Preguntas y respuestas sobre la detección y respuesta extendida (XDR) en seguridad cibernética

Índice de Contenido
  1. ¿Qué es XDR?
  2. ¿Cuál es la diferencia entre XDR Nativo y XDR Híbrido?
  3. ¿Significa que XDR Nativo no se integra con otras herramientas?
  4. ¿Qué reemplaza XDR en el Centro de Operaciones de Seguridad (SOC)?
  5. ¿XDR necesita SOAR?
  6. ¿Los equipos de seguridad están ansiosos por comprar XDR?
  7. ¿Por qué XDR está recibiendo tanta atención? ¿En qué están realmente interesados los equipos de seguridad cuando se trata de XDR?
  8. ¿XDR y SIEM trabajan juntos?
  9. ¿Cuáles son las diferencias y similitudes arquitectónicas entre SIEM y XDR?
  10. ¿Qué resultados ofrece XDR en comparación con SIEM?
  11. ¿Significa que XDR, siendo la evolución de EDR, hace que EDR ya no importe?

¿Qué es XDR?

Una forma simplificada de entender XDR es verlo como EDR++.

Una forma más compleja (pero precisa) de entender XDR es:

Actualmente existen herramientas en el mercado que siguen un enfoque tradicional en cuanto a las operaciones de seguridad: capturan datos de todo el entorno y realizan análisis de seguridad en estos datos. Sin embargo, también existen herramientas en el mercado que innovan en ofrecer un enfoque diferente: realizar detecciones basadas en la ubicación de los datos.

Este ha sido el enfoque de los proveedores de soluciones de detección y respuesta de puntos finales (EDR) desde su inicio: consideran que la ubicación de los datos (en los puntos finales) puede ofrecer la mayor fuente de telemetría eficaz para la detección y respuesta. Comenzó con los puntos finales, de ahí nació EDR. Sin embargo, ahora debe abarcar otros aspectos a medida que los datos se desplazan de las instalaciones locales a la nube. Este es el primer paso que lleva a los proveedores de EDR a evolucionar a XDR: identificar y proteger a dónde se desplazarán los datos a continuación.

También hay otro motivo por el cual los proveedores de EDR están evolucionando hacia XDR:

EDR es una herramienta validada en el mercado para una detección y respuesta efectiva de puntos finales, pero los equipos de respuesta a incidentes necesitan más telemetría que la proporcionada solo por los puntos finales, como la red, el correo electrónico y las aplicaciones. Para abordar este problema, los equipos de seguridad han utilizado plataformas de análisis de seguridad para combinar datos de telemetría de puntos finales con datos de otras partes del entorno, con diferentes grados de éxito. Sin embargo, algunas soluciones han tenido problemas de consumo de recursos, altas tasas de falsos positivos y volúmenes de datos grandes, lo que ha creado sus propios desafíos de big data.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

XDR busca abordar esto mediante la adopción de un enfoque diferente para la detección y respuesta, que sigue centrado en los puntos finales y otras fuentes de telemetría eficaces, pero que correlaciona las detecciones en los puntos finales con la telemetría de otras fuentes para simplificar la investigación y la respuesta.

¿Cuál es la diferencia entre XDR Nativo y XDR Híbrido?

XDR Nativo integra principalmente las herramientas propias del proveedor, mientras que XDR Híbrido se enfoca en las integraciones con terceros. Tanto el XDR Híbrido como el XDR Nativo incluyen capacidades EDR nativas, ya que esta sigue siendo la pieza fundamental y definitoria del XDR.

XDR Nativo toma la solución de XDR del proveedor, que incluye principalmente el producto EDR, e integra en primer lugar otros aspectos de su cartera, como las herramientas de seguridad de correo electrónico o herramientas de análisis y visibilidad de la red (NAV).

Esto contrasta con XDR Híbrido, que integra principalmente herramientas de terceros. XDR Híbrido toma la solución de XDR del proveedor, que incluye principalmente el producto EDR, e integra prominentemente herramientas de seguridad de terceros.

