¿Qué es XDR?

Las amenazas sigilosas evaden la detección. Se esconden entre los silos de seguridad y alertas de soluciones desconectadas y se propagan a medida que pasa el tiempo. Mientras tanto, unos abrumados analistas de seguridad intentan clasificar e investigar teniendo puntos de vista del ataque reducidos y desconectados entre sí.

XDR desmantela estos silos utilizando un enfoque holístico para la detección y respuesta. XDR recopila y correlaciona detecciones y datos de actividad profunda en múltiples capas de seguridad: emails, endpoints, servidores, workloads en la nube y redes. Los análisis automatizados de este superconjunto de valiosos datos detectan las amenazas mucho más rápido. Como consecuencia, los analistas de seguridad están equipados para llevar a cabo un mayor número de acciones y más rápidas mediante investigaciones.

Obtenga más información sobre las capas de seguridad que se pueden incorporar a XDR.

Cuando se trata de detección y respuesta, los analistas del centro de operaciones de seguridad (SOC) se enfrentan a una enorme responsabilidad. Deben identificar rápidamente las amenazas críticas para limitar el riesgo y el daño a la organización. 

Sobrecarga de alertas

No es una sorpresa que los equipos de seguridad y TI a menudo se encuentren desbordados con tantas alertas procedentes de distintas soluciones. Un compañía con una media de 1000 empleados puede observar hasta 22 000 eventos por segundo entrando en su sistema de administración de eventos e información de seguridad (SIEM). Eso hace un total de casi 2 millones de eventos al día.^[1] Tienen medios limitados en los que correlacionar y priorizar estas alertas, y tienen problemas para llevar a cabo una limpieza de forma efectiva y rápida a través del ruido para los eventos críticos. XDR une automáticamente toda una serie de actividades de baja fiabilidad en un evento de alta fiabilidad, creando menos alertas y priorizándolas para tomar medidas.

Brechas de visibilidad entre soluciones de seguridad

Numerosos productos de seguridad proporcionan visibilidad de actividad. Cada solución ofrece una perspectiva específica y recopila y proporciona datos relevantes y útiles para esa función. La integración entre las soluciones de seguridad puede permitir el intercambio y la consolidación de datos. No obstante, el valor, a menudo está limitado por el tipo y la profundidad de los datos recopilados y el nivel del posible análisis correlacionado. Esto produce lagunas entre lo que un analista puede ver y hacer. Por el contrario, XDR recopila y proporciona acceso a un data lake completo de la actividad en herramientas de seguridad individuales, incluidas detecciones, telemetría, metadatos y netflow. Mediante la aplicación de sofisticados análisis e información sobre amenazas, XDR proporciona todo el contexto necesario para una visibilidad completa del ataque de toda una cadena de eventos entre las capas de seguridad.

Dificultad para iniciar investigaciones

Con tantos registros y alertas, pero sin indicaciones claras, es sumamente difícil saber a qué prestar atención. Si encuentra una incidencia o amenaza, es difícil trazar un mapa de su ruta y el impacto en la organización. La realización de una investigación puede consumir mucho tiempo y esfuerzo manual incluso si se cuentan con los recursos para realizarla. XDR automatiza las investigaciones sobre amenazas eliminando los pasos manuales y proporciona valiosos datos y herramientas para un análisis que, de otro modo, hubiese sido imposible. Por ejemplo, piense en un análisis automático de la causa principal. Un analista puede ver claramente la línea temporal y la ruta del ataque que puede atravesar emails, endpoints, servidores, workloads en la nube y redes. Ahora el analista puede evaluar cada paso del ataque para establecer la respuesta necesaria.

Tiempos lentos de detección y respuesta

El resultado de estos desafíos radica en el hecho de que las amenazas permanecen sin ser detectadas durante demasiado tiempo, aumentando los tiempos de respuesta y el riesgo y las consecuencias de un ataque. En última instancia, XDR conduce a una mejora muy necesaria de los índices de detección de amenazas y los tiempos de respuesta. Cada vez más, las organizaciones de seguridad miden y supervisan el tiempo medio hasta la detección (MTTD) y el tiempo medio hasta la respuesta (MTTR) como las métricas claves de rendimiento. Asimismo, evalúan el valor de la solución y las inversiones en términos de cómo impulsan estas métricas y, por lo tanto, reducen los riesgos comerciales de la empresa.

