Descubre cómo la integración de herramientas de ciberseguridad mejora la detección de amenazas, optimiza la respuesta a incidentes y reduce la complejidad operativa.
La adquisición e implementación de múltiples herramientas de ciberseguridad y administración IT, funcionan de forma independiente y cada una con su propia consola, esto convierte la gestión de la ciberseguridad en un tema complejo de llevar para cualquier organización.
Detectar anomalías, analizar registros o tráfico que podrían ser amenazas, se realiza de forma independiente en cada herramienta, esto genera más carga y desgaste para los analistas. Pero también es un problema para la detección temprana de cualquier incidente, en este modelo cada analista de seguridad genera una comunicación con otros analistas para correlacionar la detección individual de cada herramienta.
Por lo que este modelo obliga a las empresas a crear pilas de seguridad complejas que consisten en SIEM, SOAR, EDR, NDR y más, con el fin de instrumentar la empresa, identificar amenazas, responder a las amenazas y gestionar el riesgo. Adquirir todas estas herramientas y administrar sus licencias es complejo y costoso, y la correlación manual necesaria para comparar las detecciones de cada herramienta deja muchas brechas en la infraestructura de seguridad general.
Los analistas también suelen ser bombardeados con falsos positivos por estos sistemas, lo que provoca “fatiga de alertas” e insatisfacción laboral. Incluso las empresas que se declaran satisfechas con sus SIEM y otras herramientas existentes admitirán que la cantidad de tiempo y energía que han invertido en crear una infraestructura de seguridad multiherramienta no está brindando los resultados necesarios.
El caso de XDR, o eXtended Detection and Response, se ha convertido en una definición general para cualquier tecnología que realice detección y respuesta, porque en el acrónimo, X es realmente una variable. Si bien X puede representar “Endpoint+” o “Network+”, eso ignora el dolor actual de la empresa de herramientas aisladas, datos no correlacionados y fatiga de alertas. El objetivo principal de XDR es abordar este dolor y, por lo tanto, X tiene que significar “Todo”.
Todo, entonces, implica un enfoque de plataforma para cubrir toda la superficie de ataque a través de la detección y respuesta. Este enfoque de plataforma puede solucionar el modelo actual roto al convertir herramientas aisladas en un conjunto de herramientas unificado, convertir datos no correlacionados en una representación viva y correlacionada de la superficie de ataque y convertir la fatiga de alerta en tranquilidad mental. La forma en que una tecnología logra este objetivo es la pregunta arquitectónica clave. Hoy en día, existen dos tipos de XDR: abierto y nativo
Open vs. Native XDR
Open XDR se entrega a través de una arquitectura abierta capaz de aprovechar las capacidades de telemetría y respuesta de las herramientas de seguridad existentes en toda la superficie de ataque
Native XDR se entrega desde un conjunto de herramientas de seguridad de un único proveedor que proporciona telemetría y respuesta en toda la superficie de ataque. Independientemente del enfoque arquitectónico de una plataforma XDR, debe satisfacer los siguientes requisitos técnicos para ser considerada XDR:
• Capacidad de implementación: arquitectura de microservicios nativa de la nube para escalabilidad, disponibilidad y flexibilidad de implementación
• Fusión de datos: datos normalizados y enriquecidos en toda la superficie de ataque, incluida la red, la nube, los puntos finales, las aplicaciones y la identidad
• Detección: alta fidelidad en tiempo real en múltiples herramientas de seguridad
• Correlación: detecciones correlacionadas que resultan en incidentes conscientes del contexto
• Respuesta inteligente: respuesta con un solo clic o automatizada desde la misma plataforma
El XDR ideal es abierto
Habrá algunas empresas que no tendrán problemas en trasladar toda su pila de seguridad a un único proveedor y adoptar una plataforma XDR nativa cerrada. También habrá algunas empresas a las que les importe menos cubrir toda la superficie de ataque y solo quieran detección y respuesta para sus puntos finales, por ejemplo. En este caso, deberían buscar una plataforma XDR nativa basada en EDR.
Sin embargo, para la mayoría de las empresas, una plataforma XDR abierta debe considerarse la máxima prioridad. ¿Por qué? Porque ningún proveedor podrá crear o adquirir las mejores herramientas de nube, punto final, red, identidad, etc., por lo que una plataforma XDR solo nativa no será la mejor de su clase. Además, es muy probable que la empresa ya haya invertido un capital y un esfuerzo significativos en la implementación de herramientas de seguridad existentes; no querrá abandonar esas inversiones, por lo que una solución XDR nativa cerrada no interactuaría con esas herramientas y no capturaría toda la superficie de ataque de esa empresa. Si una plataforma XDR abierta tiene algunos atributos nativos para cubrir ciertas áreas de la superficie de ataque para empresas en crecimiento, genial. Pero primero debe ser abierta.
Al final, si una empresa quiere definir y ejecutar una estrategia de seguridad componible y lograr que todos los requisitos técnicos de XDR se satisfagan a través de una plataforma, una plataforma XDR completamente abierta es la única forma realista de hacerlo.