La evolución constante de los ciberataques provoca que los equipos de seguridad IT busquen nuevas maneras para identificar y responder a amenazas de la información. La detección y respuesta extendida (XDR, por sus siglas en inglés) es un conjunto de herramientas que trabaja en capas cruzadas, bajo un modelo SaaS. Ofrece visibilidad de todo el entorno IT, mientras recopila y correlaciona datos de diferentes capas de seguridad: correo electrónico, servidores, aplicaciones, nubes y redes.
Descubrir por dónde llegan los ataques a la información es uno de los retos que tiene el CISO y su equipo. En el reporte El estado de la seguridad IT en 2020 se señalaba que ante casos de robo de información, en 52% el método elegido fue el hackeo directo; en 33% se usó phishing o ingeniería social, mientras que 28% correspondió a malware. Tener visibilidad completa de todo el entorno permite a los equipos de seguridad detectar e investigar de manera eficaz los ataques, sin importar de dónde vengan.
Cómo funciona XDR
XDR permite detectar amenazas desconocidas y ataques avanzados al analizar cadenas cruzadas de vectores. Correlaciona los datos, lanza alertas, permite darles seguimiento para identificar falsos positivos y así enfocar los esfuerzos en las amenazas reales.
Por ejemplo, si se detecta que un usuario movió una gran cantidad de datos de manera inusual, el XDR lanza una alerta para el equipo de seguridad IT. Desde la consola central se puede ver qué datos se movieron, aunque se tratara de información encriptada y así determinar si se trató de una ex filtración de datos o no.
XDR funciona bajo un modelo SaaS. Se integra con los productos de seguridad existentes en la compañía para crear un sistema unificado; este recopila datos e información sin procesar de los diferentes niveles de la red de la empresa y genera un Data Lake. Ahí se analiza la información y se hace una correlación automatizada en busca de amenazas sofisticadas para dar una respuesta coordinada ante los incidentes de seguridad.
Cuando se detecta una amenaza, se hace una línea de tiempo de ataque mediante una interfaz de usuario centralizada para saber cómo se produjo, dónde se originó y qué ha afectado.
Las herramientas XDR pueden dar respuesta al ataque para contenerlo o eliminarlo según los datos correlacionados de que se disponga. Gracias al uso de AI es posible evitar que se produzcan amenazas y ataques similares a los anteriores.
Toda la información se gestiona desde una consola que reúne los datos generados por herramientas de diferentes proveedores; esto da una visibilidad completa de la infraestructura IT de la organización, además de permitir una trazabilidad de los ataques en curso sin importar donde hayan comenzado.
Principales ventajas
Mediante automatización, XDR optimiza los flujos de trabajo del equipo de seguridad IT y mejorar su productividad. Al gestionar la recopilación de datos desde la consola centralizada y contar con una interfaz de usuario única también es posible mejorar la eficiencia operativa, pues no hay que cambiar de paneles de control aunque se utilicen diferentes herramientas.
El análisis automatizado y la correlación de los datos permiten agrupar alertas similares y ordenarlas según su prioridad para que los equipos de seguridad no enfrenten un gran número de alertas.
XDR se considera una evolución de los sistemas de respuesta y detección en el end point (EDR, por sus siglas en inglés). En este último se protege de riesgos y amenazas complejas a los equipos e infraestructura IT a través de antivirus, monitoreo e inteligencia artificial. Con EDR el análisis se hace solamente en una capa de seguridad; XDR trabaja sobre diferentes capas para tener visibilidad completa de la infraestructura IT en busca de amenazas y vulnerabilidades.
El siguiente nivel de XDR es la detección y respuesta gestionadas (MDR, por sus siglas en inglés), modelo que aún se encuentra en maduración.