XDR supone la evolución de la detección y respuesta más allá de la solución específica actual y del enfoque de vector único.

Claramente, el Endpoint Detection & Response (EDR) ha sido sumamente valioso. Sin embargo, a pesar de su gran capacidad, el EDR está limitado porque solo puede analizar y responder a amenazas dentro de endpoints gestionados. Es posible detectar estos límites del alcance de las amenazas además de ver quién y qué está afectado. Finalmente, estas restricciones limitan la eficacia de la respuesta en el SOC.

Del mismo modo, el ámbito de las herramientas de análisis del tráfico de la red (NTA) está limitado a la red y a los segmentos de la red supervisados. Las soluciones de NTA tienden a producir una gran cantidad de registros. La correlación entre las alertas de red y otros datos de actividad resulta fundamental para que todo tenga sentido y se puedan aprovechar las alertas de red.

Las organizaciones utilizan SIEM para recopilar registros y alertas procedentes de múltiples soluciones. Si bien las SIEM permiten a las empresas juntar mucha información procedente de múltiples lugares para obtener una visibilidad centralizada, provoca una gran cantidad de alertas individuales. Esas alertas son difíciles de clasificar de modo que resulte fácil comprender qué es fundamental y qué necesita atención. La correlación y conexión de todos los registros de información para obtener una visibilidad de un contexto mayor resulta todo un desafío con una sola solución SIEM.

Por otro lado, XDR recopila datos de actividad profunda y suministra esa información a un data lake para lograr un rastreo, búsqueda e investigación extendidas a través de las capas de seguridad. La aplicación de IA y análisis especializados para enriquecer el conjunto de datos produce menos alertas y con más contexto, lo que se puede enviar a una solución SIEM de la empresa. XDR no reemplaza la SIEM, sino que la mejora reduciendo el tiempo que los analistas de seguridad necesitan para evaluar alertas y registros relevantes y decidir qué es lo que necesita atención y merece mayor investigación.

Múltiples capas de seguridad más allá del endpoint

• Para realizar una detección y respuesta extendida necesita, al menos, dos capas y cuantas más tenga, mejor: endpoint, email, red, servidores y workload en la nube.
• XDR suministra datos de actividad procedentes de múltiples capas en un data lake. Toda la información aplicable se pone a disposición de la forma más estructurada y pertinente para una correlación y análisis efectivos.
• La recopilación de datos procedentes de una pila de seguridad nativa de un único proveedor evita la proliferación de soluciones y proveedores. También ofrece una integración e interacción inigualables entre las capacidades de detección, investigación y respuesta.

IA y análisis especializados en seguridad diseñados específicamente

• La recopilación de datos es uno de los beneficios del XDR, pero la aplicación de análisis e información para impulsar una mejor y más rápida detección es vital.
• Dado que la recopilación de telemetría se convierte en un producto, el valor radica en los análisis de seguridad combinados con información de amenazas que pueden convertir la información en comprensión y acción.
• Un motor de análisis alimentado por sensores inteligentes y nativos proporciona análisis de seguridad más efectivos que solo se podrían obtener añadiendo telemetrías y productos externos. Cualquier proveedor tendría mayor comprensión de los datos de sus propias soluciones que de los datos de un tercero. Puede garantizar capacidades analíticas optimizadas dando prioridad a las soluciones XDR diseñadas específicamente para una pila de seguridad nativa del proveedor.

Una plataforma automatizada, integrada y sencilla para una completa visibilidad

• XDR habilita investigaciones más detalladas debido a que puede realizar conexiones lógicas de los datos proporcionados en una única visualización.
• Contar con una visualización con línea del tiempo centrada en el ataque y de manera gráfica puede proporcionar respuestas en un solo lugar, incluido:

cómo se infectó el usuario;
cuál fue el primer punto de entrada;
qué o quién más forma parte del mismo ataque;
dónde se originó la amenaza;
cómo se propagó la amenaza;
cuántos más usuarios tienen acceso a la misma amenaza.

• XDR mejora las capacidades de los analistas de seguridad y optimiza los flujos de trabajo. Optimiza los flujos de trabajo y los esfuerzos de los equipos acelerando o eliminando pasos manuales, y habilita visualizaciones y análisis que se pueden realizar inmediatamente.
• La integración con la SIEM y la orquestación de seguridad, automatización y respuesta (SOAR) permite que los analistas orquesten la información de XDR con un ecosistema de seguridad más amplio.