Extended Detection and Response (XDR), what does it really consist of?
You’ve probably read an article, watched a talk or listened to a webinar about what the term XDR, also known as extended detection and response, is. The cyber security research firm, ESG, in an article defined XDR as:
“… a method for gathering controls to improve the collection, correlation, contextualization and analysis of security telemetry. There is also an operational side of XDR to help coordinate response and remediation across multiple controls simultaneously.”
A medida que las organizaciones a nivel mundial continúan expandiendo y evolucionando su huella digital, el personal de seguridad lucha por adaptar las operaciones lo suficientemente rápido para garantizar un monitoreo y una respuesta efectiva a los incidentes en su entorno. Esto se hace aún más desafiante con personal y experiencia limitados.
Las organizaciones que avanzan hacia la próxima era de digitalización no pueden usar las mismas “herramientas antiguas” para la detección y respuesta a amenazas. Necesitan mejores análisis y automatización mejorada para analizar la avalancha de datos que ingresan a sus dashboards (los grandes datos están aquí) para que puedan detectar, investigar y mitigar incidentes de manera rápida y precisa antes de que esos incidentes se conviertan en un completo desastre.
Consideramos que desde la perspectiva de un analista de seguridad, el XDR puede ayudar a tener más éxito en el trabajo mejorando lo siguiente:
1.Visibilidad y contexto. Está claro que se necesita información sobre el entorno y los activos que están protegiendo, lo que requiere incorporar los datos apropiados sobre ese entorno – endpoints, dispositivos móviles e IoT, activos y flujos de red, aplicaciones, sistemas SCADA/ICS, etc-. Para ello se precisa que los datos se actualicen continuamente y se depositen en una ubicación central donde se estandarice, para que pueda usarse para correlación, investigación y más.
2. Información externa y contexto. Se necesita información sobre los comportamientos y tácticas del adversario. Hay que comprender qué exploits están activos en la naturaleza y quién se dirige a una industria en particular, o específicamente, a la organización que está protegiendo. De esa manera poder responder cuestiones como ¿de qué manera están cambiando los delincuentes sus tácticas o infraestructura y qué variaciones hay en el malware que están utilizando? Lo ideal es obtener esa información actualizada de forma continua y automática en cualquier sistema que se esté usando.
3. Correlación para detección e investigación. Se necesita poder combinar la información sobre su organización con lo que sabe sobre los adversarios y sus comportamientos de manera precisa y eficiente. Hoy en día, es imposible ser efectivo a gran escala con procesos manuales, especialmente porque se está monitoreando un entorno diverso que sin duda está en aumento de complejidad día a día. El análisis y el aprendizaje automático son esenciales. Además, las máquinas pueden actualizar las reglas y firmas que impulsan las correlaciones y las detecciones.
4. Automatización u orquestación para la respuesta. Una vez que el administrador a cargo ha sido alertado sobre un incidente, se deben tomar medidas rápidas para responder, para mitigar o remediar y recuperarse (idealmente volver a un estado normal). Para hacer esto, se necesita colaborar y comunicarse con múltiples partes interesadas. Para aquellas acciones es ideal que tenga capacidades de “pulsar un botón” dentro del dashboard para: aislar endpoints infectados, cambiar la política de seguridad o las reglas para bloquear amenazas, bloquear a un usuario con actividad sospechosa y más.
5. Información más sencilla sobre incidentes y acciones. También debe poder informar rápidamente sobre lo sucedido, qué acciones se tomaron y cómo se resolvió el incidente. Esto significa enviar informes a los ejecutivos, la junta y los reguladores (para el cumplimiento), y enviarlos con el menor esfuerzo posible, para que pueda concentrarse en sus funciones principales de monitoreo y respuesta.
6. Capacidad para cazar amenazas activamente. Se necesita un conjunto de herramientas similar para el contexto requerido en su análisis y la capacidad de detectar fácilmente las desviaciones de la actividad de referencia conocida.