¿Significa que XDR Nativo no se integra con otras herramientas?

La mayoría de las herramientas de XDR nativas tienen alguna manera de integrarse con otras herramientas de seguridad.

Según la investigación de Forrester, los equipos de seguridad priorizan las herramientas con capacidades de integración. Por lo tanto, tanto XDR Nativo como XDR Híbrido deben admitir la integración con herramientas de seguridad de terceros de alguna manera, simplemente no hay otra opción. Los proveedores de XDR nativas seguirán liderando con su conjunto de ofertas, pero pueden ofrecer integraciones con herramientas de terceros a través de su plataforma de gestión de información y eventos de seguridad (SIEM) o plataforma de análisis de seguridad.

Cómo proteger tu computadora de los virus: métodos y consejos

En última instancia, los proveedores tienen una cantidad limitada de recursos que pueden dedicar a integraciones con terceros versus integraciones con su propia tecnología. Para algunos usuarios finales, puede ser más valioso utilizar una oferta de XDR nativa porque puede integrarse estrechamente con la tecnología nativa del proveedor. Con XDR Híbrido, los proveedores deberán dedicar tiempo y esfuerzo para construir integraciones significativas con un número limitado de proveedores prioritarios a los que están comprometidos a mantener.

¿Qué reemplaza XDR en el Centro de Operaciones de Seguridad (SOC)?

XDR reemplaza a EDR en el Centro de Operaciones de Seguridad (SOC). Esa es la forma más sencilla de decirlo. Puede que eventualmente reemplace al SIEM, pero eso es más una visión a cinco años en este momento que cualquier otra cosa.

Cuando se discute XDR con los proveedores, una de las formas más fáciles de determinar lo que están ofreciendo es hacerles esta pregunta. Aquellos que afirman ser proveedores de XDR que reemplazan las plataformas de análisis de seguridad o el SIEM probablemente sean proveedores de análisis de seguridad que siguen un enfoque de análisis de seguridad. Existen diferencias fundamentales entre XDR y las plataformas de análisis de seguridad en términos de arquitectura del producto y resultados, lo que impide que XDR reemplace al SIEM por sí solo en la actualidad, como el cumplimiento o la detección a partir de NAV y otras herramientas.

¿XDR necesita SOAR?

XDR no necesita SOAR. Si acaso, comprar SOAR además de XDR para satisfacer las capacidades de respuesta en XDR sería redundante. Una de las cosas importantes de XDR es que no pretende combinar tecnología existente de análisis de seguridad para formar una tecnología mágicamente mejor. Se enfoca en la optimización a través de la automatización basada en la tecnología de EDR para mejorar el proceso de respuesta a incidentes sin depender de las ayudas normalmente asociadas con reglas y playbooks.

¿Los equipos de seguridad están ansiosos por comprar XDR?

Honestamente, no, no lo están. Recibo muchas preguntas de directores de seguridad de la información sobre XDR, pero todas son preguntas como "¿Qué es XDR?" y "¿Por qué el proveedor Y me está presionando para usar XDR? ¿Vale la pena?". Ahora es el momento de la educación y la experimentación con XDR. Los profesionales de seguridad pueden obtener el máximo impacto, claridad y uso efectivo de XDR construyendo un camino desde la plataforma de protección de puntos finales (EPP) hasta EDR y luego a XDR.

¿Por qué XDR está recibiendo tanta atención? ¿En qué están realmente interesados los equipos de seguridad cuando se trata de XDR?

