Detección y respuesta ampliadas (XDR) es una arquitectura de ciberseguridad abierta que integra las herramientas de seguridad y unifica las operaciones de seguridad en todas las capas de seguridad: usuarios, puntos finales, correo electrónico, aplicaciones, redes, cargas de trabajo en cloud y datos. Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para funcionar juntas pueden interoperar sin problemas en la prevención, detección, respuesta e investigación de amenazas.
XDR elimina la falta de visibilidad entre las herramientas y las capas de seguridad, lo que permite a los equipos de seguridad sobrecargados detectar y resolver las amenazas de manera más rápida y eficaz, y capturar más datos contextuales completos para tomar mejores decisiones de seguridad y prevenir futuros ataques cibernéticos.
La definición del término XDR se acuñó por primera vez en 2018, pero la forma en la que los profesionales de seguridad y los analistas del sector hablan de la XDR ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad describieron primero la XDR como una detección y respuesta de punto final (EDR) elevada a la máxima potencia, ampliada para abarcar todas las capas de seguridad empresarial. No obstante, los expertos actuales ven el potencial de la XDR como mucho más que la suma de las herramientas y las funciones que integra, y destacan beneficios como la visibilidad de las amenazas de principio a fin, una interfaz unificada y flujos de trabajo optimizados que permiten la detección, la respuesta y la investigación de amenazas.
Además, los analistas y proveedores han categorizado las soluciones XDR como XDR nativa, que integra solo herramientas de seguridad del proveedor de la solución, o XDR abierta, que integra todas las herramientas de seguridad en el ecosistema de seguridad de una organización, independientemente del proveedor. No obstante, cada vez está más claro que los equipos de seguridad empresarial y los centros de operaciones de seguridad (SOC) esperan que incluso las soluciones XDR nativas sean abiertas, con flexibilidad para integrar las herramientas de seguridad de terceros que utilizan ahora o que pueden preferir utilizar en el futuro.
Hoy en día, las organizaciones reciben constantemente amenazas avanzadas (también llamadas amenazas persistentes avanzadas). Estas amenazas superan las medidas de prevención de punto final y acechan en la red durante semanas o meses, moviéndose, obteniendo permisos, robando datos y recopilando información de las diferentes capas de la infraestructura de TI mientras preparan un ataque o una filtración de datos a gran escala. Muchos de los ciberataques y filtraciones de datos más perjudiciales y costosos (ataques de ransomware, correo electrónico empresarial comprometido (BEC), ataques de denegación de servicio distribuida (DDoS), ciberespionaje) son ejemplos de amenazas avanzadas.
Las organizaciones se han armado con decenas de herramientas y tecnologías de ciberseguridad para combatir estas amenazas y cerrar los vectores de ataque o los métodos que utilizan los ciberdelincuentes para lanzar los ataques. Algunas de estas herramientas se centran en capas de infraestructura específicas; otras recopilan datos de registro y telemetría a través de varias capas.
En la mayoría de los casos, estas herramientas están aisladas, sin comunicarse entre ellas. Esto obliga a los equipos de seguridad a correlacionar manualmente las alertas para separar los incidentes reales de los falsos positivos, clasificar los incidentes según su gravedad y coordinarlos manualmente para mitigar y remediar las amenazas. De acuerdo con el Estudio de organizaciones ciberresilientes de IBM de 2021, el 32 % de las organizaciones declararon utilizar de 21 a 30 herramientas de seguridad individuales como respuesta a cada amenaza; el 13 % declaró utilizar 31 o más herramientas.
Como resultado, las amenazas avanzadas tardaban demasiado en identificarse y contenerse. El informe sobre el coste de una filtración de datos de 2022 de IBM revela que una filtración de datos media tardaba 277 días en detectarse y resolverse. Según este promedio, una filtración que se produjera el 1 de enero no se contendría hasta el 4 de octubre.
Al romper los silos entre las soluciones puntuales específicas de cada capa, XDR promete a los SOC y equipos de seguridad sobreampliada la visibilidad y la integración de principio a fin que necesitan para identificar las amenazas, responder a ellas y resolverlas más rápidamente, así como para minimizar los daños que provocan.
