Clarifique el concepto de XDR y apueste por la proactividad
Kathy Trahan · 19 de enero de 2022
XDR (eXtended Detection and Response, o detección y respuesta ampliadas) sigue siendo un acrónimo técnico que se introdujo en el sector de la ciberseguridad y que viene cargado de promesas. Cada proveedor de soluciones de seguridad tiene su propia explicación de XDR, pero muchos ofrecen información confusa o no consiguen explicar con claridad el concepto, ya que se trata de un mercado emergente.
Este exceso de información puede resultar frustrante para los profesionales de la seguridad, que trabajan incansablemente en la protección frente a las amenazas persistentes. En esta publicación, vamos a clarificar de una vez por todas el concepto de XDR para que sea capaz de comprender la información importante y pueda tomar decisiones fundamentadas respecto a la ciberseguridad.
¿Qué es XDR?
Empecemos por definir el concepto. XDR (eXtended Detection and Response) es una herramienta capaz de integrar de forma nativa varios productos de seguridad en una plataforma unificada y cohesionada de detección y respuesta a incidentes de seguridad, y se considera la próxima evolución de la detección y respuesta para endpoints (EDR). "Extended" significa "ampliadas" y hace referencia al hecho de que van más allá de los endpoints para llegar hasta la red y la infraestructura en la nube. Esta transversalidad es el denominador común de la tecnología XDR.
Pero ¿es una solución que se puede comprar o una estrategia de seguridad que se puede adoptar? Muchos proveedores ofrecen productos o funciones XDR que se pueden comprar. Sin embargo, para disfrutar realmente de las ventajas de esta tecnología, las empresas tienen que migrar a un ecosistema XDR que cambie los procesos y promueva la coordinación estrecha entre funciones distintas, como analistas de SOC, cazadores de amenazas, responsables de la respuesta a incidentes y administradores de TI.
Según Gartner, XDR es "una herramienta de detección de amenazas y respuesta a incidentes de seguridad, específica de cada proveedor y basada en SaaS, que integra de forma nativa varios productos de seguridad en un sistema cohesionado de operaciones de seguridad y unifica todos los componentes con licencia". Gartner señala los tres requisitos principales de todo sistema XDR: centralización de datos normalizados orientada fundamentalmente al ecosistema del proveedor de soluciones XDR, correlación de datos y alertas de seguridad en forma de incidentes, y capacidad de respuesta ante incidentes centralizada con la posibilidad de modificar el estado de cada producto de seguridad como parte de la respuesta a los incidentes o por la configuración de las directivas de seguridad.
ESG la define como una suite integrada de productos de seguridad que se extiende a arquitecturas de TI híbridas y se ha diseñado para garantizar la interoperabilidad y la coordinación a la hora de prevenir, detectar y responder a las amenaza. Dicho de otro modo, la tecnología XDR unifica los puntos de control, la telemetría, los análisis y las operaciones de seguridad en un solo sistema empresarial. Para identificar los ataques multifase avanzados es necesario mejorar los análisis intervectoriales. Asimismo, para garantizar la eficacia de los flujos de trabajo integrados se precisan directrices de implementación.
Forrester considera que XDR es la próxima generación de EDR que integrará telemetría de endpoints, redes y aplicaciones. La integración es nativa cuando se usan soluciones de un mismo proveedor o híbrida cuando esas soluciones son de proveedores distintos. Entre los principales objetivos se incluyen dotar a los analistas de análisis basados en los incidentes para llegar a la raíz de los problemas, ofrecer soluciones normativas con la capacidad de organizarlas, y correlacionar los casos de uso mediante técnicas MITRE ATT&CK para convertirlos en consultas complejas que definan comportamientos en lugar de eventos aislados.
Temas de XDR
Un tema de XDR recurrente apela a la gran cantidad de funciones de seguridad, datos integrados y seleccionados, y vectores de control que se coordinan para aumentar la eficacia de las operaciones de seguridad al responder a las amenazas. La prioridad es eliminar la complejidad y ofrecer mejor capacidad de detección y mayor conocimiento de los riesgos a los que está expuesto el entorno para encontrar una respuesta más rápidamente.
La existencia de una amplia variedad de funciones de detección y respuesta hace pensar que este objetivo no se puede lograr con un solo proveedor. Muchos profesionales de seguridad defienden una estrategia de alianzas integrada para unificar las defensas y simplificar el trabajo en los distintos dominios y vectores. Se trata de un método más realista, ya que la mayoría de las organizaciones no recurren a un solo proveedor para cubrir todas sus necesidades de seguridad. Si bien lo más sencillo podría ser comprar una suite XDR que incluya la mayoría de las herramientas necesarias, deberían incorporarse funciones de seguridad críticas de otro proveedor para asegurar una mayor eficacia en la detección y la respuesta a los incidentes.
Son muchos los proveedores que afirman tener soluciones XDR totalmente unificadas e integradas, así que conviene leer detenidamente la letra pequeña. Es posible que ofrezcan una vista unificada en una única consola, pero ¿se han evaluado y clasificado automáticamente los datos de todos y cada uno de los vectores? y ¿ha proporcionado el sistema medidas coherentes y factibles?
Otro de los temas en torno a la tecnología XDR es la aceleración de las tareas de investigación a través de análisis automáticos de hallazgos e incidentes para mejorar constantemente las evaluaciones. Agilizar las investigaciones es vital y podría reducir la frecuencia de los ciclos reactivos.