Es fácil decir que XDR está recibiendo atención porque los proveedores creen que pueden vender más de su cartera al llamar a todo XDR. ¡Y eso es verdad! Sin embargo, hay otra razón, centrada en las necesidades reales de los equipos de seguridad: en la comunidad de seguridad hay un anhelo de contar con una solución que proporcione mejores resultados que las soluciones actuales.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

XDR busca abordar tres desafíos para los profesionales de seguridad:

1. Detección

Por lo general, las herramientas de seguridad adoptan un enfoque muy amplio para el análisis de seguridad. Si recopilamos una gran cantidad de datos y luego realizamos análisis sobre ellos, podremos ver y comprender más sobre los ataques entrantes. A primera vista, esto tiene mucho sentido. Sin embargo, con la enorme cantidad de datos empresariales, esto rápidamente se vuelve insostenible. XDR prioriza los datos utilizados para la detección para evitar abrumar a los analistas con alertas.

2. Investigación

La investigación es la parte más lenta de todo el proceso de respuesta a incidentes. Es especialmente desafiante para los nuevos analistas que no necesariamente tienen las habilidades para realizar investigaciones rápidas. Una de las características que ha resultado tan convincente de la tecnología EDR son las capacidades emergentes de análisis de causa raíz automatizadas. XDR lleva esto un paso más allá al incorporar otras fuentes de telemetría en el análisis de causa raíz y el proceso de investigación para obtener información más completa sobre el incidente.

3. Respuesta

Protege tus contraseñas con PAM: Tu aliado para la seguridad

La respuesta debe ser rápida y completa. Hacerlo rápidamente es sencillo y, por separado, hacerlo de forma completa también es sencillo. Sin embargo, hacerlo rápidamente y de forma completa es muy desafiante. Una característica atractiva de la tecnología EDR son las capacidades emergentes de acciones recomendadas para la respuesta. XDR lleva esto un paso más allá al incorporar otras herramientas en la respuesta recomendada para dar a los analistas el contexto para saber cómo deben responder y la capacidad de ejecutar esa respuesta en un solo lugar.

¿XDR y SIEM trabajan juntos?

¡Sí! Al menos por ahora. XDR y SIEM están en camino de colisionar, pero por el momento, son complementarios, ya que XDR no puede abordar todos los casos de uso que SIEM cubre en cuanto a gobernanza, gestión de riesgos, cumplimiento y detecciones de otras fuentes de telemetría. Algunos proveedores están presentando soluciones SIEM como parte de su oferta, vendiéndolas junto con su oferta de XDR, mientras que otros recomiendan trabajar con un tercero.

¿Cuáles son las diferencias y similitudes arquitectónicas entre SIEM y XDR?

Preguntas y respuestas sobre la detección y respuesta extendida (XDR) en seguridad cibernética - Seguridad | Imagen 1 Newsmatic

¿Qué resultados ofrece XDR en comparación con SIEM?

Preguntas y respuestas sobre la detección y respuesta extendida (XDR) en seguridad cibernética - Seguridad | Imagen 2 Newsmatic

¿Significa que XDR, siendo la evolución de EDR, hace que EDR ya no importe?

En un informe reciente sobre XDR, afirmé "EDR está muerto. Larga vida a XDR" para dejar claro que XDR es la próxima evolución de EDR y eventualmente reemplazará a EDR. Eso sigue siendo cierto, aunque en el presupuesto todavía se lea EDR y los equipos de seguridad sigan enfocándose en EDR. Reemplazar EDR con XDR en el SOC llevará tiempo y será un proceso gradual para los profesionales, al igual que el camino desde EPP hasta EDR. Aún es importante comprender y destacar las capacidades diferenciadas que los proveedores de EDR pueden mostrar en su oferta de puntos finales y ser capaces de separar eso del siguiente paso en el camino del profesional: XDR.

Para algunas organizaciones, puede tener sentido limitar las integraciones que tienen dentro de su tecnología XDR y simplemente utilizar XDR como un EDR. Uno de los beneficios de que XDR evolucione desde EDR es que puede permitir a los profesionales integrar más fuentes de telemetría a medida que avanza su programa de seguridad.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Preguntas y respuestas sobre la detección y respuesta extendida (XDR) en seguridad cibernética , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.