En el relativamente breve periodo transcurrido desde su presentación, XDR está marcando la diferencia. Según el informe sobre el coste de una filtración de datos de 2022, las organizaciones con XDR desplegada redujeron el ciclo de vida de una filtración de datos en un 29 % y disminuyeron los costes asociados en un 9 % de media en comparación con las organizaciones sin XDR.
La XDR normalmente se consume como una solución basada en el cloud o de software como servicio (SaaS); un analista del sector, Gartner, define la XDR como "basada en SaaS". También puede ser la tecnología básica que impulsa la oferta de Detección y respuesta gestionadas (MDR) del proveedor de una solución de seguridad o de cloud.
Las soluciones de seguridad XDR pueden integrar:
- Herramientas de seguridad individuales (o soluciones puntuales) como, por ejemplo, antivirus, análisis de comportamiento de usuarios y entidades (UEBA) o cortafuegos.
- Soluciones de seguridad específicas de cada capa como, por ejemplo, EDR, plataformas de protección de puntos finales (EPP), detección y respuesta de red (NDR) o análisis de tráfico de red (NTA).
- Soluciones que recopilan datos o coordinan flujos de trabajo en las distintas capas de seguridad, por ejemplo, gestión de sucesos e información de seguridad (SIEM) u orquestación, automatización y respuesta de seguridad (SOAR).
Recopilación de datos continua
XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas para crear de manera eficaz un registro continuamente actualizado de todo lo que sucede en la infraestructura: inicios de sesión (satisfactorios o no), conexiones red y flujos de tráfico, mensajes de correo electrónico y archivos adjuntos, archivos creados y guardados, procesos de aplicación y dispositivo, configuración y cambios de registro. La XDR también recopila alertas específicas generadas por los distintos productos de seguridad.
Las soluciones de XDR abierta normalmente recopilan estos datos utilizando una interfaz de programación de aplicaciones o API. (Las soluciones XDR nativas pueden requerir la instalación de un agente o una herramienta de recopilación de datos ligera en los dispositivos y las aplicaciones). Todos los datos recopilados se normalizan y almacenan en un lago de datos o una base de datos central basada en cloud.
Detección de amenazas y analítica en tiempo real
La XDR utiliza algoritmos de análisis avanzados y machine learning para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que estas se revelan.
Para ello, la XDR correlaciona datos y telemetría a través de varias capas infraestructura con datos de servicios de inteligencia de amenazas, que suministran información continuamente actualizada sobre tácticas de ciberamenaza nuevas y recientes, vectores, etc. Los servicios de inteligencia de amenazas pueden ser de propiedad (gestionados por el proveedor de XDR), de terceros o estar basados en la comunidad. La mayoría de soluciones XDR también correlacionan datos con MITRE ATT&CK, una base de conocimiento global de libre acceso que incluye tácticas y técnicas de ciberamenazas de los hackers.
Los análisis y los algoritmos de XDR también pueden llevar a cabo su propia investigación, comparando los datos en tiempo real con los datos históricos y los puntos de referencia establecidos para identificar actividad sospechosa, comportamiento anormal por parte del usuario final y cualquier otro factor que pueda indicar una amenaza o incidente de ciberseguridad. Son capaces, así mismo, de separar las "señales", o amenazas legítimas, del "ruido" de los falsos positivos, de modo que los analistas de seguridad pueden centrarse en los incidentes que realmente importan. Quizás lo más importante sea que los algoritmos de machine learning aprenden continuamente de los datos, de modo que detectan mejor las amenazas con el tiempo.
XDR resume los datos importantes y los resultados de los análisis en una consola de gestión central que también sirve como interfaz de usuario (IU) de la solución. En la consola, los miembros del equipo de seguridad pueden obtener una visibilidad completa de cada problema de seguridad en toda la empresa, e iniciar investigaciones, respuestas a amenazas y correcciones en cualquier lugar de la infraestructura ampliada.
Prestaciones de detección y respuesta automatizadas
La automatización es lo que permite la respuesta rápida en XDR. Basada en reglas predefinidas fijadas por el equipo de seguridad o "aprendidas" en el tiempo por los algoritmos de machine learning, la XDR habilita respuestas automatizadas que permiten agilizar la detección y la resolución de amenazas, a la vez que libera a los analistas de seguridad para que puedan dedicarse a trabajos más importantes. La XDR puede automatizar tareas como:
- Clasificación y priorización de las alertas según la gravedad.
