurança da organização e ajuda a própria organização a continuar a competir eficazmente, ao mesmo tempo que aborda a segurança e a proliferação de vendedores através da consolidação de soluções estratégicas e da detecção e resposta automatizada de ameaças em toda a rede distribuída.