La detección y respuesta extendidas XDR, es una arquitectura abierta de ciberseguridad que integra herramientas de seguridad y unifica las operaciones de seguridad en todos los usuarios de seguridad, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos.
Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para funcionar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta a amenazas.
La XDR elimina las brechas de visibilidad entre las herramientas y las capas de seguridad, lo que permite a los equipos de seguridad sobrecargados detectar y resolver amenazas de manera más rápida y eficiente, así como capturar datos contextuales más completos para tomar mejores decisiones de seguridad y prevenir futuros ataques cibernéticos.
La XDR se definió por primera vez en 2018, pero la forma en que los profesionales de seguridad y los analistas de la industria hablan sobre esta ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad describen primero la XDR como la detección y respuesta de endpoints (EDR) con esteroides, extendida para abarcar todas las capas de seguridad empresarial. Pero hoy los expertos ven el potencial de la XDR como mucho más que la suma de las herramientas y funcionalidades que integra, enfatizando beneficios como la visibilidad integral de amenazas, una interfaz unificada y flujos de trabajo optimizados para la detección, investigación y respuesta a amenazas.
Además, los analistas y proveedores clasificaron las soluciones de XDR como XDR nativa, que integra herramientas de seguridad solo del proveedor de la solución, o XDR abierta, que integra todas las herramientas de seguridad en el ecosistema de seguridad de una organización independientemente del proveedor. Pero se volvió cada vez más claro que los equipos de seguridad empresarial y los centros de operaciones de seguridad (SOC) esperan que incluso las soluciones XDR nativas sean abiertas, brindando la flexibilidad para integrar herramientas de seguridad de terceros que usan ahora o que tal vez prefieran usar en el futuro.
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence Index.
Regístrese para recibir el informe sobre el costo de una filtración de datos
La detección y respuesta extendidas XDR, es una arquitectura abierta de ciberseguridad que integra herramientas de seguridad y unifica las operaciones de seguridad en todos los usuarios de seguridad, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Con XDR, las soluciones de seguridad que no están necesariamente diseñadas para funcionar juntas pueden interoperar sin problemas en la prevención, detección, investigación y respuesta a amenazas.
La XDR elimina las brechas de visibilidad entre las herramientas y las capas de seguridad, lo que permite a los equipos de seguridad sobrecargados detectar y resolver amenazas de manera más rápida y eficiente, así como capturar datos contextuales más completos para tomar mejores decisiones de seguridad y prevenir futuros ataques cibernéticos.
La XDR se definió por primera vez en 2018, pero la forma en que los profesionales de seguridad y los analistas de la industria hablan sobre esta ha evolucionado rápidamente desde entonces. Por ejemplo, muchos expertos en seguridad describen primero la XDR como la detección y respuesta de endpoints (EDR) con esteroides, extendida para abarcar todas las capas de seguridad empresarial. Pero hoy los expertos ven el potencial de la XDR como mucho más que la suma de las herramientas y funcionalidades que integra, enfatizando beneficios como la visibilidad integral de amenazas, una interfaz unificada y flujos de trabajo optimizados para la detección, investigación y respuesta a amenazas.
Además, los analistas y proveedores clasificaron las soluciones de XDR como XDR nativa, que integra herramientas de seguridad solo del proveedor de la solución, o XDR abierta, que integra todas las herramientas de seguridad en el ecosistema de seguridad de una organización independientemente del proveedor. Pero se volvió cada vez más claro que los equipos de seguridad empresarial y los centros de operaciones de seguridad (SOC) esperan que incluso las soluciones XDR nativas sean abiertas, brindando la flexibilidad para integrar herramientas de seguridad de terceros que usan ahora o que tal vez prefieran usar en el futuro.
Hoy en día, las organizaciones son bombardeadas por amenazas avanzadas (también llamadas amenazas persistentes avanzadas). Estas amenazas eluden las medidas de prevención de los endpoints y se esconden en la red durante semanas o meses, moviéndose, obteniendo permisos, robando datos y recopilando información de las diferentes capas de la infraestructura de TI en preparación para un ataque a gran escala o una filtración de datos. Muchos de los ataques cibernéticos y filtraciones de datos más dañinos y costosos (ataques deransomware, compromiso de correo electrónico empresarial (BEC), ataques de denegación de servicio distribuido (DDoS), espionaje cibernético, son ejemplos de amenazas avanzadas.
Las organizaciones se armaron con decenas de herramientas y tecnologías de ciberseguridad para combatir estas amenazas y cerrar los vectores de ataque, o métodos, que los delincuentes cibernéticos emplean para lanzarlas. Algunas de estas herramientas se centran en capas de infraestructura específicas; otros recopilan datos de registro y telemetría en múltiples capas.
