¿Qué es XDR?

XDR proporciona una detección y respuesta ante amenazas en múltiples capas.

Las amenazas sigilosas evaden la detección. Se esconden entre los silos de seguridad en medio de alertas de soluciones desconectadas y se propagan a medida que pasa el tiempo, mientras que los analistas intentan clasificar e investigar teniendo un punto de vista limitado e inconexo de los ataques.

XDR desmantela estos silos utilizando un enfoque holístico para la detección y respuesta. XDR recopila y correlaciona detecciones y datos de actividad profunda en múltiples capas de seguridad: emails, endpoints, servidores, workloads en la nube y redes. El análisis automatizado de este superconjunto de importantes datos se traduce en una detección más rápida de las amenazas. De este modo, los analistas de seguridad cuentan con la capacidad de realizar investigaciones más exhaustivas y tomar medidas rápidamente.

Obtenga más información sobre las capas de seguridad que se pueden incorporar a XDR.

Cuando se trata de detección y respuesta, los analistas del SOC se enfrentan a la abrumadora responsabilidad de identificar rápidamente las amenazas críticas con el fin de limitar el riesgo y los daños a la organización y, todo ello, en medio de circunstancias nada ideales. 

Sobrecarga de alertas

No es una sorpresa de que los equipos de seguridad y TI, a menudo, se encuentren desbordados con tantas alertas procedentes de distintas soluciones. Un compañía con una media de 1000 empleados puede observar hasta 22 000 eventos por segundo entrando en su SIEM. Esos son casi dos millones de eventos al día.^[1] Afrontando un gran volumen de alertas con pocos medios para correlacionarlas y priorizarlas, incluso los analistas más capacitados tienen dificultad para filtrar de forma rápida y efectiva los eventos críticos entre tanto ruido. XDR puede unir automáticamente toda una serie de actividades de baja fiabilidad en un evento de alta fiabilidad, creando menos alertas y priorizándolas para tomar medidas.

Lagunas de visibilidad

Si bien numerosos productos de seguridad proporcionan visibilidad de alertas y actividad, cada producto ofrece una perspectiva específica y recopila/proporciona datos relevantes y útiles para esa función. La integración entre los productos de seguridad puede permitir el intercambio y la consolidación de datos, pero el valor, a menudo, está limitado por el tipo y la profundidad de los datos recopilados y el nivel del posible análisis correlacionado. Esto produce lagunas entre lo que puede ver y hacer. Por el contrario, XDR recopila y proporciona acceso a un completo data lake de datos de actividad (detecciones, telemetría, metadatos, netflow, etc.) en herramientas de seguridad individuales. Mediante la aplicación de sofisticados análisis e información sobre amenazas, XDR proporciona todo el contexto necesario para una visión completa del ataque de toda una cadena de eventos entre las capas de seguridad.

Dificultades en las investigaciones

Con tantos registros y alertas, pero sin indicaciones claras, es sumamente difícil saber a qué prestar atención. Si encuentra una incidencia o una amenaza, es difícil trazar un mapa de su ruta y el impacto en la organización. La realización de una investigación puede consumir mucho tiempo y esfuerzo manual incluso si se cuentan con los recursos para realizarla. XDR automatiza los procesos eliminando los pasos manuales y proporciona valiosos datos y herramientas para un análisis que, de otro modo, hubiese sido imposible. Por ejemplo, el análisis automatizado de la causa origen, en el cual un analista puede ver claramente la línea del tiempo y la ruta del ataque (que puede atravesar emails, endpoints, servidores, nubes y redes) y profundizar con el fin de evaluar cada paso del ataque para poder establecer la respuesta necesaria.

Y, por último, tiempos de detección y respuesta más lentos

El resultado de los desafíos mencionados radica en el hecho de que las amenazas permanecen sin ser detectadas durante demasiado tiempo, aumentando los tiempos de respuesta que, a su vez, aumenta el riesgo y las consecuencias de un ataque. La detección y respuesta en múltiples capas, en última instancia, conduce a una mejora muy necesaria de los índices de detección de amenazas y los tiempos de respuesta. Cada vez más, el tiempo medio hasta la detección (MTTD) y el tiempo medio hasta la respuesta (MTTR) se miden y se supervisan como las métricas claves de rendimiento para las organizaciones de seguridad. Asimismo, el valor de la solución y las inversiones se evalúan en términos de cómo impulsan estas métricas y, por lo tanto, reducen los riesgos comerciales de la empresa.

XDR supone la evolución de la detección y respuesta más allá de la solución específica actual y del enfoque de vector único.

