Detección y Respuesta Extendidas (XDR) ¿qué es?
Seguramente ya habrás leído algún artículo, visto alguna charla o escuchado un webinar sobre qué es el término XDR, también conocido como detección y respuesta extendidas. La firma de investigación de seguridad cibernética, ESG, en un artículo lo definieron XDR como:
“. . . un método para reunir controles para mejorar la recopilación, correlación, contextualización y análisis de telemetría de seguridad. También hay un lado operativo de XDR para ayudar a coordinar la respuesta y la remediación a través de múltiples controles simultáneamente”.
A medida que las organizaciones a nivel mundial continúan expandiendo y evolucionando su huella digital, el personal de seguridad lucha por adaptar las operaciones lo suficientemente rápido para garantizar un monitoreo y una respuesta efectiva a los incidentes en su entorno. Esto se hace aún más desafiante con personal y experiencia limitados.
Las organizaciones que avanzan hacia la próxima era de digitalización no pueden usar las mismas “herramientas antiguas” para la detección y respuesta a amenazas. Necesitan mejores análisis y automatización mejorada para analizar la avalancha de datos que ingresan a sus dashboards (los grandes datos están aquí) para que puedan detectar, investigar y mitigar incidentes de manera rápida y precisa antes de que esos incidentes se conviertan en un completo desastre.
Consideramos que desde la perspectiva de un analista de seguridad, el XDR puede ayudar a tener más éxito en el trabajo mejorando lo siguiente:
1.Visibilidad y contexto. Está claro que se necesita información sobre el entorno y los activos que están protegiendo, lo que requiere incorporar los datos apropiados sobre ese entorno – endpoints, dispositivos móviles e IoT, activos y flujos de red, aplicaciones, sistemas SCADA/ICS, etc-. Para ello se precisa que los datos se actualicen continuamente y se depositen en una ubicación central donde se estandarice, para que pueda usarse para correlación, investigación y más.
2. Información externa y contexto. Se necesita información sobre los comportamientos y tácticas del adversario. Hay que comprender qué exploits están activos en la naturaleza y quién se dirige a una industria en particular, o específicamente, a la organización que está protegiendo. De esa manera poder responder cuestiones como ¿de qué manera están cambiando los delincuentes sus tácticas o infraestructura y qué variaciones hay en el malware que están utilizando? Lo ideal es obtener esa información actualizada de forma continua y automática en cualquier sistema que se esté usando.
3. Correlación para detección e investigación. Se necesita poder combinar la información sobre su organización con lo que sabe sobre los adversarios y sus comportamientos de manera precisa y eficiente. Hoy en día, es imposible ser efectivo a gran escala con procesos manuales, especialmente porque se está monitoreando un entorno diverso que sin duda está en aumento de complejidad día a día. El análisis y el aprendizaje automático son esenciales. Además, las máquinas pueden actualizar las reglas y firmas que impulsan las correlaciones y las detecciones.
4. Automatización u orquestación para la respuesta. Una vez que el administrador a cargo ha sido alertado sobre un incidente, se deben tomar medidas rápidas para responder, para mitigar o remediar y recuperarse (idealmente volver a un estado normal). Para hacer esto, se necesita colaborar y comunicarse con múltiples partes interesadas. Para aquellas acciones es ideal que tenga capacidades de “pulsar un botón” dentro del dashboard para: aislar endpoints infectados, cambiar la política de seguridad o las reglas para bloquear amenazas, bloquear a un usuario con actividad sospechosa y más.
5. Información más sencilla sobre incidentes y acciones. También debe poder informar rápidamente sobre lo sucedido, qué acciones se tomaron y cómo se resolvió el incidente. Esto significa enviar informes a los ejecutivos, la junta y los reguladores (para el cumplimiento), y enviarlos con el menor esfuerzo posible, para que pueda concentrarse en sus funciones principales de monitoreo y respuesta.
6. Capacidad para cazar amenazas activamente. Se necesita un conjunto de herramientas similar para el contexto requerido en su análisis y la capacidad de detectar fácilmente las desviaciones de la actividad de referencia conocida.