En la mayoría de los casos, estas herramientas están en silos: no se comunican entre sí. Esto deja que los equipos de seguridad tengan que correlacionar las alertas manualmente para separar los incidentes reales de los falsos positivos y clasificar los incidentes según la gravedad, y coordinarlos manualmente para mitigar y corregir las amenazas. Según el Cyber Resilient Organization Study 2021 de IBM, el 32 % de las organizaciones informaron que usaron de 21 a 30 herramientas de seguridad individuales en respuesta a cada amenaza; el 13 % informó haber usado 31 o más herramientas.
Como resultado, las amenazas avanzadas tardan demasiado en identificarse y contenerse. El informe Costo de una filtración de datos 2022 de IBM revela que la filtración de datos promedio tardó 277 días en detectarse y resolverse. Según este promedio, se lograría contener una filtración que ocurriera el 1 de enero hasta el 4 de octubre.
Al romper los silos entre las soluciones de punto de cada capa, la XDR promete a los equipos de seguridad y a los SOC sobrecargados la visibilidad y la integración de extremo a extremo que necesitan para identificar las amenazas más rápidamente, responder a ellas más rápido y resolverlas más rápido, y para minimizar el daño que causan.
En el relativamente poco tiempo transcurrido desde su introducción, la XDR está marcando la diferencia. De acuerdo con el Informe del Costo de una filtración de datos 2022, las organizaciones con XDR implementada acortaron su ciclo de vida de filtración de datos en un 29 % y redujeron los costos de la filtración de datos en un 9 % en promedio en comparación con las organizaciones sin XDR.
La XDR suele consumirse como una solución basada en la nube o software como servicio (SaaS); un analista de la industria, Gartner, define la XDR como "basada en SaaS". También puede ser la tecnología central que impulsa la solución de detección y respuesta gestionada (MDR) de un proveedor de soluciones de seguridad o en la nube.
Las soluciones de seguridad XDR pueden integrar:
- Herramientas de seguridad individuales (o soluciones puntuales) como antivirus, analytics de comportamiento de usuarios y entidades (UEBA) o cortafuegos;
- Soluciones de seguridad específicas para cada capa como ejecución de la detección y respuesta de endpoints (EDR), plataformas de protección de endpoints (EPP), detección y respuesta de red (NDR) o análisis de tráfico de red (NTA);
- Soluciones que recopilan datos o coordinan flujos de trabajo en todas las capas de seguridad, incluida la administración de eventos e información de seguridad (SIEM) o la orquestación de seguridad, automatización y respuesta (SOAR).
Recopilación continua de datos
La XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas, creando de manera efectiva un registro continuamente actualizado de todo lo que sucede en la infraestructura: inicios de sesión (exitosos y fallidos), conexiones de red y flujos de tráfico, mensajes de email y archivos adjuntos, archivos creados y almacenados, procesos de aplicaciones y dispositivos, configuración y cambios de registro. La XDR también recopila alertas específicas generadas por los diversos productos de seguridad.
Las soluciones de XDR abierta suelen recopilar estos datos mediante una interfaz de programación de aplicaciones abierta ( API). (Las soluciones de XDR nativa pueden requerir una herramienta de recopilación de datos ligera, o agente, instalada en dispositivos y aplicaciones). Todos los datos recopilados se normalizan y almacenan en una base de datos central basada en la nube o data lake.
Análisis en tiempo real y detección de amenazas
La XDR utiliza algoritmos avanzados de analytics y aprendizaje automático para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que se desarrollan.
Para ello, la XDR correlaciona los datos y la telemetría de las distintas capas de la infraestructura con los datos de los servicios de inteligencia de amenazas, que ofrecen información actualizada continuamente sobre tácticas y vectores de ciberamenazas nuevos y recientes, entre otras cosas. Los servicios de inteligencia de amenazas pueden ser propios (operados por el proveedor de XDR ), de terceros o comunitarios. La mayoría de las soluciones de XDR también mapean datos a MITRE ATT&CK, una base de conocimientos global de libre acceso sobre tácticas y técnicas de ciberamenazas de hackers.
Los analytics de XDR y los algoritmos de aprendizaje automático también pueden hacer su propia investigación, comparando datos en tiempo real con datos históricos y referencias establecida para identificar actividades sospechosas, comportamientos aberrantes del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. También pueden separar las "señales" o amenazas legítimas del "ruido" de los falsos positivos, de modo que los analistas de seguridad puedan centrar en los incidentes importantes. Quizás lo más importante es que los algoritmos de aprendizaje automático aprenden continuamente de los datos para mejorar la detección de amenazas con el tiempo.
