Next
O equívoco de achar que “somos pequenos demais para sermos um alvo” está se tornando menos comum nos dias de hoje. Os diversos ataques à cadeia de suprimentos nos últimos anos mostraram que não é necessário ser o alvo principal dos invasores para sofrer um ataque sofisticado. Basta ter um cliente ou parceiro importante, ou simplesmente uma base de clientes ampla. Por isso, muitas pequenas e médias empresas (PMEs) já adotaram soluções de EDR há muito tempo. Felizmente, o mercado oferece produtos EDR modernos que são acessíveis até mesmo para pequenas empresas e que não são particularmente difíceis de gerenciar.
Mas será que a funcionalidade EDR é suficiente para suas necessidades ou é hora de começar a considerar o XDR? Para responder a isso, você precisa fazer quatro perguntas adicionais.
Sua equipe de segurança cibernética consegue lidar com o volume de alertas?
Qualquer profissional de segurança cibernética que use um console EDR precisa processar um enorme número de alertas de endpoints. Um único incidente pode acionar centenas de alertas semelhantes. Por exemplo, quando o mesmo arquivo malicioso é detectado em uma centena de terminais diferentes. Cada alerta consome tempo e atenção do especialista em segurança cibernética. Esse trabalho repetitivo e exaustivo é uma das principais causas de burnout da equipe de segurança.
Com o Kaspersky Next XDR Optimum, alertas relacionados são agrupados, permitindo que os operadores vejam instantaneamente um panorama mais completo do incidente. As ações de resposta também podem ser aplicadas a todos os alertas semelhantes com um único clique, em vez de tratá-los um por um. Isso reduz a carga de trabalho da equipe e diminui de forma significativa o tempo de resposta a incidentes.
Seus especialistas têm tempo suficiente para investigar os incidentes?
Suponha que sua solução EDR detecte atividade maliciosa em uma de suas estações de trabalho. A resposta lógica de um operador de EDR é isolar o dispositivo e investigá-lo a fundo. Mas isso leva tempo, e ao se tratar de um incidente sério, tempo é a única coisa que você não tem. Primeiro, pode não estar imediatamente claro em que estágio o ataque foi detectado. Pode ser que os invasores já tenham obtido acesso a outros endpoints. Em segundo lugar, um grande número de ataques atuais ocorre devido a credenciais corporativas comprometidas. O operador não tem como saber se um funcionário abriu acidentalmente um anexo de e-mail malicioso ou se um estranho efetuou login se passando por aquele funcionário para atacar a infraestrutura. E, se for o último caso, o invasor pode tentar obter acesso com o mesmo nome de usuário e senha em outro lugar.
O Next XDR Optimum permite bloquear usuários diretamente no Active Directory a partir do cartão de alerta. Isso ajuda a conter o ataque, limitar possíveis danos e ganhar tempo valioso para que uma investigação mais completa seja feita.
Sua equipe de segurança cibernética tem contexto suficiente para responder às ameaças?
Um alerta EDR informa ao operador que um arquivo malicioso foi detectado em uma estação de trabalho, permitindo que ele comece a tomar ações defensivas. Mas, às vezes, isso não é suficiente. Um arquivo malicioso pode ser apenas parte de um ataque maior, que exigiria investigação mais profunda para ser detectado e neutralizado.
O Next XDR Optimum dá aos operadores acesso ao Kaspersky Cloud Sandbox, onde arquivos suspeitos podem ser enviados a um ambiente de nuvem isolado e analisados com segurança para descobrir suas ações reais. O sistema ajuda a criar um indicador de comprometimento, permitindo uma verificação rápida da infraestrutura em busca da mesma ameaça em outros endpoints.
Seus funcionários têm consciência suficiente das ameaças cibernéticas?
Voltando à questão da sobrecarga de alertas: especialistas em segurança cibernética que trabalham com um sistema EDR ao investigar um incidente às vezes descobrem que a causa do alerta foi erro humano. Alguém abriu um anexo malicioso de e-mail ou clicou em um link que levou a uma página de phishing. A experiência mostra que aumentar a conscientização dos funcionários reduz muito a carga de trabalho das equipes de segurança cibernética em geral e, em particular, o volume de alertas. Para isso, um programa educacional bem estruturado é mais eficaz do que palestras e lembretes ocasionais.
Esse benefício não está diretamente relacionado à funcionalidade XDR; contudo, cada licença do Kaspersky Next XDR Optimum inclui Kaspersky Security Awareness Training direcionado para funcionários com maior probabilidade de causar incidentes de alto impacto (executivos, membros das equipes financeiras, usuários privilegiados e qualquer pessoa que já tenha sido vítima de engenharia social). Mas, acima de tudo, o Next XDR Optimum permite que o especialista em segurança cibernética atribua um curso adequado a um usuário diretamente do cartão de alerta, sem interromper a resposta ao incidente. A experiência mostra que lições aprendidas imediatamente após uma falha que causou um incidente são especialmente memoráveis e úteis, ajudando a evitar que o mesmo erro se repita no futuro.
Se sua equipe de segurança cibernética se sentir sobrecarregada por alertas ou precisar de mais ferramentas de gerenciamento e contexto de ameaças, vale a pena considerar migrar para o Kaspersky XDR Optimum. A migração do Kaspersky EDR Optimum para o XDR Optimum não requer recursos adicionais para implementação nem para o re-treinamento da equipe. E o pequeno aumento de custo é amplamente compensado pela melhoria significativa na segurança da infraestrutura da sua empresa.
Dicas