La detección y respuesta extendidas o XDR es una arquitectura de ciberseguridad abierta que integra herramientas de seguridad y unifica las operaciones de seguridad en todas las capas de seguridad: usuarios, puntos finales, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Con la XDR, las soluciones de seguridad que no están necesariamente diseñadas para funcionar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta de amenazas.
La XDR elimina las brechas de visibilidad entre las herramientas y las capas de seguridad, lo que permite que los equipos de seguridad sobrecargados no solo detecten y resuelvan las amenazas de manera más rápida y eficiente, sino que también capturen datos contextuales más completos para tomar mejores decisiones de seguridad y prevenir futuros ciberataques.
La XDR se definió por primera vez en 2018, pero la forma en que los profesionales de la seguridad y los analistas de la industria se refieren a ella ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad la describieron por primera vez como detección y respuesta de puntos finales (EDR) con esteroides, extendida para abarcar todas las capas de seguridad empresarial. En la actualidad, los expertos ven el potencial de la XDR como mucho más que la suma de las herramientas y funcionalidades que integra, y enfatizan beneficios como una visibilidad end-to-end de amenazas, una interfaz unificada y unos flujos de trabajo optimizados para la detección, investigación y respuesta de amenazas.
Además, los analistas y proveedores han categorizado las soluciones XDR como XDR nativa, que solamente integra las herramientas de seguridad del proveedor de la solución o XDR abierta, que integra todas las herramientas de seguridad en el ecosistema de seguridad de una organización, independientemente del proveedor. Sin embargo, se ha vuelto cada vez más claro que los equipos de seguridad y centros de operaciones de seguridad (SOC) empresariales esperan que incluso las soluciones XDR nativas sean abiertas y proporcionen la flexibilidad para integrar las herramientas de seguridad de terceros que usan ahora o pueden preferir usar en el futuro.
En la actualidad, las organizaciones se enfrentan a muchas amenazas avanzadas (también conocidas como amenazas persistentes avanzadas). Estas amenazas pasan por alto las medidas de prevención de los puntos finales y acechan en la red durante semanas o meses moviéndose, obteniendo permisos, robando datos y recopilando información de las diferentes capas de la infraestructura de TI en preparación para un ataque a gran escala o una vulneración de datos. Muchos de los ciberataques y filtraciones de datos más perjudiciales y costosos son ejemplos de amenazas avanzadas, como los ataques de ransomware, el correo electrónico empresarial comprometido (BEC), los ataques denegación de servicio distribuido (DDoS) y el ciberespionaje.
Las organizaciones se han equipado con decenas de herramientas y tecnologías de ciberseguridad para combatir estas amenazas e inhabilitar los vectores o métodos de ataque que los ciberdelincuentes utilizan. Algunas de estas herramientas se centran en capas de infraestructura específicas; otras recopilan datos de registro y telemetría en varias capas.
En la mayoría de los casos, estas herramientas están aisladas y no se comunican entre sí. Esto hace que los equipos de seguridad tengan que correlacionar las alertas manualmente para separar los incidentes reales de los falsos positivos y clasificar los incidentes según su gravedad, así como coordinarlos manualmente para mitigar y solucionar las amenazas. De acuerdo con el Cyber Resilient Organization Study 2021 de IBM, el 32 % de las organizaciones indicó usar de 21 a 30 herramientas de seguridad individuales en respuesta a cada amenaza; el 13 % indicó usar 31 o más herramientas.
Como resultado, se tarda demasiado tiempo en identificar y contener las amenazas avanzadas. El informe Cost of a Data Breach 2022 de IBM reveló que la vulneración de datos promedio tarda 277 días en detectarse y resolverse. Según este promedio, una vulneración que tenga lugar el 1 de enero no se contendrá hasta el 4 de octubre.
Al eliminar los silos entre soluciones puntuales de capas específicas, la XDR promete a los equipos de seguridad y los SOC sobrecargados la visibilidad end-to-end y la integración que necesitan para identificar, responder y resolver las amenazas más rápido y minimizar los daños que causan.
A pesar de que se introdujo en el mercado hace relativamente poco tiempo, la XDR está marcando la diferencia. Según el informe Cost of a Data Breach 2022, las organizaciones que implementaron la XDR disminuyeron el ciclo de vida de sus vulneraciones de datos en 29 y redujeron los costos de vulneración en un 9 % en promedio en comparación con las organizaciones sin XDR.
