¿Qué es XDR?

XDR (extended detection and response) recolecta y automáticamente correlaciona datos a lo largo de múltiples capas de seguridad – correo electrónico, endpoints, servidores, workloads en la nube y redes. Esto permite una detección de amenazas más rápida y una mejora en los tiempos de investigación y respuesta a través del análisis de seguridad.

XDR

Las amenazas sigilosas evaden la detección. Se ocultan entre los silos de seguridad y las alertas dispersas de las soluciones, y se propagan conforme pasa el tiempo. Mientras tanto, los analistas de seguridad abrumados intentan ubicar e investigar con un arsenal poco variado y vistas desconectadas de los ataques.

XDR rompe con estos silos usando un enfoque holístico para la detección y la respuesta. XDR recolecta y correlaciona datos de detecciones y actividad profunda a lo largo de múltiples capas de seguridad: correo electrónico, endpoints, servidores, workloads en la nube y redes. El análisis automatizado de este superconjunto de datos enriquecidos detecta más rápido las amenazas. Como resultado, los analistas de seguridad están equipados para hacer más y pueden tomar acción rápidamente por medio de las investigaciones.

Esta es una imagen de las distintas capas de seguridad que pueden alimentar a XDR


Conozca más acerca de las  capas de seguridad  que pueden alimentar XDR.

Retos de SOC

Cuando se trata de la detección y respuesta, los analistas del SOC (security operations center) se enfrentan con una responsabilidad importante. Deben identificar rápidamente las amenazas críticas para limitar el riesgo y daño a la organización. 

Exceso de alertas

No es una sorpresa que los equipos de seguridad y de TI a menudo se ven abrumados con alertas provenientes de diferentes soluciones. Una empresa con un promedio de 1,000 empleados puede ver un incremento de hasta 22,000 eventos por segundo a través de su sistema SIEM (Security Information and Event Management). Eso son casi 2 millones de eventos en un día.[1] Tienen recursos limitados para correlacionar y priorizar estas alertas, y les cuesta trabajo rápida y efectivamente diferenciar el ruido de los eventos críticos. XDR automáticamente une una serie de actividades de baja confianza en un evento de alta confianza, dando como resultado menos alertas de mayor prioridad para la acción.

Brechas de visibilidad entre soluciones de seguridad

Muchos productos de seguridad ofrecen visibilidad de actividades. Cada solución ofrece una perspectiva específica y recolecta y ofrece datos relevantes y útiles para esa función. La integración entre soluciones de seguridad puede habilitar el intercambio de datos y la consolidación. El valor a menudo se ve limitado por el tipo y la profundidad de los datos recolectados y el nivel posible de análisis de correlación. Eso significa que hay brechas en lo que una analista puede ver y hacer. XDR, en contraste, recolecta y ofrece acceso a un data lake de actividades a lo largo de herramientas individuales de seguridad, incluyendo detecciones, telemetría, metadatos y netflow. Aplicando analíticos sofisticados e inteligencia de amenazas, XDR ofrece el contexto completo necesario para una visión centrada en el ataque de una cadena entera de eventos a lo largo de capas de seguridad.

Dificultad para realizar investigaciones

Al enfrentar muchos logs y alertas pero pocos indicadores claros, es difícil saber lo que se busca. Si encuentra un problema o amenaza, es difícil mapear su camino e impacto a lo largo de la organización. Realizar una investigación puede ser un esfuerzo manual capaz de consumir mucho tiempo, si es que existen los recursos para llevarla a cabo. XDR automatiza las investigaciones de amenazas al eliminar los pasos manuales y ofrecer datos enriquecidos y herramientas para el análisis que de otra forma no sería posible. Considere, por ejemplo, análisis automatizado de causa raíz. Un analista puede ver claramente la línea del tiempo y el camino de un ataque que pueda llegar a cruzar entre correos, endpoints, servidores, redes y workloads en la nube. El analista puede ahora evaluar cada paso del ataque para dar la respuesta necesaria.

Tiempos lentos de detección y respuesta

El resultado de estos desafíos mencionados es que las amenazas no se detectan en un largo tiempo, incrementando el tiempo de respuesta, y aumentando el riesgo y las consecuencias de un ataque. XDR últimamente da como resultado mejoras necesarias en los tiempos de respuesta y en los índices de detección de amenazas. Cada vez más a menudo las organizaciones de seguridad monitorean las métricas MTTD (mean-time-to-detect) y MTTR (mean-time-to-respond) se monitorean como indicadores clave de desempeño. Similarmente, evalúan el valor de una solución y una inversión en términos de cuánto impulsan estas métricas y, por lo tanto, reducen los riesgos de una empresa.

