¿Qué es la detección y respuesta ampliadas (XDR)?

¿Qué es XDR?

La detección y respuesta extendidas XDR, es una arquitectura abierta de ciberseguridad que integra herramientas de seguridad y unifica las operaciones de seguridad en todos los usuarios de seguridad, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos.

Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para funcionar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta a amenazas.

La XDR elimina las brechas de visibilidad entre las herramientas y las capas de seguridad, lo que permite a los equipos de seguridad sobrecargados detectar y resolver amenazas de manera más rápida y eficiente, así como capturar datos contextuales más completos para tomar mejores decisiones de seguridad y prevenir futuros ataques cibernéticos.

La XDR se definió por primera vez en 2018, pero la forma en que los profesionales de seguridad y los analistas de la industria hablan sobre esta ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad describen primero la XDR como la detección y respuesta de endpoints (EDR) con esteroides, extendida para abarcar todas las capas de seguridad empresarial. Pero hoy los expertos ven el potencial de la XDR como mucho más que la suma de las herramientas y funcionalidades que integra, enfatizando beneficios como la visibilidad integral de amenazas, una interfaz unificada y flujos de trabajo optimizados para la detección, investigación y respuesta a amenazas.

Además, los analistas y proveedores clasificaron las soluciones de XDR como XDR nativa, que integra herramientas de seguridad solo del proveedor de la solución, o XDR abierta, que integra todas las herramientas de seguridad en el ecosistema de seguridad de una organización independientemente del proveedor. Pero se volvió cada vez más claro que los equipos de seguridad empresarial y los centros de operaciones de seguridad (SOC) esperan que incluso las soluciones XDR nativas sean abiertas, brindando la flexibilidad para integrar herramientas de seguridad de terceros que usan ahora o que tal vez prefieran usar en el futuro.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Beneficios de la XDR

Hoy en día, las organizaciones son bombardeadas por amenazas avanzadas (también llamadas amenazas persistentes avanzadas). Estas amenazas eluden las medidas de prevención de los endpoints y se esconden en la red durante semanas o meses, moviéndose, obteniendo permisos, robando datos y recopilando información de las diferentes capas de la infraestructura de TI en preparación para un ataque a gran escala o una filtración de datos. Muchos de los ataques cibernéticos y filtraciones de datos más dañinos y costosos (ataques deransomware, compromiso de correo electrónico empresarial (BEC), ataques de denegación de servicio distribuido (DDoS), espionaje cibernético, son ejemplos de amenazas avanzadas.

Las organizaciones se armaron con decenas de herramientas y tecnologías de ciberseguridad para combatir estas amenazas y cerrar los vectores de ataque, o métodos, que los delincuentes cibernéticos emplean para lanzarlas. Algunas de estas herramientas se centran en capas de infraestructura específicas; otros recopilan datos de registro y telemetría en múltiples capas.

En la mayoría de los casos, estas herramientas están en silos: no se comunican entre sí. Esto deja que los equipos de seguridad tengan que correlacionar las alertas manualmente para separar los incidentes reales de los falsos positivos y clasificar los incidentes según la gravedad, y coordinarlos manualmente para mitigar y corregir las amenazas. Según el Cyber Resilient Organization Study 2021 de IBM, el 32 % de las organizaciones informaron que usaron de 21 a 30 herramientas de seguridad individuales en respuesta a cada amenaza; el 13 % informó haber usado 31 o más herramientas.

Como resultado, las amenazas avanzadas tardan demasiado en identificarse y contenerse. El informe Costo de una filtración de datos 2022 de IBM revela que la filtración de datos promedio tardó 277 días en detectarse y resolverse. Según este promedio, se lograría contener una filtración que ocurriera el 1 de enero hasta el 4 de octubre.

Al romper los silos entre las soluciones de punto de cada capa, la XDR promete a los equipos de seguridad y a los SOC sobrecargados la visibilidad y la integración de extremo a extremo que necesitan para identificar las amenazas más rápidamente, responder a ellas más rápido y resolverlas más rápido, y para minimizar el daño que causan.

En el relativamente poco tiempo transcurrido desde su introducción, la XDR está marcando la diferencia. De acuerdo con el Informe del Costo de una filtración de datos 2022, las organizaciones con XDR implementada acortaron su ciclo de vida de filtración de datos en un 29 % y redujeron los costos de la filtración de datos en un 9 % en promedio en comparación con las organizaciones sin XDR.

Cómo funciona la XDR

La XDR suele consumirse como una solución basada en la nube o software como servicio (SaaS); un analista de la industria, Gartner, define la XDR como "basada en SaaS". También puede ser la tecnología central que impulsa la solución de detección y respuesta gestionada (MDR) de un proveedor de soluciones de seguridad o en la nube.

Las soluciones de seguridad XDR pueden integrar:

Recopilación continua de datos

La XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas, creando de manera efectiva un registro continuamente actualizado de todo lo que sucede en la infraestructura: inicios de sesión (exitosos y fallidos), conexiones de red y flujos de tráfico, mensajes de correo electrónico y archivos adjuntos, archivos creados y almacenados, procesos de aplicaciones y dispositivos, configuración y cambios de registro. La XDR también recopila alertas específicas generadas por los diversos productos de seguridad.

Las soluciones de XDR abierta suelen recopilar estos datos mediante una interfaz de programación de aplicaciones abierta o API. (Las soluciones de XDR nativa pueden requerir una herramienta de recopilación de datos ligera, o agente, instalada en dispositivos y aplicaciones). Todos los datos recopilados se normalizan y almacenan en una base de datos central basada en la nube o data lake.

