¿Qué es la detección y respuesta extendidas (XDR)?

¿Qué es el XDR?

Las soluciones de detección y respuesta extendidas (XDR) son una arquitectura de ciberseguridad abierta que integra herramientas y operaciones de seguridad para todas las capas: endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos.

Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para trabajar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta ante amenazas.

XDR elimina las brechas de visibilidad entre las herramientas y capas de seguridad, lo que permite a los equipos de seguridad sobrecargados detectar y resolver amenazas de manera más rápida y eficiente, y capturar datos contextuales más completos para tomar mejores decisiones de seguridad y prevenir futuros ciberataques.

La primera definición de XDR se dio en 2018, pero la forma en que los profesionales de la seguridad y los analistas del sector hablan de XDR ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad describen primero XDR como detección y respuesta de endpoints (EDR) con esteroides, ampliada para abarcar todas las capas de seguridad empresarial. Pero hoy en día los expertos consideran que el potencial de XDR es mucho mayor que la suma de las herramientas y funcionalidades que integra, destacando beneficios como la visibilidad de las amenazas de extremo a extremo, una interfaz unificada y flujos de trabajo optimizados para la detección, investigación y respuesta a las amenazas.

Además, los analistas y los proveedores han clasificado las soluciones de XDR como XDR nativo, que integra las herramientas de seguridad únicamente del proveedor de soluciones, o XDR abierto, que integra todas las herramientas de seguridad del ecosistema de seguridad de una organización, independientemente del proveedor. Pero cada vez está más claro que los equipos de seguridad empresarial y los centros de operaciones de seguridad (SOC) esperan que incluso las soluciones XDR nativas sean abiertas, lo que proporciona la flexibilidad necesaria para integrar las herramientas de seguridad de terceros que utilizan ahora o que prefieran utilizar en el futuro.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Beneficios de XDR

Hoy en día, las organizaciones se ven bombardeadas por amenazas avanzadas (también llamadas amenazas persistentes avanzadas). Estas amenazas se escabullen de las medidas de prevención de endpoints y acechan en la red durante semanas o meses: se mueven, obtienen permisos, roban datos y recopilan información de las distintas capas de la infraestructura de TI para preparar un ataque a gran escala o una vulneración de datos. Muchos de los ciberataques y vulneraciones de datos más dañinos y costosos (ataques de ransomware, correo electrónico empresarial comprometido o BEC, ataques de denegación de servicio distribuido o DDoS, ciberespionaje) son ejemplos de amenazas avanzadas.

Las organizaciones se han armado con decenas de herramientas y tecnologías de ciberseguridad para luchar contra estas amenazas y cerrar los vectores de ataque, o métodos, que los ciberdelincuentes utilizan para lanzarlas. Algunas de estas herramientas se centran en capas de infraestructura específicas; otros recopilan datos de registro y telemetría en múltiples capas.

En la mayoría de los casos, estas herramientas están aisladas: no se comunican entre sí. Esto hace que los equipos de seguridad tengan que correlacionar las alertas manualmente para separar los incidentes reales de los falsos positivos y clasificar los incidentes según su gravedad, y coordinarlos manualmente para mitigar y corregir las amenazas. Según el Cyber Resilient Organization Study de 2021 de IBM, el 32 % de las organizaciones informaron que utilizaban entre 21 y 30 herramientas de seguridad individuales en respuesta a cada amenaza; el 13 % dijo utilizar 31 o más herramientas.

Como resultado, las amenazas avanzadas tardan demasiado en ser identificadas y contenidas. El informe "Coste de una filtración de datos" de 2022 de IBM revela que la vulneración de datos media tardó 277 días en detectarse y resolverse. Basándose en esta media, una vulneración que se produjera el 1 de enero no se contendría hasta el 4 de octubre.

Al romper los silos entre las soluciones puntuales específicas de cada capa, XDR promete a los equipos de seguridad y a los SOC la visibilidad e integración de extremo a extremo que necesitan para identificar las amenazas con mayor rapidez, responder a ellas con mayor rapidez y resolverlas con mayor rapidez, así como para minimizar los daños que causan.

En el relativamente corto tiempo transcurrido desde su introducción, XDR está marcando la diferencia. Según el informe "Coste de una filtración de datos" de 2022, las organizaciones con XDR implementado acortaron el ciclo de vida de la vulneración de datos en un 29 % y redujeron los costes de la vulneración en un 9–% de media en comparación con las organizaciones sin XDR.

Cómo funciona la XDR

La XDR se consume normalmente como una solución basada en la nube o de software como servicio (SaaS); un analista del sector, Gartner, define el XDR como "basado en SaaS". También puede ser la tecnología central que impulsa la oferta de detección y respuesta gestionada (MDR) de un proveedor de soluciones de seguridad o en la nube.

Las soluciones de seguridad XDR pueden integrar:

Recopilación continua de datos

La XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas, creando así un registro continuamente actualizado de todo lo que ocurre en la infraestructura: inicios de sesión (con éxito y sin éxito), conexiones de red y flujos de tráfico, mensajes de correo electrónico y archivos adjuntos, archivos creados y guardados, procesos de aplicaciones y dispositivos, y cambios en la configuración y el registro. La XDR también recoge las alertas específicas generadas por los distintos productos de seguridad.

Las soluciones abiertas de XDR suelen recopilar estos datos mediante una interfaz de programación de aplicaciones abierta o API. (Las soluciones XDR nativas pueden requerir la instalación de una herramienta o agente de recopilación de datos ligera en los dispositivos y las aplicaciones). Todos los datos recopilados se normalizan y almacenan en una base de datos central basada en la nube o data lake

Análisis y detección de amenazas en tiempo real

XDR utiliza algoritmos avanzados de análisis y machine learning para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que se desarrollan.