Por lo general, la XDR se consume como una solución basada en la nube o software como servicio (SaaS) ; Gartner, un analista de la industria, la define como "basada en SaaS". También puede ser la tecnología principal que impulsa la solución de detección y respuesta gestionada (MDR) de un proveedor de soluciones en la nube o de seguridad.
Las soluciones de seguridad XDR pueden integrar:
- Herramientas de seguridad individuales (o soluciones puntuales) como antivirus, analítica de comportamiento de usuarios y entidades (UEBA) o firewalls;
- Soluciones de seguridad de capas específicas como EDR, plataformas de protección de puntos finales (EPP), detección y respuesta de red (NDR) o análisis de tráfico de red (NTA);
- Soluciones que recopilan datos o coordinan flujos de trabajo en todas las capas de seguridad, incluyendo gestión de información y eventos de seguridad (SIEM) u orquestación, automatización y respuesta de seguridad (SOAR).
Protección de datos continua
La XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas, creando efectivamente un registro actualizado continuamente de todo lo que sucede en la infraestructura: inicios de sesión (correctos y fallidos), conexiones de red y flujos de tráfico, mensajes y documentos adjuntos de correo electrónico, archivos creados y guardados, procesos de aplicaciones y dispositivos, cambios en la configuración y registros. La XDR también recopila alertas específicas generadas por los distintos productos de seguridad.
Las soluciones XDR abiertas normalmente recopilan estos datos mediante una interfaz de programación de aplicaciones abierta o API. (Las soluciones XDR nativas pueden requerir una herramienta o agente de recopilación de datos ligero, instalado en dispositivos y aplicaciones). Todos los datos recopilados se normalizan y almacenan en una base de datos central basada en la nube o en un data lake.
Análisis y detección de amenazas en tiempo real
La XDR usa analítica avanzada y algoritmos de machine learning para identificar patrones que indiquen amenazas conocidas o actividad sospechosa en tiempo real, a medida que se desarrollan.
Para ello, la solución XDR correlaciona datos y telemetría en todas las diversas capas de infraestructura con datos de los servicios de inteligencia de amenazas, que brindan información continuamente actualizada sobre las tácticas de ciberamenazas nuevas y recientes, vectores y más. Los servicios de inteligencia de amenazas pueden ser privados (operados por el proveedor de la solución XDR ), de terceros o comunitarios. La mayoría de las soluciones XDR también asignan datos a MITRE ATT&CK, una base de conocimiento global de libre acceso de las tácticas y técnicas de ciberamenazas de los hackers.
La analítica y los algoritmos de machine learning de la XDR también pueden realizar su propia investigación, comparando datos en tiempo real con datos históricos y estableciendo referencias para identificar las actividades sospechosas, los comportamientos anormales del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. Asimismo, pueden separar los "indicios" o amenazas legítimas del "ruido" de los falsos positivos, para que los analistas de seguridad se puedan concentrar en los incidentes que importan. Pero lo más importante es que los algoritmos de machine learning aprenden continuamente de los datos para mejorar la detección de amenazas con el tiempo.
La XDR resume los datos importantes y los resultados analíticos en una consola de gestión central que también sirve como interfaz de usuario (IU) de la solución. En la consola, los miembros del equipo de seguridad pueden obtener visibilidad completa de todos los problemas de seguridad, en toda la empresa, e iniciar investigaciones, respuestas de amenazas y resoluciones en cualquier parte de la infraestructura extendida.
Funcionalidades de detección y respuesta automatizadas
La automatización es lo que permite la respuesta rápida en la XDR. En función de las reglas predefinidas establecidas por el equipo de seguridad, o "aprendidas" con el tiempo mediante los algoritmos de machine learning, la XDR permite respuestas automatizadas que ayudan a acelerar la detección y resolución de amenazas a la vez que brinda más tiempo a los analistas de seguridad para que se puedan concentrar en el trabajo más importante. La XDR puede automatizar tareas como:
- Clasificar y priorizar las alertas según la gravedad;
- Desconectar y apagar los dispositivos afectados, desconectar a los usuarios de la red, detener los procesos del sistema/aplicación/dispositivo y desconectar las fuentes de datos;
- Desplegar software antivirus/antimalware para analizar otros puntos finales en la red en busca de la misma amenaza;
- Activar guías de estrategias de respuesta de incidentes SOAR relevantes (flujos de trabajo automatizados que orquestan varios productos de seguridad en respuesta a un incidente de seguridad específico).
