La ciberseguridad y las siglas tienden a ir de la mano. El último es XDR, también conocido como detección y respuesta extendidas. Si no ha oído hablar de él, lo hará, ya que promete ayudar a las operaciones de seguridad a mejorar su capacidad para detectar y responder a amenazas en entornos de TI cada vez más complejos, diversos y en crecimiento.
Los proveedores de seguridad de todo tipo, desde la protección de endpoints hasta SIEM y más allá, están realizando adquisiciones y marketing para XDR. De hecho, según 451 Research, entre marzo y agosto de 2021, hubo 17 ofertas impulsadas por proveedores que buscaban desarrollar sus capacidades XDR.
Las definiciones pueden variar ampliamente para XDR, dependiendo de lo que venda un proveedor, y esto está creando confusión incluso entre los profesionales de seguridad más experimentados. Sin embargo, en esencia, XDR es esencialmente un enfoque que combina múltiples herramientas de seguridad utilizadas en la detección y respuesta de amenazas para expandir y mejorar la recopilación, correlación, contextualización y análisis de datos con el fin de mejorar y coordinar la respuesta de detección y la remediación, así como caza de amenazas.
XDR hace esto de tres formas clave:
- Ingestión y centralización de más datos en el entorno de una organización, más allá de las instalaciones locales y de múltiples nubes hasta el punto final e incluso IoT y OT
- Uso de análisis avanzados y aprendizaje automático para mejorar el análisis, la contextualización y la correlación de esos datos.
- Coordinar la respuesta y la remediación en esos entornos utilizando múltiples controles y automatización.
XDR representa la evolución de las capacidades actuales en detección y respuesta de amenazas, algo cada vez más necesario dado el rápido aumento de la digitalización entre las empresas y la explosión prevista de endpoints e IoT.
Por ejemplo, en los últimos 18 meses, empresas de todos los tamaños han aumentado su huella digital, gracias en parte a la pandemia y a la aceleración de la transformación o modernización digital. Esto ha aumentado la presión sobre el personal de seguridad que está luchando por mantener seguros los sistemas con recursos limitados y escasez de habilidades. Los cambios en el negocio están creando nuevos desafíos para las operaciones de seguridad, especialmente en lo que respecta al monitoreo de entornos más complejos que surgen de cosas como:
- Una fuerza laboral que está en todas partes
- Innovaciones comerciales, especialmente aquellas que involucran la informática de punta
- Nuevos sitios de oficinas, incluidas ubicaciones temporales o remotas
- El giro hacia arriba (o hacia abajo) de los entornos de nube según sea necesario por las demandas cambiantes de la empresa
- Aumento de la adopción de SaaS para aplicaciones comerciales internas y externas
Además, los piratas informáticos tienen acceso a malware comercializado y pueden cambiar rápidamente sus métodos de ataque, a menudo con solo presionar un botón. Para mantenerse al día, los profesionales de la seguridad necesitan un acceso mejor y más rápido a los datos correctos. Esto incluye tener la telemetría y el análisis necesarios para detectar amenazas en diversos entornos y tomar decisiones más rápidas y mejor fundamentadas que permitan mitigar las amenazas antes de que afecten a todo el sistema.
La importancia de XDR para los analistas de seguridad
Debido a sus capacidades “expandidas”, XDR promete ser una herramienta crítica para los analistas de seguridad que buscan mejorar las operaciones de seguridad, incluso de las siguientes formas.
Mayor visibilidad y contexto: Tener tanta visibilidad del entorno de una organización, incluso dónde se encuentran la información confidencial y los activos críticos, es fundamental para detectar y responder eficazmente a las amenazas. Las plataformas de monitoreo de seguridad necesitan ingerir tantos datos como sea posible, en las instalaciones, en múltiples nubes, OT y en todos los puntos finales conectados (incluido IoT). Este flujo de datos deberá actualizarse continuamente para que los analistas puedan actuar en tiempo real para abordar posibles incidentes de seguridad.
Inteligencia de amenazas actualizada automáticamente: El panorama de amenazas cambia continuamente, y los adversarios evolucionan rápidamente sus tácticas, técnicas y procedimientos (TTP). Se crean fácilmente nuevas variaciones de malware que se utilizan para atacar a las organizaciones repetidamente y los actores de amenazas modifican regularmente la infraestructura utilizada en las campañas, por ejemplo. XDR proporciona a las organizaciones inteligencia de amenazas continuamente actualizada que se alimenta automáticamente a una plataforma, y este contexto adicional ayuda a la capacidad de detectar fácilmente desviaciones de la actividad de referencia conocida e investigar eventos.
Análisis y correlación de datos para respuesta: Con el envío de cantidades cada vez mayores de datos a las plataformas de monitoreo de amenazas, los equipos de SOC deben hacer uso de elementos como la automatización, el análisis y el aprendizaje automático para el análisis, la correlación y para respaldar la respuesta. Por ejemplo, si un sistema o dispositivo ha sido infectado, pueden aislarlo automáticamente según sea necesario, proceder a la mitigación o reparación y luego a la recuperación (idealmente de regreso a un estado normal) dentro de un solo tablero.
Facilidad de presentación de informes: Después de que ha ocurrido un incidente, tener informes detallados y fáciles de consumir es clave para comprender lo que sucedió, cómo respondió el equipo y los resultados generales de los esfuerzos del equipo. Estos informes también son esenciales para los mandatos de cumplimiento y la comunicación con los ejecutivos. XDR brinda a los analistas capacidades de generación de informes mejoradas porque la información puede estar al alcance de la mano, ya contextualizada y automatizada.
Línea de fondo: El atractivo de XDR es que puede ofrecer mejores resultados dentro de las operaciones de seguridad, incluida la creación de mayores eficiencias y la mejora del monitoreo, la investigación, la respuesta y la búsqueda proactiva de amenazas de la seguridad. Además, al fusionar varios controles de seguridad existentes, XDR puede ayudar a eliminar las capacidades superpuestas dentro de la pila de seguridad, lo que puede ahorrar dinero que se puede utilizar para impulsar la eficiencia en otras partes del negocio. Si no ha considerado este enfoque, ahora es el momento.