- Desconexión o cierre de los dispositivos afectados, desconexión de usuarios de la red, detención de procesos de sistema/aplicación/dispositivo y desconexión de orígenes de datos.
- Activación del software antivirus o antimalware para explorar otros puntos finales de la red en busca de la misma amenaza.
- Activación de las guías de estrategias de respuesta a incidentes SOAR (flujos de trabajo automatizados que orquestan varios productos de seguridad como respuesta a un determinado incidente de seguridad).
La XDR también puede automatizar las actividades de investigación y corrección de amenazas (vea la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes e impedir o minimizar los daños que provocan.
Investigación y corrección de amenazas
Una vez que se aísla una amenaza de seguridad, las plataformas de XDR proporcionan prestaciones que los analistas de seguridad pueden utilizar para investigar la amenaza con mayor detalle. Por ejemplo, los análisis forenses ayudan a los analistas de seguridad a localizar la causa raíz de una amenaza, determinar los diferentes archivos a los que ha afectado e identificar la vulnerabilidad o vulnerabilidades que ha aprovechado el atacante para entrar en la red y moverse por ella, obtener acceso a las credenciales de autenticación o realizar otras actividades maliciosas.
Armados con esta información, los analistas pueden coordinar herramientas de corrección para eliminar la amenaza. La corrección podría implicar:
- Destruir archivos maliciosos y borrarlos de puntos finales, servidores y dispositivos de red.
- Restaurar las configuraciones dañadas de dispositivos y aplicaciones, la configuración de registro, los datos y los archivos de aplicación.
- Aplicar actualizaciones o parches para eliminar las vulnerabilidades que han provocado el incidente.
- Actualizar las reglas de detección para impedir la recurrencia.
Soporte para la detección de amenazas
La detección de amenazas (también llamada detección de ciberamenazas) es un ejercicio proactivo de seguridad en el que un analista de seguridad busca en la red amenazas aún desconocidas, o amenazas conocidas pero que aún no han sido detectadas o corregidas por las herramientas de ciberseguridad automatizada de la organización.
De nuevo, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, mientras se preparan para un ataque o una filtración a gran escala. Detectar las amenazas de forma eficaz y a tiempo puede reducir el tiempo que se tarda en encontrar y corregir estas amenazas, además de limitar o evitar los daños derivados del ataque.
Los detectores de amenazas emplean tácticas y técnicas diversas, que se basan en los mismos orígenes de datos y las mismas prestaciones de análisis y automatización que utiliza XDR para la detección, respuesta y corrección de amenazas. Por ejemplo, un detector de amenazas puede buscar un archivo concreto, un cambio de configuración u otro artefacto según los análisis forenses, o datos de MITRE ATT&CK que describan los métodos de un atacante en particular.
Para dar soporte a estas tareas, la XDR facilita sus prestaciones de análisis y automatización a los analistas de seguridad a través de medios programáticos o basados en la interfaz de usuario, de modo que puedan realizar búsquedas y consultas de datos ad-hoc, correlaciones con inteligencia de amenazas y otras investigaciones. Algunas soluciones de XDR incluyen herramientas creadas específicamente para la detección de amenazas como, por ejemplo, los lenguajes de script simple (para automatizar las tareas comunes) e incluso herramientas de consulta de lenguaje natural.
La suite IBM® Security QRadar XDR proporciona un único flujo de trabajo unificado en todas sus herramientas para detectar y eliminar las amenazas más rápidamente.
IBM Security QRadar SOAR está diseñado para ayudar a su equipo de seguridad a responder a las ciberamenazas con confianza, automatizar con inteligencia y colaborar con coherencia.
Prepare controles, procesos y equipos de respuesta ante incidentes que ayuden al equipo a mejorar su plan de respuesta ante incidentes y minimizar las repercusiones de una filtración.
El informe anual sobre el coste de una filtración de datos, que presenta la investigación realizada por el Ponemon Institute, ofrece información obtenida de 550 filtraciones reales.
Las soluciones de gestión de sucesos e información de seguridad (SIEM) ofrecen supervisión en tiempo real y análisis de sucesos, así como seguimiento y registro de los datos de seguridad a efectos de cumplimiento o auditoría.
SOAR (orquestación, automatización y respuesta de seguridad) es una solución software que permite a los equipos de seguridad integrar y coordinar herramientas diferentes en flujos de trabajo optimizados de respuesta a amenazas.