La XDR también puede automatizar las actividades de investigación y resolución (vea la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder a los incidentes más rápido y a prevenir o minimizar los daños que causan.
Investigación y resolución de amenazas
Una vez que se ha aislado la amenaza de seguridad, las plataformas XDR proporcionan funcionalidades que los analistas de seguridad pueden usar para investigar más a fondo la amenaza. Por ejemplo, la analítica forense y los informes "que se remontan" ayudan a los analistas de seguridad a determinar la causa principal de una amenaza, a identificar los diversos archivos afectados y a identificar la vulnerabilidad o vulnerabilidades que el atacante aprovechó para entrar y moverse por la red, obtener acceso a credenciales de autenticación o realizar otras actividades maliciosas.
Equipados con esta información, los analistas pueden coordinar herramientas de resolución para eliminar la amenaza. La resolución puede implicar:
- Destruir archivos maliciosos y eliminarlos de los puntos finales, servidores y dispositivos de red;
- Restaurar las configuraciones de dispositivos y aplicaciones, configuraciones de registro, archivos de datos y aplicaciones dañados;
- Aplicar actualizaciones y parches para eliminar las vulnerabilidades que provocaron el incidente;
- Actualizar las reglas de detección para prevenir que se repita.
Apoyo a la caza de amenazas
La caza de amenazas (también llamada caza de ciberamenazas) es un ejercicio proactivo de seguridad en el que un analista de seguridad busca en la red amenazas aún desconocidas o conocidas que todavía no han sido detectadas o solucionadas por las herramientas de ciberseguridad automatizadas de la organización.
Como se mencionó anteriormente, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, preparándose para un ataque o vulneración a gran escala. La caza de amenazas efectiva y oportuna puede reducir el tiempo que lleva detectar y solucionar estas amenazas, lo que puede limitar o prevenir los daños del ataque.
Los cazadores de amenazas usan una variedad de tácticas y técnicas que dependen de las mismas fuentes de datos, la analítica y las funcionalidades de automatización que la XDR usa para la detección, respuesta y resolución de amenazas. Por ejemplo, el cazador de amenazas puede querer buscar un archivo determinado, un cambio de configuración u otro artefacto basado en la analítica forense o datos de MITRE ATT&CK que describen los métodos de un atacante en particular.
Para ayudar con esto, la XDR pone a disposición de los analistas de seguridad las funcionalidades de analítica y automatización a través de una interfaz de usuario o medios programáticos para que puedan realizar búsquedas personalizadas, consultas de datos, correlaciones con la inteligencia de amenazas y otras investigaciones. Algunas soluciones XDR incluyen herramientas creadas específicamente para la caza de amenazas, como lenguajes de programación simples (para automatizar tareas comunes) e incluso herramientas de consulta de lenguaje natural.
El paquete IBM® Security QRadar XDR proporciona un único flujo de trabajo unificado en todas sus herramientas para detectar y eliminar amenazas más rápidamente.
IBM® Security QRadar SOAR está diseñado para ayudar a su equipo de seguridad a responder a las ciberamenazas con confianza, automatizar con inteligencia y colaborar con consistencia.
Prepare controles, procesos y equipos de respuesta de incidentes que ayuden al equipo a mejorar su plan de respuesta de incidentes y minimizar las repercusiones de una brecha.
El informe anual del Costo de una brecha de seguridad de datos, que incluye estudios del Ponemon Institute, ofrece insights obtenidos de 550 brechas de seguridad reales.
La gestión de información y eventos de seguridad (SIEM) ofrece supervisión y análisis de eventos en tiempo real, así como seguimiento y registro de datos de seguridad con fines de conformidad y auditoría.
SOAR (orquestación, automatización y respuesta de seguridad en inglés) es un software que permite a los equipos de seguridad integrar y coordinar herramientas individuales en flujos de trabajo optimizados de respuesta a amenazas.