Análisis en tiempo real y detección de amenazas

XDR utiliza analytics avanzados y algoritmos de machine learning para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que se desarrollan.

Para ello, la XDR correlaciona los datos y la telemetría de las distintas capas de la infraestructura con los datos de los servicios de inteligencia de amenazas, que ofrecen información actualizada continuamente sobre tácticas y vectores de ciberamenazas nuevos y recientes, entre otras cosas. Los servicios de inteligencia de amenazas pueden ser propios (operados por el proveedor de XDR ), de terceros o comunitarios. La mayoría de las soluciones de XDR también mapean datos a MITRE ATT&CK, una base de conocimientos global de libre acceso sobre tácticas y técnicas de ciberamenazas de hackers.

Los analytics de XDR y los algoritmos de aprendizaje automático también pueden hacer su propia investigación, comparando datos en tiempo real con datos históricos y referencias establecida para identificar actividades sospechosas, comportamientos aberrantes del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad.  También pueden separar las "señales" o amenazas legítimas del "ruido" de los falsos positivos, de modo que los analistas de seguridad puedan centrar en los incidentes importantes. Quizás lo más importante es que los algoritmos de aprendizaje automático aprenden continuamente de los datos para mejorar la detección de amenazas con el tiempo.

La XDR resume datos importantes y resultados de analytics en una consola de administración central que también sirve como interfaz de usuario (IU) de la solución. Desde la consola, los miembros del equipo de seguridad pueden obtener visibilidad completa de cada problema de seguridad, en toda la empresa, y lanzar investigaciones, respuestas a amenazas y correcciones en cualquier lugar de la infraestructura extendida.

Capacidades automatizadas de detección y respuesta

La automatización es lo que pone la respuesta rápida en la XDR. Con base en reglas predefinidas establecidas por el equipo de seguridad, o "aprendidas" con el tiempo por algoritmos de machine learning, la XDR permite dar respuestas automatizadas que ayudan a acelerar la detección y resolución de amenazas, además de que libera a los analistas de seguridad para que se centren en trabajos más importantes. La XDR puede automatizar tareas como:

  • El triaje y priorización de alertas según su gravedad;

  • La desconexión o apagado de los dispositivos afectados, desconexión de los usuarios de la red, parar los procesos del sistema/aplicación/dispositivo y desconexión de las fuentes de datos;

  • Lanzar software antivirus/antimalware para analizar otros endpoints en la red en busca de la misma amenaza;

  • Activar playbooks de respuesta a incidentes SOAR relevantes (flujos de trabajo automatizados que orquestan múltiples productos de seguridad en respuesta a un incidente de seguridad específico).

La XDR también puede automatizar las actividades de investigación y corrección de amenazas (consulte la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes y a prevenir o minimizar el daño que causan.

Investigación y corrección de amenazas

Una vez que se aísla una amenaza a la seguridad, las plataformas XDR proporcionan capacidades que los analistas de seguridad pueden emplear para investigar más a fondo la amenaza. Por ejemplo, los analytics forenses y los informes de "seguimiento" ayudan a los analistas de seguridad a identificar la causa principal de una amenaza, identificar los distintos archivos a los que afectó e identificar la vulnerabilidad o vulnerabilidades que el atacante explotó y entran y se mueven por la red, obtienen acceso a las credenciales de autenticación o realizan otras actividades maliciosas.

Con esta información, los analistas pueden coordinar las herramientas de corrección para eliminar la amenaza. La corrección podría implicar:

  • Destruir archivos maliciosos y borrarlos de endpoints, servidores y dispositivos de red;

  • Restaurar configuraciones dañadas de dispositivos y aplicaciones, configuraciones de registro, datos y archivos de aplicaciones;

  • Aplicar actualizaciones o parches para eliminar las vulnerabilidades que provocaron el incidente;

  • Actualización de las reglas de detección para evitar otro incidente.

Compatibilidad con la  caza de amenazas

La caza de amenazas (también llamada caza de amenazas cibernéticas) es un ejercicio de seguridad proactivo en el que un  analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no fueron detectadas o corregidas por las herramientas automatizadas de  ciberseguridad de la organización.

Una vez más, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, preparar para un ataque o una filtración a gran escala. La caza de amenazas eficaz y oportuna puede reducir el tiempo que lleva encontrar y corregir estas amenazas, lo que puede limitar o prevenir el daño del ataque.

Los cazadores de amenazas utilizan una variedad de tácticas y técnicas que se basan en las mismas fuentes de datos, analytics y capacidades de automatización que la XDR utiliza para la detección, respuesta y corrección de amenazas. Por ejemplo, un cazador de amenazas podría querer buscar un archivo en particular, un cambio de configuración u otro artefacto basado en analytics forense, o en datos MITRE ATT&CK que describan los métodos de un atacante en particular.

Para apoyar estos esfuerzos, la XDR pone sus capacidades de analytics y automatización a disposición de los analistas de seguridad a través de la interfaz de usuario o por medios programáticos, para que puedan realizar búsquedas ad hoc, consultas de datos, correlaciones con inteligencia sobre amenazas y otras investigaciones. Algunas soluciones de XDR incluyen herramientas creadas específicamente para la caza de amenazas, como lenguajes de scripting sencillos (para automatizar tareas comunes) e incluso herramientas de consulta en lenguaje natural.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

     

         Explorar las soluciones de detección de amenazas Explorar IBM Verify