Los verdaderos límites para 2021 en materia de XDR

En un mundo lleno de promesas vacías en torno al siguiente gran avance en materia de datos y seguridad, XDR finalmente es el encargado de hacer los sueños realidad.

jueves, 29 de octubre de 2020

Conozca la opinión de Greg Young
acerca de cómo XDR finalmente está ofreciendo lo que se le había prometido, y necesitaba, durante años y sobre cómo puede permitirle obtener una mayor confianza en su estrategia de seguridad.

Cuando se trata de seguridad, se han realizado numerosas promesas a lo largo de los años, especialmente en lo que respecta a la correlación de datos y plataformas avanzadas. Y aquí estamos... el SOC sigue enfrentándose a alertas aisladas, a una falta de análisis exhaustivos y a una falta de capacidad para actuar sobre los datos que necesitaban. Esto no quiere decir que no haya habido grandes avances, sino que en un mundo de amenazas en constante evolución, sabemos que tenemos que hacerlo mejor. Continúe leyendo para conocer las perspectivas del antiguo CISO y analista de Gartner, y actual vicepresidente de ciberseguridad de Trend Micro, Greg Young, a medida que analiza cómo XDR está ofreciendo lo que se había prometido.

La sobrecarga

En caso de ataque, sus equipos de seguridad deben ser capaces de reconstituir lo que ha ocurrido y saber cómo ha afectado a todo su entorno de TI porque, como ya sabe, los ataques a menudo tienen lugar en silos. Esto es mucho pedir, considerando que el 27 % de los profesionales de TI reciben más de un millón de alertas de seguridad al día1 y que, según una reciente encuesta realizada por ESG, el 60 % de las empresas utilizan, al menos, 25 productos tecnológicos de ciberseguridad2.

La mayoría de las organizaciones utilizan, al menos, 25 productos de ciberseguridad distintos

En un mundo perfecto, necesita una respuesta y detección rápidas en todo su entorno de TI. Pero si su SOC obtiene los datos en silos, lo cual es el caso de muchas empresas, probablemente tendrán que utilizar EDR para obtener una visibilidad detallada de la actividad sospechosa en endpoints y, a continuación, una visualización aislada independiente de las alertas de seguridad de la red y el análisis del tráfico, etc. Cada producto acabará elaborando su propia perspectiva del ataque, sin información correlacionada ni una visualización consolidada de toda la cadena de eventos. Y, a menudo, obtendrá distintos niveles de información para que sea incluso más difícil conectar los puntos.

XDR de pila

Es aquí donde entra en juego la tecnología de detección y respuesta extendida, o XDR, enlazando los datos procedentes de emails, servidores, endpoints, workloads en la nube y redes con el fin de contar toda la historia sobre el ataque, tal y como se había prometido. El enfoque de XDR proporciona una respuesta y detección más rápidas en todo el entorno, dado que desmantela los silos y le narra la historia completa en lugar de hacer que su equipo de SOC indague en medio de las alertas ruidosas y, a continuación, intenten averiguar cómo responder en las numerosas y distintas consolas. XDR obtiene telemetría de todo el entorno de TI utilizando big data y automatización para crear la historia y ahorrar tiempo al SOC.

A diferencia de un enfoque de API, donde se encuentra limitado a consultar los conjuntos de datos aislados, la información se puede combinar en un data lake en la nube para permitir un análisis más exhaustivo y generar perspectivas que, de otro modo, no hubiese llegado concebir. Con la detección correlacionada de la tecnología de XDR, puede filtrar automáticamente las acciones, los comportamientos y los eventos de «baja fiabilidad» en y entre las capas de seguridad utilizando machine learning, apilamiento de datos y otras técnicas de análisis de big data con el fin de crear una perspectiva más amplia y emprender acciones rápidamente. Porque cuando puede ver con seguridad y proteger todo el panorama tecnológico, puede empoderar a su empresa a adoptar nuevos enfoques estratégicos.

Asignación al MITRE ATT&CK

Numerosas organizaciones están comenzando a utilizar MITRE ATT&CK para mejorar sus operaciones de seguridad garantizando que cuentan con el equipo adecuado para el comportamiento adverso común. MITRE ATT&CK recopila y categoriza las tácticas, técnicas y procedimientos de ataques frecuentes y, a continuación, organiza esta información en un marco. Cuando se trata de soluciones de XDR, obtiene más contexto asignando al marco de MITRE ATT&CK para una detección más rápida y para alertas de mayor fidelidad. Este marco se puede utilizar para ayudar a explicar de qué manera se comporta el adversario, qué están intentando realizar y cómo están intentando realizarlo. De hecho, MITRE ATT&CK recientemente se ha probado frente a APT29 obteniendo resultados interesantes.

Sacar partido del personal

Debido a la predominante falta de capacidades en la industria, desea que su personal pueda trabajar en tareas significativas. Sin embargo, esto es muy difícil de conseguir debido al aluvión de alertas procedentes de soluciones de vector único que abarcan todo su tiempo. Gracias a la correlación automática de datos de amenazas procedentes de varias fuentes, XDR acelera y elimina los pasos manuales necesarios en las investigaciones y permite que los analistas de seguridad desvelen rápidamente toda la historia de un ataque. Al eliminar los eventos de baja fiabilidad y las tareas repetitivas, libera a su equipo para que puedan trabajar en valiosos proyectos necesarios para proteger la organización y le proporciona la tranquilidad que necesita.

Conozca más sobre los verdaderos límites para 2021 en materia de XDR.

  1. Casey, T. (28 de mayo de 2018). Encuesta: 27 Percent of IT professionals receive more than 1 million security alerts daily: Imperva. Recuperado de https://www.imperva.com/blog/27-percent-of-it-professionals-receive-more-than-1-million-security-alerts-daily/
  2. Oltsik, J. and Clark, J, (Agosto de 2020). Security Infrastructure and Market Changes in Progress, Enterprise Strategy Group