La detección y respuesta administradas (MDR) es un servicio de ciberseguridad subcontratado que proporciona a las organizaciones servicios de búsqueda de amenazas y responde a las amenazas una vez que se descubren. También implica un elemento humano: Los proveedores de seguridad proporcionan a sus clientes de MDR acceso a su grupo de investigadores e ingenieros de seguridad, que son responsables de supervisar redes, analizar incidentes y responder a casos de seguridad. Sus principales tecnologías son la detección y respuesta extendidas (XDR) y la gestión de eventos e información de seguridad (SIEM).
Los componentes principales de los servicios de MDR forman la base de una estrategia de ciberseguridad avanzada y proactiva, trabajando juntos para detectar, responder y prevenir ciberamenazas en tiempo real.
La búsqueda de amenazas es un enfoque proactivo e impulsado por expertos que busca continuamente posibles amenazas que acechan dentro de la red de una organización. A diferencia de los sistemas de detección automatizada, los cazadores de amenazas buscan activamente señales sutiles de compromiso y comportamiento sospechoso que puedan evadir las herramientas de seguridad estándar. Este proceso práctico ayuda a descubrir amenazas sigilosas y sofisticadas antes de que puedan causar un daño significativo, fortaleciendo la postura de seguridad general de la organización.
La respuesta ante incidentes es un enfoque estructurado para abordar y mitigar incidentes de seguridad a medida que surgen. Este componente implica identificar y contener amenazas rápidamente, seguido de esfuerzos de erradicación y recuperación para restaurar las operaciones normales. Un equipo de respuesta ante incidentes de MDR trabaja estrechamente con las partes interesadas para gestionar el incidente de forma eficiente e implementa medidas para evitar futuros incidentes, garantizando un impacto mínimo en la continuidad del negocio y las operaciones.
La detección y respuesta de endpoints se centra en la supervisión de la actividad en dispositivos como ordenadores, servidores y dispositivos móviles. Al analizar continuamente los comportamientos de los endpoints, los servicios de MDR pueden detectar y responder a posibles amenazas a nivel de dispositivo. El EDR es esencial, ya que los endpoints son objetivos frecuentes para los ciberatacantes, y la detección rápida a este nivel ayuda a evitar el movimiento lateral y comprometer aún más la red.
El análisis del tráfico de red implica supervisar el flujo de datos dentro de la red de una organización para detectar anomalías y actividades sospechosas. Al analizar el tráfico de red en tiempo real, los servicios de MDR pueden identificar signos de posibles ataques, como transferencias de datos inusuales o intentos de acceso no autorizados. La NTA es vital para identificar amenazas que pueden eludir la seguridad de los endpoints, proporcionando una visión más amplia de la seguridad de la red.
SIEM integra datos de diversas fuentes, incluidos registros y alertas, para proporcionar una vista centralizada de los eventos de seguridad en una organización. Los servicios de MDR utilizan SIEM para correlacionar datos, detectar patrones e identificar amenazas en tiempo real. Esta supervisión centralizada permite una rápida detección y respuesta a incidentes y permite al equipo de MDR priorizar las amenazas en función de su posible impacto en la organización.
La supervisión continua garantiza que todos los componentes del sistema MDR supervisan activamente el entorno de la organización las 24 horas. Este componente permite al equipo de MDR detectar, responder y contener amenazas en tiempo real, minimizando el riesgo de filtraciones no detectadas.
MDR aborda problemas significativos que acechan a las empresas modernas. El problema más evidente es la falta de habilidades de seguridad dentro de las organizaciones. Si bien la formación y la configuración de equipos de seguridad dedicados que puedan realizar una búsqueda de amenazas a tiempo completo pueden ser factibles para organizaciones más grandes que puedan costearla, la mayoría de las empresas encontrarán una propuesta difícil dadas sus limitaciones de recursos. Esto es especialmente cierto para las organizaciones medianas y grandes que a menudo se encuentran como objetivo de ciberataques, pero carecen de los recursos o la mano de obra para dichos equipos.
Incluso a las organizaciones que están dispuestas a invertir tanto tiempo como dinero les puede resultar difícil adquirir el personal adecuado.
Las empresas también se enfrentan a desafíos al implementar soluciones complejas de detección y respuesta de endpoints (EDR), que normalmente no se maximizan debido a la falta de tiempo, habilidades y fondos para formar al personal para manejar las herramientas de EDR. MDR integra herramientas de EDR en su implementación de seguridad, lo que las convierte en una parte integral de los roles de detección, análisis y respuesta.