Para hacer esto, XDR correlaciona los datos y la telemetría en las distintas capas de infraestructura con datos de los servicios de inteligencia de amenazas, que brindan información continuamente actualizada, nuevas y recientes tácticas de ciberamenazas, vectores y más. Los servicios de inteligencia sobre amenazas pueden ser propios (operados por el proveedor de XDR), de terceros o basados en la comunidad. La mayoría de las soluciones XDR también asignan datos a MITRE ATT&CK, una base de conocimiento global de libre acceso sobre las tácticas y técnicas de ciberamenazas de los hackers.

Los análisis XDR y los algoritmos de machine learning también pueden hacer su propia investigación al comparar datos en tiempo real con datos históricos y líneas de base establecidas para identificar actividades sospechosas, comportamientos aberrantes del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. También pueden separar las "señales" o amenazas legítimas del "ruido" de los falsos positivos para que los analistas de seguridad puedan centrarse en los incidentes importantes. Quizás lo más importante es que los algoritmos de machine learning aprenden continuamente de los datos para mejorar la detección de amenazas con el tiempo.

La XDR resume los datos importantes y los resultados analíticos en una consola de gestión central que también sirve como interfaz de usuario (IU) de la solución. Desde la consola, los miembros del equipo de seguridad pueden tener una visibilidad total de todos los problemas de seguridad en toda la empresa e iniciar investigaciones, respuestas a las amenazas y correcciones en cualquier parte de la infraestructura ampliada.

Capacidades de detección y respuesta automatizadas

La automatización es lo que pone la respuesta rápida en XDR. Basándose en reglas predefinidas por el equipo de seguridad, o "aprendidas" con el tiempo por algoritmos de machine learning, XDR permite respuestas automatizadas que ayudan a acelerar la detección y resolución de amenazas, al tiempo que libera a los analistas de seguridad para que se centren en tareas más importantes. XDR puede automatizar tareas como:

  • Clasificación y priorización de las alertas según su gravedad;

  • Desconectar o apagar los dispositivos afectados, desconectar a los usuarios de la red, detener los procesos del sistema, la aplicación o el dispositivo y desconectar las fuentes de datos;

  • Lanzamiento de software antivirus/antimalware para analizar otros endpoints de la red en busca de la misma amenaza;

  • Activar las guías de estrategias de respuesta a los incidentes de SOAR pertinentes (flujos de trabajo automatizados que orquestan varios productos de seguridad en respuesta a un incidente de seguridad específico).

La XDR también puede automatizar las actividades de investigación y corrección de amenazas (consulte la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes y prevenir o minimizar los daños que causan.

Investigación y corrección de amenazas

Una vez que se aísla una amenaza de seguridad, las plataformas XDR proporcionan capacidades que los analistas de seguridad pueden utilizar para investigar más a fondo la amenaza. Por ejemplo, los análisis forenses y los informes de "rastreo" ayudan a los analistas de seguridad a determinar la causa raíz de una amenaza, identificar los distintos archivos a los que afectó e identificar la vulnerabilidad o vulnerabilidades que el atacante aprovechó para entrar y moverse por la red, obtener acceso a credenciales de autenticación o realizar otras actividades maliciosas.

Con esta información, los analistas pueden coordinar las herramientas de corrección para eliminar la amenaza. La corrección puede implicar lo siguiente:

  • Destruir archivos maliciosos y borrarlos de los endpoints, servidores y dispositivos de red;

  • Restaurar configuraciones de aplicaciones y dispositivos dañados, configuraciones de registro, datos y archivos de aplicaciones;

  • Aplicar actualizaciones o parches para eliminar las vulnerabilidades que provocaron el incidente;

  • Actualización de las reglas de detección para evitar que se repita.

Compatibilidad con la búsqueda de amenazas

La búsqueda de amenazas (también llamada búsqueda de ciberamenazas) es un ejercicio de seguridad proactivo en el que un analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no han sido detectadas o corregidas por las herramientas de ciberseguridad automatizadas de la organización.

Una vez más, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas mientras se preparan para un ataque o una brecha a gran escala. La búsqueda de amenazas eficaz y oportuna puede reducir el tiempo que se tarda en encontrar y corregir estas amenazas, lo que puede limitar o prevenir los daños del ataque.

Los buscadores de amenazas utilizan una variedad de tácticas y técnicas que se basan en las mismas fuentes de datos, análisis y capacidades de automatización que utiliza XDR para la detección, respuesta y corrección de amenazas. Por ejemplo, un cazador de amenazas puede querer encontrar un archivo concreto, un cambio de configuración u otro artefacto basándose en análisis forenses o en datos de MITRE ATT&CK que describan los métodos de un atacante concreto.

Para apoyar estos esfuerzos, XDR pone sus capacidades de análisis y automatización a disposición de los analistas de seguridad a través de la interfaz de usuario o por medios programáticos, para que puedan realizar búsquedas ad hoc consultas de datos, correlaciones con la inteligencia de amenazas y otras investigaciones. Algunas soluciones XDR incluyen herramientas creadas específicamente para la búsqueda de amenazas, como lenguajes de scripting sencillos (para automatizar tareas comunes) e incluso herramientas de consulta en lenguaje natural.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

     

         Explore las soluciones de detección de amenazas Explore IBM Verify