La XDR resume datos importantes y resultados de analytics en una consola de administración central que también sirve como interfaz de usuario (UI) de la solución. Desde la consola, los miembros del equipo de seguridad pueden obtener visibilidad completa de cada problema de seguridad, en toda la empresa, y lanzar investigaciones, respuestas a amenazas y soluciones en cualquier lugar de la infraestructura extendida.
Capacidades automatizadas de detección y respuesta
La automatización es lo que pone la respuesta rápida en la XDR. Con base en reglas predefinidas establecidas por el equipo de seguridad, o "aprendidas" con el tiempo por algoritmos de aprendizaje automático, la XDR permite dar respuestas automatizadas que ayudan a acelerar la detección y resolución de amenazas, además de que libera a los analistas de seguridad para que se centren en trabajos más importantes. La XDR puede automatizar tareas como:
- El triaje y priorización de alertas según su gravedad;
- La desconexión o apagado de los dispositivos afectados, desconexión de los usuarios de la red, parar los procesos del sistema/aplicación/dispositivo y desconexión de las fuentes de datos;
- Lanzar software antivirus/antimalware para analizar otros endpoints en la red en busca de la misma amenaza;
- Activar playbooks de respuesta a incidentes SOAR relevantes (flujos de trabajo automatizados que orquestan múltiples productos de seguridad en respuesta a un incidente de seguridad específico).
La XDR también puede automatizar las actividades de investigación y corrección de amenazas (consulte la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes y a prevenir o minimizar el daño que causan.
Investigación y corrección de amenazas
Una vez que se aísla una amenaza a la seguridad, las plataformas XDR proporcionan capacidades que los analistas de seguridad pueden emplear para investigar más a fondo la amenaza. Por ejemplo, los analytics forenses y los informes de "seguimiento" ayudan a los analistas de seguridad a identificar la causa principal de una amenaza, identificar los distintos archivos a los que afectó e identificar la vulnerabilidad o vulnerabilidades que el atacante explotó y entran y se mueven por la red, obtienen acceso a las credenciales de autenticación o realizan otras actividades maliciosas.
Con esta información, los analistas pueden coordinar las herramientas de corrección para eliminar la amenaza. La corrección podría implicar:
- Destruir archivos maliciosos y borrarlos de endpoints, servidores y dispositivos de red;
- Restaurar configuraciones dañadas de dispositivos y aplicaciones, configuraciones de registro, datos y archivos de aplicaciones;
- Aplicar actualizaciones o parches para eliminar las vulnerabilidades que provocaron el incidente;
- Actualización de las reglas de detección para evitar que se repita.
Compatibilidad con la caza de amenazas
La caza de amenazas (también llamada caza de amenazas cibernéticas) es un ejercicio de seguridad proactivo en el que un analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no fueron detectadas o corregidas por las herramientas automatizadas de ciberseguridad de la organización.
Una vez más, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, preparar para un ataque o una filtración a gran escala. La caza de amenazas eficaz y oportuna puede reducir el tiempo que lleva encontrar y corregir estas amenazas, lo que puede limitar o prevenir el daño del ataque.
Los cazadores de amenazas utilizan una variedad de tácticas y técnicas que se basan en las mismas fuentes de datos, analytics y capacidades de automatización que la XDR utiliza para la detección, respuesta y corrección de amenazas. Por ejemplo, un cazador de amenazas podría querer buscar un archivo en particular, un cambio de configuración u otro artefacto basado en analytics forense, o en datos MITRE ATT&CK que describan los métodos de un atacante en particular.
Para apoyar estos esfuerzos, la XDR pone sus capacidades de analytics y automatización a disposición de los analistas de seguridad a través de la interfaz de usuario o por medios programáticos, para que puedan realizar búsquedas ad hoc, consultas de datos, correlaciones con inteligencia sobre amenazas y otras investigaciones. Algunas soluciones de XDR incluyen herramientas creadas específicamente para la caza de amenazas, como lenguajes de scripting sencillos (para automatizar tareas comunes) e incluso herramientas de consulta en lenguaje natural.
El Informe anual del costo de una filtración de datos que presenta una investigación de Ponemon Institute, ofrece información obtenida de 550 filtraciones reales.
La gestión de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.
SOAR (orquestación, automatización y respuesta de seguridad) es una solución de software que permite a los equipos de seguridad integrar y coordinar herramientas independientes en flujos de trabajo de respuesta a amenazas.