abutton
Close menu
Accessibility Menu
Bigger text
bigger text icon
Text Spacing
Spacing icon
Saturation
saturation icon
Cursor
big cursor icon
Dyslexia Friendly
dyslexia icon
Reset

XDR: la clave para la ciberseguridad de las compañías

La ciberseguridad cada vez se enfrenta a un mayor número de amenazas y, en consecuencia, el número de herramientas para combatirlas que van surgiendo es mayor. Llegado a este punto, las organizaciones que disponen de diversas herramientas se encuentran con la dificultad de gestionar de forma eficaz varias plataformas para una seguridad eficiente y, ante esta dificultad, ha surgido un nuevo enfoque conocido como detección y respuesta extendida (XDR).

XDR asegura que mejorará los tiempos de investigación y respuesta de los centros de operaciones de seguridad (SOC). Por ello, este nuevo enfoque está surgiendo como una alternativa a los enfoques reactivos tradicionales que solo aportan visibilidad por capas de los ataques, como la detección y respuesta de terminales (EDR) que presentaban dificultades para detectar amenazas complejas.

Asimismo, la visibilidad por capas aporta mucha información, pero presenta problemas como un número elevado de alertas que están incompletas y carecen de explicación, investigaciones complejas para identificar una brecha, y que son herramientas que se centran en las debilidades tecnológicas más que en las necesidades operativas de los usuarios y compañías.

XDR es un método proactivo para la detección y respuesta de amenazas, donde su visibilidad de los datos se brinda a través de redes, nubes y puntos finales al tiempo, que emplea un análisis y automatiza la solución de amenazas.

¿Qué es XDR y para qué se utiliza?

En pocas palabras, XDR es una herramienta de respuesta y detección de capas cruzadas, capaz de recopilar y correlacionar datos de diversas capas de seguridad, entre los que se incluyen correo electrónico, servidores, aplicaciones, nubes y redes. Esto quiere decir que, es un enfoque que lo abarca todo dando como resultado una visibilidad del entorno tecnológico completa. De esta forma, los equipos de seguridad pueden detectar e investigar los ataques de un modo más rápido y eficaz.

Esta herramienta se centra en recoger datos de un método más avanzado que las anteriores soluciones. Gracias al análisis a través de un flujo constante de eventos múltiples, los equipos de seguridad pueden hacer conexiones lógicas a partir de una única vista de los datos y mitigar rápidamente las amenazas.

Entre sus principales usos se encuentra la detección de amenazas desconocidas y ataques avanzados. Para ellos, XDR centra los eventos de seguridad en diversos controles para dar un enfoque holístico sobre el progreso de los ataques complejos a través de una cadena cruzada de vectores. Esta solución transforma señales de seguridad débiles de varios orígenes en señales más fuertes para gestionar todo tipo de amenazas.

También, la herramienta trabaja como una plataforma integrada para correlacionar los datos, evitando así el ruido de un volumen enorme de alertas de seguridad. XDR descarta falsas amenazas y permite que las operaciones se centren en las amenazas reales.

Funcionamiento de la seguridad XDR y sus características

Inicialmente, este enfoque se implementa como una herramienta basada en SaaS, que debe integrarse con los productos de los que dispone la compañía y, así, poder crear un sistema unificado de seguridad. En consecuencia, el sistema recopila datos e información sin procesar de los diferentes niveles de la red de la empresa, generando un Data Lake, donde a continuación realiza un análisis y una correlación automatizada de los datos para buscar las amenazas sofisticadas.

Llegado el momento en el que la herramienta detecta una amenaza, se construye una línea de tiempo de ataque gráfica, a la que se permite el acceso desde una interfaz de usuario centralizada, generando respuestas sobre cómo se produjo el ataque, donde se originó, etcétera.

Por último, la herramienta puede dar respuesta al ataque de modo que lo contenga o lo elimine en función de los datos correlacionados de los que dispone. Además, XDR dispone de una inteligencia de amenazas para evitar que se produzcan amenazas y ataques similares a los anteriores.

La unificación de la infraestructura de la red que lleva a cabo XDR brinda una visibilidad completa y, esto trae diversos beneficios:

  • Aumento de la visibilidad

Como ya se ha mencionado, las versiones anteriores a este tipo de soluciones se centraban únicamente en una capa de seguridad mientras que XDR genera una vista completa de la infraestructura TI. Así pues, desaparecen los silos de seguridad y brinda la oportunidad de observar las amenazas desde cualquier parte, conocer su origen, donde ha afectado, etcétera. En consecuencia, esto aporta mayor conocimiento a los analistas para generar respuestas más rápidas y adecuadas con el tipo de amenaza.

  • Eficiencia gracias a la automatización

XDR emplea la automatización para reforzar las capacidades de los empleados de seguridad y optimizar los flujos de trabajo. Así pues, desaparecen las tareas repetitivas que no aportan valor y significan una pérdida de tiempo. Además, este aspecto permite recibir más información de un método más sencillo a partir de grandes volúmenes de datos para que se pueda brindar de una respuesta más eficiente.

  • Aumento de la calidad operativa

La visión de todo el entorno que ofrece XDR gracias a la recopilación de datos centralizada y a una única interfaz de usuario mejora la eficiencia operativa. Los analistas disponen de más tiempo para detectar y solucionar amenazas al no tener que cambiar de paneles de control en función de la herramienta que estaban empleando.

  • Análisis personalizado de las amenazas

La visibilidad holística de XDR permite adaptar las respuestas a las amenazas en función del activo atacado y, así, aprovechar puntos de control para minimizar el impacto a toda la red de la empresa. Anteriormente, EDR contenía los puntos finales comprometidos, lo que generaba grandes problemas cuando uno de los puntos finales podía ser un servidor crítico.