Como tema final tenemos la priorización de las amenazas. Esta función ayuda a determinar qué amenazas tienen mayor prioridad según factores como el sector y la ubicación de su organización o si la amenaza afecta a recursos que contienen datos confidenciales.
¿A quién va dirigida la tecnología XDR?
Las soluciones XDR son útiles para cualquier organización, pero conseguir que redunden en la eficacia del SOC depende de la madurez de ciberseguridad actual de la organización y su voluntad de adoptar los procesos necesarios. No obstante, la promesa de correlacionar los datos de toda la empresa implica que ya no sea necesario intervenir manualmente para dotarlos de sentido y generar información más precisa y útil sobre las amenazas, algo de lo que se beneficiarán todas las organizaciones, sea cual sea su nivel de madurez.
Las organizaciones con menos nivel de madurez que carecen de los recursos o la experiencia necesarios y que no utilizan inteligencia de datos sin duda agradecerán este proceso de correlación e investigación. Las que tengan un nivel de madurez medio-alto y cuenten con experiencia podrán prescindir del trabajo manual de dar sentido a los datos. Por tanto, en su caso los beneficios los disfrutarán en los pasos posteriores de investigación exhaustiva y toma de decisiones en cuanto a las medidas correctivas. Y aquí viene lo más importante: ayudar a las organizaciones con mayor nivel de madurez a responder rápidamente a amenazas potenciales o a los ataques en curso.
Funciones XDR
Las principales funciones XDR se centran en todos los casos en mejorar las operaciones de seguridad durante los ataques, lo que convierte a esta tecnología en un método reactivo. Las funciones son las siguientes:
| Funciones XDR principales | Ventajas |
|---|---|
| Cobertura para toda la infraestructura y todos los vectores | Disfrute de visibilidad y control totales de lo que ocurre en toda su organización y deje de trabajar de manera aislada. Reduzca los esfuerzos heterogéneos entre herramientas, datos y áreas funcionales. |
| Obtenga datos sintetizados y alertas correlacionadas en toda la organización. | Elimine el descubrimiento manual y comprenda sus datos. |
| Disfrute de una administración unificada con una experiencia común. | Mejore el tiempo de respuesta y la precisión con una vista común que evita tener que cambiar entre consolas o grupos de datos. |
| Intercambio de datos e inicio de acciones automáticos. | Automatice funciones de seguridad como la detección y la respuesta. |
Además de las funciones básicas, las soluciones líderes como la plataforma XDR de Trellix incluyen funciones que ayudan a las empresas a anticiparse a las amenazas:
| Funciones XDR avanzadas | Ventajas |
|---|---|
| Inteligencia procesable sobre las amenazas potencialmente importantes. | Refuerce su entorno de forma proactiva antes de sufrir un ataque. |
| Contexto detallado con inteligencia sobre amenazas y datos el impacto para la empresa. | Priorice las tareas de corrección de amenazas. |
| Colaboración en materia de seguridad con el mínimo esfuerzo. | Cree un frente unido y optimice sus inversiones en seguridad. |
Prestaciones claves
El objetivo último de toda solución XDR es conseguir que las operaciones de seguridad sean más eficientes. Esto podría expresarse en una lista de prestaciones a tener en cuenta a la hora de valorar proveedores:
| Visibilidad | Control |
|---|---|
| Detección más precisa | Prevención más precisa |
| Mayor capacidad para adaptarse a la evolución de tecnologías e infraestructura | Mayor capacidad para adaptarse a la evolución de tecnologías e infraestructura |
| Reducción de ángulos muertos | Reducción de lagunas de protección |
| Mejora del tiempo de detección o del tiempo medio de detección (MTTD) | Mejora del tiempo de corrección o del tiempo medio de respuesta (MTTR) |
| Funciones de búsqueda y visibilidad mejoradas | Labores de refuerzo con prioridades más claras en toda la gama de soluciones, sin trabajo aislado |
| Investigaciones más rápidas y más precisas (menos falsos positivos) | Mayor control de toda la infraestructura de TI |
Adopte un enfoque proactivo con la plataforma XDR de Trellix
La plataforma XDR de Trellix ofrece seguridad evolutiva para que las organizaciones vayan un paso por delante de los ciberdelincuentes, se adapten a las nuevas amenazas y aceleren la detección y corrección. Este ecosistema de seguridad no se limita a las funciones XDR básicas, y se centra en la predicción y priorización proactiva de amenazas, en lugar de reaccionar tras sufrir un ataque. Para su equipo del SOC esto supone dedicar menos tiempo a laboriosos simulacros de emergencia, propensos a errores, y poder responder más rápidamente para garantizar la protección de su empresa.
¿Desea descubrir cómo Trellix puede ayudarle a transformar su estrategia de seguridad y ganar resiliencia, confianza y agilidad?
RECENT NEWS
-
May 8, 2023
CRN Recognizes Trellix on its 2023 Women of the Channel and Power 100 Lists
-
Apr 25, 2023
96% of CISOs Struggle to Get the Support Required to Be Resilient Against Cyber Attacks
-
Apr 24, 2023
Trellix Launches Comprehensive Endpoint Security Suite
-
Apr 24, 2023
Trellix Receives FedRAMP High Authorization to Operate for Trellix Extended Detection and Response GovCloud
-
Apr 24, 2023
Trellix Expands Threat Intelligence Portfolio to Stay Ahead of Cyber Adversaries
RECENT STORIES
Contenido destacado
Ver novedades
La ciberseguridad no es un secreto para nosotros. Pero somos una nueva empresa.
Manténgase al día de nuestra evolución.