¿En qué consisten las capas de seguridad de XDR?

La detección y respuesta extendidas (XDR) utiliza una amplia gama de fuentes de datos para habilitar la detección, investigación y respuesta en múltiples capas de seguridad. XDR desmantela los silos de seguridad para identificar y revelar toda la historia del ataque en una única visualización.

XDR: cuenta toda la historia

Cuando se trata de detección de amenazas, la tarea del analista del centro de operaciones de seguridad (SOC) es atar cabos desde la infiltración inicial hasta toda exfiltración, pasando por el movimiento lateral. Este proceso permite una comprensión más rápida de las acciones de respuesta e impacto necesarias.

Cuanta mayor cantidad de fuentes de datos y vectores de seguridad aporten a una plataforma única e integrada de XDR, más oportunidades habrá de correlación y más capacidad de obtener una respuesta y una investigación más completa.

Por ejemplo, actualmente un analista puede utilizar una herramienta de detección y respuesta de endpoint (EDR) para obtener una visibilidad detallada de una actividad sospechosa en endpoints gestionados, pero tiene una visibilidad por silos y por separado del análisis del tráfico y de las alertas de seguridad de la red. En lo que respecta a los workloads en la nube, el analista seguramente tenga una visibilidad muy limitada como para identificar una actividad sospechosa.

Cada parte del entorno genera alertas ruidosas que con toda probabilidad se envían a un sistema de eventos e información de seguridad (SIEM). El analista puede ver las alertas, pero dejar pasar un informe detallado de toda la actividad entre alertas. Sin tener una correlación adicional, el analista pasará por alto detalles importantes sobre el ataque, los cuales se quedarán enterrados en alertas sin contexto ni forma de conectar eventos relacionados. 

XDR une las capas para que los analistas de seguridad puedan tener una visibilidad más amplia y explicar rápidamente qué puede estar ocurriendo en la empresa, incluyendo la forma en la que el usuario se infectó, cuál fue el primer punto de acceso y qué o quién más forma parte del mismo ataque.

Endpoint

Es necesario un registro de actividad de endpoint eficiente para analizar cómo una amenaza pudo llegar, modificar y propagarse en los endpoints. Mediante el uso de XDR, puede rastrear indicadores de compromiso (IoC) y buscar amenazas con base en los indicadores de ataque (IoA).

Detecta: busca e identifica eventos de endpoint peligrosos y sospechosos

Investiga: ¿qué ocurrió en el endpoint? ¿De dónde proviene el evento? ¿Cómo se propagó en otros endpoints?

Responde: Aísla el evento, detiene los procesos, elimina/restaura archivos

Muchas organizaciones podrían empezar con el endpoint, mediante herramientas de EDR. Si bien el EDR es un buen primer paso, puede pasar por alto el comienzo y/o el final de la historia del ataque. ¿Qué ocurrió antes de que acabara en el endpoint? ¿Vino mediante email? ¿Otras personas recibieron el mismo email? ¿Qué ocurrió tras acabar en el endpoint? ¿Hubo movimientos laterales a un servidor o contenedor? ¿Se propagó a un dispositivo no gestionado?

Email

Dado que el 94 % de las filtraciones comienzan mediante email,[1]  la capacidad de identificar cuentas comprometidas y detectar amenazas maliciosas por email es una tarea fundamental de una capacidad de detección de amenazas más amplia de una organización.

Detecta: busca e identifica amenazas por email, cuentas comprometidas, usuarios atacados con mayor frecuencia y patrones de ataques por email.

Investiga: ¿quién ha promulgado la infiltración? ¿Quién más ha recibido el email malicioso?

Responde:  pone el email en cuarentena, bloquea a los remitentes del email, restablece cuentas.

El email, como principal vector de ataque, debería ser un punto de expansión con prioridad para una detección y respuesta entre capas. Las amenazas por email a menudo no afectan a endpoints hasta que el usuario hace clic en un adjunto o un enlace incrustado en el email. Una amenaza sin detonar podría asentarse en múltiples bandejas de entrada sin detectar. La conexión de una detección de endpoint con el email inicial le permite buscar automáticamente bandejas de entrada para averiguar quién más recibió el email malicioso y si la URL o adjunto malicioso también está presente en bandejas de entrada de otros usuarios. Posteriormente puede poner los emails en cuarentena y eliminar la amenaza para evitar mayores daños y mayor propagación.

Red

Los análisis de red son un gran recurso para encontrar ataques dirigidos, ya que se propagan de forma lateral o se comunican con servidores de comando y control (C&C). Los análisis de la red pueden ayudar a separar eventos del ruido y a reducir puntos ciegos, como el internet de las cosas (IoT) y dispositivos no gestionados.

Detecta: busca e identifica comportamientos anómalos a la vez que las amenazas se expanden

Investiga: ¿cómo se comunica una amenaza? ¿Cómo se mueve en la organización? 

Responde: delimita el ámbito del ataque

Los registros de red proporcionan una completa fuente de datos que le ayudan a comprender el alcance de un ataque, pero sin correlacionar esos registros con otras alertas de seguridad resulta difícil obtener el contexto que necesita para evaluar lo que es importante y está relacionado. Por este motivo, la red y el endpoint crean una potente combinación. Al correlacionar los datos es posible que, algo que parecía benigno en una capa del endpoint, como una actividad sospechosa de PowerShell, se convierta en una alerta de alta prioridad cuando se examina junto a la comunicación C&C asociada con un servidor.

Workloads de servidores y de la nube

De forma muy similar a los endpoints, esto implica el registro de actividad eficiente para analizar de qué manera una amenaza podría haber llegado y haberse propagado en workloads de servidores y de la nube. Puede rastrear IoC y buscar con base en los IoA.

Detecta: busca e identifica amenazas dirigidas específicamente a servidores, workloads en la nube y contenedores.

Investiga: ¿qué ocurrió en el workload? ¿Cómo se propagó? 

Responde: aísla el servidor, detiene procesos.

Las organizaciones pueden emplear herramientas EDR para workloads en la nube y servidores, pero, al hacerlo, pueden sacrificar la efectividad. El EDR por sí solo no está equipado para abordar nuevos modelos de la nube ni proporcionar el tipo de datos y visibilidad necesarios. Al igual que cualquier vector, la correlación de la información procedente de entornos del servidor pueden validar actividad sospechosa como maliciosa, como los servidores que comunican con una dirección IP en un país con el que nunca antes habían comunicado, vinculándola a datos de actividad procedentes de otras capas, como endpoint y/o red.

[1] Verizon 2019 Data Breach Investigations Report