Claramente, el Endpoint Detection & Response (EDR) ha sido sumamente valioso. Sin embargo, a pesar de su gran capacidad, en última instancia, el EDR está limitado porque solo puede analizar endpoints gestionados. Es posible detectar estos los límites del alcance de las amenazas como así también tener la visibilidad de quién y qué está afectado y, por consiguiente, cómo responder de la mejor manera.

Del mismo modo, el ámbito de las herramientas de análisis del tráfico de la red (NTA) está limitado a la red y a los segmentos de la red supervisados. Las soluciones de NTA tienden a producir una gran cantidad de registros, por lo que la correlación entre las alertas de red y otros datos de actividad resulta fundamental para que todo tenga sentido y se puedan aprovechar las alertas de red.

La industria ha realizado grandes avances en la detección y respuesta, pero hasta la fecha, las capacidades se han basado en una solución individual y una capa de seguridad, por lo tanto, los beneficios de los análisis y la correlación de datos han permanecido al margen. XDR desarrolla la detección y respuesta en una actividad centralizada y consolidada que ofrece mejores resultados que la suma de las partes.

Las organizaciones utilizan SIEM para recopilar registros y alertas procedentes de múltiples soluciones. Si bien las SIEM permiten a las empresas juntar mucha información procedente de múltiples lugares para obtener una visibilidad centralizada, provoca una gran cantidad de alertas individuales. Esas alertas son difíciles de clasificar de modo que resulte fácil comprender qué es fundamental y qué necesita atención. La correlación y conexión de todos los registros de información para obtener una visión de un contexto mayor resulta todo un desafío para solo una SIEM.

Por otro lado, XDR recopila datos de actividad profunda y suministra esa información en un data lake para buscar, barrer e investigar en múltiples capas. La aplicación de IA y análisis especializados para enriquecer el conjunto de datos produce menos alertas y con más contexto, lo que se puede enviar a una solución SIEM de la empresa. XDR no reemplaza la SIEM, sino que la mejora reduciendo el tiempo que los analistas de seguridad necesitan para evaluar alertas y registros relevantes y decidir aquello que necesita atención y merece mayor investigación.

Múltiples capas de seguridad más allá del endpoint

• Para realizar una detección y respuesta en múltiples capas necesita, al menos, dos capas y cuantas más tenga, mejor: endpoint, email, red, workloads en la nube y servidores.
• XDR amplía el alcance de la detección y respuesta más allá de solo los endpoints. Extiende el EDR a áreas de actividad adicionales importantes. El email, por ejemplo, es fundamental dado que supone la principal fuente de ataques.
• XDR suministra datos de actividad procedentes de múltiples capas a un data lake para que toda la información correspondiente, en la estructura más relevante, esté disponible para un análisis y correlación efectivos.
• Al extraerlo de una única pila de seguridad nativa del proveedor evita la proliferación de la solución/proveedor y proporciona una inigualable integración e interacción entre las capacidades de detección, investigación y respuestas.

IA y análisis especializados en seguridad diseñados específicamente

• La recopilación de datos es uno de los beneficios del XDR, pero el objetivo final del XDR es la aplicación de análisis e información para ofrecer una mejor y más rápida detección.
• Dado que la recopilación de telemetría se convierte en un producto, el valor radica en los análisis de seguridad combinados con información de amenazas que pueden convertir la información en comprensión y acción.
• Un motor de análisis alimentado por sensores inteligentes y nativos proporciona análisis de seguridad más efectivos que solo se podrían obtener añadiendo telemetrías/productos externos. Cualquier proveedor tendría mayor comprensión de los datos de su propio producto que de los datos de un tercero. Se debe dar prioridad a las soluciones XDR diseñadas específicamente para una pila de seguridad nativa del proveedor con el fin de garantizar capacidades analíticas optimizadas.

Una plataforma automatizada, integrada y sencilla para una completa visibilidad

• XDR habilita investigaciones más detalladas debido a que puede realizar conexiones lógicas de los datos proporcionados en una única visualización.
• Contar con una visualización con línea del tiempo centrada en el ataque y de manera gráfica puede proporcionar respuestas en un solo lugar, incluido:

cómo se infectó el usuario;
cuál fue el primer punto de entrada;
qué o quién más forma parte del mismo ataque;
dónde se originó la amenaza;
cómo se propagó la amenaza;
cuántos más usuarios tienen acceso a la misma amenaza.

• XDR mejora las capacidades de los analistas de seguridad y optimiza los flujos de trabajo y los esfuerzos de los equipos acelerando o eliminando pasos manuales, y habilita visualizaciones y análisis que se pueden realizar inmediatamente.
• La integración con la SIEM y SOAR permite que los analistas orquesten la información de XDR con un ecosistema de seguridad más amplio.