Friday, November 22, 2024
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


XDR: mejorando nuestra capacidad de detección y respuesta

By Javier Peris , in Artículo , at 28/10/2021 Etiquetas: ,

imagen seguridad2Que los ciberataques están evolucionando y son cada vez más sofisticados y complejos de detectar, es algo evidente, sólo hace falta ver las noticias que aparecen en los medios especializados para darse cuenta de que los ciberdelincuentes no cesan en su empeño de conseguir sus objetivos y para ello refinan sus técnicas y sus procesos en una guerra totalmente asimétrica.

Eso provoca que los equipos de ciberseguridad tengan que buscar nuevas maneras de identificar y responder frente a estas nuevas amenazas. La detección temprana y la respuesta se vuelven claves para conseguir evitar que un ciberataque cause estragos en la organización.

Conforme aumentan los ataques, las organizaciones tienden también a aumentar las herramientas utilizadas para conseguir detectar y adelantarse a los ataques. Tenemos un Centro de Operaciones de Seguridad (SOC) que monitoriza la actividad de nuestros activos, tenemos un EDR desplegado en los endpoints, un CASB para gestionar las comunicaciones con el cloud, etc. Un enjambre complejo de herramientas y soluciones tecnológicas que deben ser gestionadas, actualizadas, y configuradas adecuadamente para proporcionar niveles avanzados de seguridad.

A priori, y suponiendo que disponemos de este gran “arsenal”, podríamos decir que con estas y otras herramientas tendríamos cubiertos todos los vectores de ataque. Pero si analizamos esta situación, lo cierto es que encontrarse ante este escenario también supone un problema para los equipos de seguridad, ya que cada vez son más las herramientas las que se tienen que gestionar y configurar de forma adecuada.  Ante esta dificultad, surge un nuevo enfoque conocido como “detección y respuesta extendida” (XDR) del que vamos a hablar en este artículo.

¿Qué es XDR?

Los retos mencionados en el párrafo anterior, y otros muchos factores han contribuido a la aparición de lo que se conoce como soluciones de “Detección y Respuesta Ampliada (XDR)” por sus siglas en inglés.

Simplificando al máximo, podríamos decir que XDR, es la evolución del EDR (Endpoint Detection and Response) o también llamado en algunos foros como EDR++. Las soluciones XDR cubren la necesidad detectada en los equipos de seguridad por realizar una análisis de la telemetría de los eventos que se producen en los sistemas más allá del propio endpoint, como son los ordenadores portátiles, los dispositivos móviles, los activos alojados en el cloud, identidades de usuarios, y otras herramientas de IT y seguridad como hemos mencionado anteriormente.

XDR está diseñado para ayudar a los equipos de seguridad a:

  • Identificar amenazas altamente sofisticadas u ocultas a los sistemas actuales
  • Realizar un seguimiento de las amenazas en varios componentes del sistema
  • Mejorar la velocidad de detección y respuesta
  • Investigar las amenazas de manera más eficaz y eficiente

Básicamente el XDR permite tener mayor visibilidad sobre el perímetro a proteger en la organización, ayudando a responder a preguntas:

  • Cómo se infectó el usuario
  • Cuál fue el primer punto de entrada
  • Qué o quién más forma parte del mismo ataque
  • Dónde se originó la amenaza
  • Cómo se propagó la amenaza
  • Cuántos usuarios están expuestos a la misma amenaza

¿Cuál es el enfoque de una herramienta XDR?

Inicialmente, y según describe una reconocida marca de consultoría, una herramienta XDR se implementa como una solución SaaS, que debe integrarse con las soluciones y productos de seguridad de los que ya dispone una organización, y así, de esta forma poder crear un sistema unificado de seguridad.

El sistema recopila datos e información sin procesar de diferentes activos (endpoints, servidores, activos en cloud, etc.) y genera un Data Lake donde se combina toda esa información para posteriormente realizar un análisis y una correlación automatizada a lo largo y ancho de todos los datos para encontrar amenazas que puedan escaparse a las herramientas tradicionales de seguridad.

Una vez detectada la amenaza, y tal y como hemos descrito anteriormente, la herramienta construye una línea temporal que representa de manera gráfica el ataque, respondiendo a las preguntas básicas que se haría un analista de seguridad: cómo se infectó el usuario, cuál fue el punto de entrada, cómo se propagó la amenaza, etc.

Por último, la herramienta una vez configurada adecuadamente, puede llegar a dar respuesta al ataque de modo automático, realizando las acciones correspondientes para que el se contenga el ciberincidente. Es más, este tipo de herramientas en su diseño cuentan con un componente de inteligencia artificial que aprende de las amenazas detectadas en su entorno o las que el fabricante incorpore a través de sus experiencias, de forma que la herramienta pueda evitar que se produzcan ataques similares a los aprendidos anteriormente.

Conclusiones

Hasta ahora muchas estrategias de ciberseguridad en las organizaciones se basaban en una seguridad por capas, y hasta ahora funcionaba correctamente. Pero frente a un entorno cambiante, donde el perímetro se ha diluido, y a lo que le sumamos la complejidad de las nuevas amenazas nos damos cuenta de que se requiere de un nuevo enfoque.

Aquí es donde llega para cubrir ese hueco una herramienta XDR, que integra en una única solución múltiples tecnologías para dotar de mayor agilidad y capacidad de respuesta a los equipos de seguridad.

Alejandro Aliaga Casanova

Team Leader Grupo Expertos itsm4Seguridad

Comité de Estándares de itSMF España

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad