La detección y respuesta extendidas (XDR) usa un conjunto más amplio de fuentes de datos para permitir la detección, investigación y respuesta a lo largo de múltiples capas de seguridad. XDR rompe con los silos de seguridad para identificar y revelar la historia completa de un ataque en una sola vista.
XDR: contando la historia completa
Cuando se trata de la detección de amenazas, el trabajo del analista del centro de operaciones de seguridad (SOC) es unir los puntos desde la infiltración inicial, durante el movimiento lateral, y hasta cualquier exfiltración. Este proceso permite un entendimiento más rápido del impacto del ataque y las acciones necesarias de respuesta.
Entre más fuentes de datos y vectores de seguridad converjan en una sola plataforma integrada de XDR, mayores serán las oportunidades de correlación y más acertada será la investigación y respuesta.
Por ejemplo, hoy un analista podría usar una herramienta EDR (endpoint detection and response) para obtener visibilidad de la actividad sospechosa en endpoints gestionados – pero entonces tendrá una visión separada de las alertas de seguridad en la red y el análisis del tráfico. En lo que se refiere a las workloads en la nube, el analista probablemente tiene visibilidad limitada para identificar la actividad sospechosa.
Todas las partes del entorno generan una gran cantidad de alertas que es posible sean enviadas a un SIEM (security information and event management). El analista puede ver las alertas, pero le hace falta un registro detallado de toda la actividad entre alertas. Sin correlación adicional, el analista no podrá ver detalles importantes del ataque que se entierran entre las alertas sin contexto o alguna forma de conectar eventos relacionados.
XDR junta las capas para que los analistas de seguridad puedan ver el panorama completo y puedan explicar rápidamente qué es lo que podría estar pasando en la empresa, incluyendo cómo se infectó el usuario, cuál fue el primer punto de entrada y quién o qué más forma parte del mismo ataque.
Endpoint
El registro eficiente de la actividad en endpoints es necesario para analizar cómo es que una amenaza pudo haber llegado, cambiado y propagado a lo largo de endpoints. Usando XDR, puede buscar indicadores de compromiso (IoCs) y hacer hunting de amenazas basado en indicadores de ataque (IOAs).
Detecte: Busque e identifique eventos sospechosos y peligrosos en sus endpoints
Investigue: ¿Qué fue lo que pasó en el endpoint? ¿De dónde vino el evento? ¿Cómo se propagó hacia otros endpoints?
Responda: Aísle el evento, detenga los procesos, elimine/restaure archivos
Muchas organizaciones pueden empezar con los endpoints, a través de herramientas EDR. Aunque EDR es un buen primer paso, puede pasar por alto el principio y/o el final de la historia del ataque. ¿Qué fue lo que ocurrió antes de que llegara al endpoint? ¿Llegó a través de un correo electrónico, y otros han recibido ese mismo correo? ¿Qué fue lo que pasó después de que llegó al endpoint? ¿Hubo movimiento lateral hacia un servidor o un container? ¿Se propagó hacia un dispositivo no gestionado?
Correo electrónico
Dado que el 94% de las brechas comienzan a través del correo electrónico,[1] tener la capacidad de detectar cuentas comprometidas y detectar amenazas maliciosas de correo electrónico es una pieza crítica de la capacidad general de una organización de detección de amenazas.
Detecte: Busque e identifique amenazas de correo electrónico, cuentas comprometidas, usuarios atacados y patrones de ataque de correo electrónico
Investigue: ¿Quién realizó la infiltración? ¿Quién más recibió el email malicioso?
Responda: Ponga correos electrónicos en cuarentena, bloquee remitentes, reinicie cuentas
El correo electrónico, como el vector de ataque número uno, debe de ser un punto prioritario de expansión hacia la detección y respuesta entre capas. Las amenazas de correo electrónico a menudo no tienen impacto en los endpoints hasta que un usuario hace click en un archivo adjunto o un link incluído en el correo. Una amenaza no detonada podría estar en varias bandejas de entrada sin ser detectada. Conectar la detección de endpoints con el correo de origen significa que puede automáticamente escanear bandejas de entrada para saber quién más ha recibido el correo malicioso y si el archivo adjunto o URL malicioso también se encuentra en los correos de otros usuarios. Puede entonces poner en cuarentena los correos y eliminar la amenaza para prevenir cualquier daño adicional.
Red
Los analíticos de red son una gran forma de encontrar ataques dirigidos mientras se propagan lateralmente o se comunican con servidores comando y control (C&C). Los analíticos de red pueden ayudar a filtrar los eventos del ruido y reducir los puntos ciegos, como IoT (internet de las cosas) y los dispositivos no gestionados.
Detecte: Busque e identifique comportamientos sospechosos conforme se propagan las amenazas.
Investigue: ¿Cómo se comunica una amenaza? ¿Cómo se mueve a través de la organización?
Responda: Delimite el alcance del ataque
Los logs de red ofrecen una fuente de datos importante para poder entender el alcance de un ataque, pero sin correlacionar esos logs con otras alertas de seguridad, es difícil obtener el contexto necesario para saber qué está relacionado y qué es importante. Por esta razón, redes y endpoints son una combinación poderosa. Al correlacionar esos datos, algo que pudo haber parecido benigno solamente en la capa del endpoint, como actividad sospechosa de PowerShell, se convierte en una alerta de alta prioridad cuando se le considera junto con comunicación asociada a un servidor comando y control (C&C).
Servidores y Workloads en la Nube
De forma similar a los endpoints, esto involucra el registro eficiente de actividades para analizar cómo es que una amenaza pudo haber llegado e infectado servidores y workloads en la nube. Puede hacer sweeping de IoCs y hunting basado en IoAs.
Detecte: Busque e identifique amenazas dirigidas específicamente a servidores, workloads en la nube y containers
Investigue: ¿Qué fue lo que pasó dentro del workload? ¿Cómo se propagó?
Responda: Aísle el servidor, detenga los procesos
Las organizaciones pueden emplear herramientas EDR para los servidores y workloads en la nube, pero pueden sacrificar su efectividad al hacerlo. El EDR por sí solo no está equipado para abordar nuevos modelos en la nube u ofrecer el tipo necesario de datos y de visibilidad. Como con cualquier vector, correlacionar información de entornos de servidor puede validar actividades sospechosas como maliciosas – como cuando un servidor se comunica con una dirección IP en un país con el que nunca se había comunicado antes – al vincularlos directamente con datos de actividades en otras capas, ya sea en el endpoint y/o en la red.
Artículos Relacionados