Un problema que a menudo se pasa por alto cuando se trata de ciberseguridad es el gran volumen de alertas que los equipos de seguridad y TI reciben regularmente. Muchas de estas alertas no pueden identificarse fácilmente como maliciosas y deben comprobarse de forma individual. Además, los equipos de seguridad necesitan correlacionar estas amenazas, ya que la correlación puede revelar si los indicadores aparentemente insignificantes se suman como parte de un ataque mayor. Esto puede abrumar a los equipos de seguridad más pequeños y quitar tiempo y recursos valiosos de sus otras tareas.
MDR tiene como objetivo abordar este problema no solo detectando amenazas, sino también analizando todos los factores e indicadores implicados en una alerta. MDR también proporciona recomendaciones y cambios a las organizaciones en función de la interpretación de los eventos de seguridad. Una de las habilidades más importantes que necesitan los profesionales de seguridad es la capacidad de contextualizar y analizar indicadores de compromiso para posicionar mejor a la empresa frente a futuros ataques. Las tecnologías de seguridad pueden tener la capacidad de bloquear amenazas, pero profundizar en el cómo, el porqué y el qué de los incidentes requiere un toque humano.
MDR está diseñado para resolver el problema de la brecha de habilidades de ciberseguridad de una organización. Aborda el problema de las amenazas más avanzadas que un equipo interno de TI no puede abordar por completo, idealmente a un coste inferior al que la empresa necesitará gastar para crear su propio equipo de seguridad especializado. MDR también puede ofrecer a la organización acceso a herramientas a las que normalmente no tiene acceso. El siguiente diagrama ilustra lo que una organización puede ganar cuando entra en juego el MDR.
A menudo, se nombra el servicio de seguridad gestionado (MSS) junto al MDR. Si observamos las tendencias en los servicios ofrecidos por los proveedores, con frecuencia, el MDR viene incorporado con la respuesta y detección de la amenaza como parte central del servicio. Por otro lado, el MSS, frecuentemente se centra en la supervisión del producto de seguridad y el mantenimiento del hardware.
Mientras que la mayoría de servicios de MDR se centran en la EDR, hay otro tipo de servicio llamado NDR gestionado (MNDR), el cual incluye respuesta y detección de redes (NDR) como núcleo principal. En comparación con el MDR, el cual se centra en la EDR, el MNDR se diferencia en que detecta y responde ante las amenazas con base en la telemetría y los registros en la red.
Recientemente ha emergido el MXDR (XDR gestionado), el cual cuenta con XDR (detección y respuesta extendidas) como servicio principal. En la filosofía de detección y respuesta, cuanto más grande sea la cobertura del sensor, más rica será la telemetría y mejor la detección de la amenaza.
Tradicionalmente, las organizaciones han recurrido a proveedores de servicios de seguridad gestionados (MSSP) para sus necesidades de seguridad externas. A diferencia de los proveedores de MDR, que pueden detectar movimientos laterales dentro de una red, los MSSP suelen trabajar con tecnología basada en perímetros, así como con detecciones basadas en reglas para identificar amenazas. Además, los tipos de amenazas a las que se enfrentan los MSSP son amenazas conocidas, como vulnerabilidades, malware recurrente y ataques de gran volumen. Los MSSP tienen profesionales de seguridad que realizan la gestión, supervisión y análisis de registros, pero a menudo no a un nivel muy profundo. En esencia, los MSSP son capaces de gestionar la seguridad de una organización, pero normalmente solo a nivel perimetral, y su análisis no implica análisis forenses exhaustivos, investigación de amenazas y análisis.
En términos de servicio, los MSSP normalmente se comunican por correo electrónico o teléfono, con profesionales de seguridad como acceso secundario, mientras que los proveedores de MDR llevan a cabo una supervisión continua las 24 horas del día, los 7 días de la semana, que puede que no sea ofrecida por algunos MSSP.
Sin embargo, los MSSP siguen proporcionando valor a las organizaciones. Por ejemplo, la gestión de firewalls y otras necesidades de seguridad diarias de la red de una organización es una tarea más adecuada para un MSSP que para un proveedor de MDR, que ofrece un servicio más especializado. En consecuencia, los MSSP y los proveedores de MDR pueden trabajar conjuntamente entre sí, centrándose los proveedores de MDR en la detección proactiva y el análisis de comportamiento de amenazas más avanzadas y dando recomendaciones de remediación para las organizaciones una vez que se descubren las amenazas.