XDR vs. EDR

XDR representa la evolución de la detección y respuesta más allá de una solución puntual y un enfoque de un solo vector.

Claramente, las soluciones EDR (Endpoint Detection and Response) han sido de gran valor. Sin embargo, a pesar de la profundidad de sus capacidades, EDR está finalmente limitado por su capacidad de únicamente detectar y responder a amenazas en endpoints gestionados. Esto limita el alcance de amenazas que pueden detectarse, así como la visibilidad de quién y qué se está viendo afectado. Esas restricciones últimamente limitan la efectividad de la respuesta dentro del SOC.

De manera similar, las herramientas de Network Traffic Analysis (NTA) se limitan a la red y a segmentos monitoreados de la misma. Las soluciones NTA tienden a acumular una cantidad masiva de logs. Por lo que la correlación entre las alertas de la red y los datos de otras actividades es crítica para hacer sentido de las alertas de la red y extraer valor de ellas.

Mejorando SIEM

Las organizaciones utilizan SIEM para recopilar logs y alertas de múltiples soluciones. Mientras que las soluciones SIEM permiten que las empresas junten mucha información de múltiples fuentes para centralizar la visibilidad, que resulta en un número abrumador de alertas individuales. Esas alertas son difíciles de revisar para conocer qué es realmente crítico y necesita atención inmediata. Correlacionar y conectar todos los logs de información para ganar visibilidad del contexto es un reto grande para únicamente una solución SIEM.

Por el contrario, XDR recolecta actividades profundas de datos y alimenta esa información a un lago de datos para realizar sweeping, hunting e investigación extendida entre capas a lo largo de las capas de seguridad. Aplicar AI y analíticos expertos al conjunto de datos enriquecidos habilita menos alertas ricas en contexto, las cuales pueden enviarse a la solución SIEM de la empresa. XDR no reemplaza a SIEM, lo potencia – reduciendo el tiempo requerido por analistas de seguridad para evaluar alertas y logs relevantes y decidir qué es lo que requiere atención y requiere de una investigación más profunda.

Imperativos de capacidad

Múltiples capas de seguridad más allá del endpoint

  • Para realizar actividades de detección y respuesta extendidas, necesita al menos dos capas, y entre más, mejor: endpoints, correos, redes, servidores y workloads en la nube.
  • XDR alimenta un data lake con datos de actividades de múltiples capas. Toda la información aplicable se hace disponible para lograr una correlación y análisis efectivos en la estructura más relevante.
  • El obtener información desde un solo stack de seguridad de un solo vendor previene la proliferación de vendors/soluciones. También logra una integración e interacción sin comparación entre las capacidades de detección, investigación y respuesta.

AI y analíticos expertos de seguridad desarrollados especialmente

  • Recolectar datos es uno de los beneficios de XDR, pero aplicar analíticos e inteligencia para potenciar una mejor y más rápida detección es crítico.
  • Conforme la recolección de telemetría se convierte en prioridad, analíticos de seguridad combinados con inteligencia de amenazas potencian valor que puede convertir la información en insights y acciones.
  • Un motor de analíticos alimentado por sensores inteligentes nativos ofrece analíticos de seguridad mucho más efectivos de lo que se podría obtener con productos o telemetría de terceros. Cualquier vendor tendrá un entendimiento mucho más profundo de los datos de sus propias soluciones que aquellos de terceros. Puede asegurar capacidades analíticas optimizadas al darle prioridad a soluciones XDR desarrolladas específicamente para el stack de seguridad nativo de un vendor.

Una plataforma única, integrada y automatizada para visibilidad completa.

  • XDR habilita investigaciones más profundas porque puede hacer conexiones lógicas desde los datos disponibles en una sola visualización.
  • Tener una línea de tiempo gráfica y centrada en el ataque puede ofrecer todas las respuestas en un sólo lugar, incluyendo:
  • Cómo es que el usuario resultó infectado
  • Cuál fue el primer punto de entrada
  • Qué o quién más es parte del mismo ataque
  • Dónde se originó la amenaza
  • Cómo se propagó la amenaza
  • Cuántos usuarios más tienen acceso a la misma amenaza
  • XDR aumenta las capacidades de seguridad de los analistas y optimiza los flujos de trabajo. Optimiza los esfuerzos de los equipos al acelerar o eliminar pasos manuales y permite visualizaciones y análisis que no pueden hacerse en los medios
  • Integración con SIEM y SOAR (Security Orchestration, Automation and Response) permite que los analistas orquesten insights de XDR con el ecosistema de seguridad.

Artículos Relacionados