  • Clasificación de los eventos

El análisis automatizado de los datos y la correlación de estos permite agrupar alertas similares, priorizarlas y enumerarlas. De este modo, se evita que los equipos de seguridad se enfrenten a un elevado número de alertas.

  • Aceleración de la detección y eficacia en las respuestas

La generación de un Data Lake que implica esta herramienta permite una detección y una respuesta a las amenazas más rápida y sofisticada, junto con una mayor capacidad de detección de ataques silenciosos.

  • Mejora de la productividad de SecOps

XDR es capad de brindar una capacidad de respuesta de incidentes integrada con alertas de alta fidelidad. Cuenta con un centro de administración, que como ya se ha mencionado, mejora la visibilidad de todos los entornos. Así pues, los analistas de bajo nivel pueden desempeñar puestos de mayor nivel de protección contra las amenazas y, en consecuencia, aumentar la productividad de SecOps.

MDR, el siguiente nivel

La detección y respuesta gestionadas (MDR) es la alternativa que se está estudiando para el próximo paso en este tipo de herramientas en el ámbito de la ciberseguridad, pero esta aún se encuentra en una etapa de maduración. En principio, XDR y MDR emplean enfoques similares, ambos recopilan y analizan datos de la red, los puntos finales, los servidores y la nube de la empresa para detectar amenazas avanzadas.

Tanto MDR con XDR emplean el análisis de datos impulsados por IA e inteligencia de amenazas para fomentar la visibilidad de las amenazas en todas las plataformas. No obstante, existe una diferencia clara entre ambas herramientas, MDR genera un alto nivel de experiencia humana en relación con los datos de alerta, mientras que XDR necesita personas a bordo que sepan qué hacer con estas herramientas para obtener beneficio de ellas.

Así pues, lo ideal es ver a XDR como un complemento de MDR, en vez de presentarse como un competidor, de modo que forme parte de un servicio de detección y respuesta administrado. Esta forma de trabajo conjunto hace referencia a la capacidad que tienes los proveedores de MDR de adquirir fuentes XDR, gestionar las diferentes herramientas en un único enfoque y generar una solución integral.

Finalmente, esta próxima herramienta se centra en los resultados de seguridad y como obtenerlos, a diferencia de XDR. El resultado influye en el componente administrado del que XDR no dispone y permite a las compañías centrarse en sus metas en vez de buscar en los silos de seguridad.

XDR la clave para la ciberseguridad de las compañías

Players en el mercado

Entre los diferentes proveedores de servicios XDR se encuentra Mandiant Automated Defense. Este es un motor XDR de análisis basado en software dentro de la plataforma de Mandiant Advantaje, es capaz de combinar el pensamiento humano junto con el poder de la IA para la toma de decisiones complejas de manera eficiente. Además, genera análisis y toma de decisiones automatizadas que incluyen controles de red y repositorios de datos e inteligencia de amenazas. Este proveedor incluye en su servicio XDR:

  • Experiencia en seguridad incorporada.
  • Inteligencia de amenazas específica del cliente de Mandiant.
  • La capacidad de procesar millones de alertas en tiempo real.
  • Escala empresarial a la velocidad de la máquina.
  • Aprendizaje continuo y adaptabilidad.
  • Monitorización automática de alertas de seguridad 24/7.
  • Análisis, razonamiento y toma de decisiones sobre las alertas.

Otro proveedor de servicios viene de la mano de la combinación de los equipos de Carbon Black junto con VMware, generando una plataforma SaaS que proporciona capacidades antivirus, búsqueda de amenazas y gestión de vulnerabilidades desde una única plataforma central. También, añade la integración de más productos VMware como Workspace One, vSphere y NSX Service-defined Firewall, entre otros. Entre sus características destacan:

  • Detección y prevención de amenazas avanzadas.
  • Conocimiento de la línea de tiempo de un ataque.
  • Disminución del tiempo necesario para resolver una amenaza mediante automatización.
  • Seguridad extendida a la nube.
  • Toma de decisiones en múltiples puntos de control.
  • Proporciona a los equipos de seguridad el contexto de otros dominios para la toma de decisiones al investigar una amenaza.

Conclusiones

Hasta ahora la seguridad por capas de una red corporativa funcionaba correctamente, pero el tipo de amenazas actuales son más avanzadas y complejas. En los últimos tiempos, XDR se ha convertido en uno de los segmentos del mercado de rápido crecimiento en el ámbito de la ciberseguridad, ya que esta herramienta aborda requisitos clave para la respuesta y detección de amenazas, mediante un análisis unificado.

Las compañías ya no requerirán de diversos productos con soluciones únicas, pues XDR está desarrollada para abordar este desafío independientemente de si la amenaza se encuentra en un punto final, en la red o en la nube. XDR unifica estandariza, analiza y prioriza simultáneamente de forma automatizada.

Paralelamente, muchas organizaciones están recurriendo a MDR para abordar la necesidad de personas que sepan qué hacer con las herramientas como XDR o EDR para sacarles provecho. MDR proporciona acceso a analistas externos que disponen de una amplia experiencia en XDR para ofrecer un gran servicio de seguridad y respuestas integrales.

Por último, diversos proveedores ofrecen servicios SaaS de XDR en función de las necesidades y tamaños de las empresas. Generalmente, se caracterizan por capacidades extendidas sobre la integración de la herramienta, aunque muchas deben madurar aun para ofrecer un servicio totalmente eficaz en los análisis.

Te invitamos a conocer nuestro servicio de Seguridad Digital y cómo en Softtek ayudamos a las organizaciones a enfrentar las amenazas cibernéticas, aquí.