[16/01/2023] En el mundo moderno de las TI hay pocas cosas que se presten a una gestión manual o en silos, y esto es doblemente cierto en el ámbito de la seguridad. La escala de la informática empresarial moderna y la arquitectura moderna de la pila de aplicaciones requieren herramientas de seguridad que puedan aportar visibilidad a la postura de seguridad de los componentes de TI modernos, e integrarse estrechamente para aportar detección de amenazas en tiempo real, posiblemente incluso automatizando aspectos de la mitigación de amenazas. Esta necesidad ha dado lugar a las herramientas de detección y respuesta ampliadas (XDR, por sus siglas en inglés).
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
¿Qué es la XDR y para qué sirve?
La XDR es una clase relativamente nueva de herramienta de seguridad que combina y se basa en los elementos más sólidos de la gestión de incidentes y eventos de seguridad (SIEM, por sus siglas en inglés), la detección y respuesta de puntos finales (EDR, por sus siglas en inglés), e incluso la orquestación y respuesta de seguridad (SOAR, por sus siglas en inglés). De hecho, algunas de las plataformas XDR enumeradas aquí son la fusión de herramientas existentes que el proveedor ha ofrecido durante algún tiempo.
El principal valor de los sistemas XDR reside en sus raíces en SIEM, que proporciona al sistema grandes cantidades de datos de eventos procedentes de sistemas de toda la empresa. Estos datos de seguridad se mejoran aún más con los componentes EDR que se ejecutan en estaciones de trabajo y servidores, incluso observando cargas de trabajo que se ejecutan en tiempos de ejecución en la nube como funciones sin servidor o contenedores. Los sistemas XDR suelen tomar los datos recopilados de su empresa y compararlos con la telemetría de fuentes de datos externas. Cuando se analizan con herramientas de aprendizaje automático, este vasto conjunto de datos puede conducir a la identificación proactiva de amenazas o ataques activos dentro de su red.
Además de la identificación temprana de ataques, los sistemas XDR son útiles en la caza de amenazas, el análisis de la causa raíz y la respuesta a incidentes. Los eventos se correlacionan automáticamente con el contexto, como el usuario o el sistema, para rastrear la actividad maliciosa a medida que navega entre sistemas, escala privilegios o realiza cambios de configuración. Este nivel de visibilidad está disponible de forma casi instantánea, sin tener que revisar y recopilar manualmente los registros de sucesos, o realizar un seguimiento de los cambios de configuración. Esta misma información puede aprovecharse para automatizar los pasos iniciales de corrección: desactivación de cuentas, marcado de mensajes de correo electrónico como SPAM, o incluso inclusión de direcciones IP en listas negras. Este tipo de automatización puede ayudar a ganar tiempo para desarrollar un plan de respuesta que remedie y restablezca la seguridad de su infraestructura.
Evaluación de las herramientas XDR
El precio siempre será un factor clave para los sistemas de seguridad empresarial que requieren escala, y los sistemas XDR no son diferentes. Se basan casi exclusivamente en suscripciones, lo que significa que tendrá que hacer frente a un costo anual o mensual. Al igual que muchas herramientas de seguridad, este costo es una compensación, ya que los riesgos financieros de una pérdida de datos, o simplemente el impacto empresarial de un compromiso, son monumentales. Lo mismo puede decirse de la mano de obra que sería necesaria para adquirir el mismo nivel de protección utilizando los sistemas existentes y realizando una correlación manual de los datos de eventos.
Las características clave de la XDR en las que hay que centrarse incluyen la integración con el hardware, el software y las inversiones en la nube existentes, que pueden afectar a la eficacia de la plataforma elegida, así como al costo y al nivel de esfuerzo que implica la implantación inicial de la solución. La capacidad de gestionar políticas y reglas también es fundamental para que su empresa pueda ajustar las capacidades de la XDR para satisfacer las necesidades de su negocio, lo que permite a su personal de seguridad de TI responder a cualquier amenaza o incidente de manera más eficaz. Por último, la facilidad de uso y la formación (a cargo del proveedor o de la comunidad) son importantes para poner en marcha y mantener rápidamente su inversión en una plataforma XDR.
Herramientas XDR más populares
A continuación, se enumeran algunas de las herramientas XDR más importantes, sin ningún orden en particular.
Trend Micro Vision One: Trend Micro lleva décadas en el sector del software informático, y su oferta XDR, Vision One, es una de las plataformas XDR más respetadas del mercado. Vision One cumple todos los requisitos que debe cumplir una XDR, incluida la capacidad de ingesta de datos desde una variedad de entradas y la capacidad de proteger los puntos finales con EDR. Vision One también admite la identificación proactiva de vulnerabilidades tanto dentro de los límites de su red corporativa como de las que son visibles públicamente. También es posible la corrección automatizada y mejorada mediante flujos de trabajo personalizables, guías de seguridad e incluso la capacidad de realizar análisis en un entorno aislado.
Microsoft XDR: Microsoft es uno de los proveedores que consigue una funcionalidad similar a XDR combinando diferentes servicios: Microsoft Sentinel, Microsoft 365 Defender y Microsoft Defender for Cloud. Los servicios de la marca Defender protegen los recursos orientados al cliente (endpoints, aplicaciones y correo electrónico) y los servicios en la nube (bases de datos, almacenamiento, máquinas virtuales de servidor, contenedores, etc.) respectivamente, mientras que Sentinel proporciona una sólida base SIEM desde la que ver y actuar sobre alertas contextualizadas, cazar amenazas e iniciar investigaciones.
Una ventaja obvia de utilizar Microsoft es la integración inherente entre sus plataformas en la nube como Office 365 y Azure, pero el valor real es que Microsoft dispone de datos de eventos similares para todos sus clientes, lo que facilita que las capacidades de aprendizaje automático identifiquen comportamientos anómalos dentro de sus recursos corporativos. Microsoft también aporta capacidades de automatización con Sentinel, incluyendo conectores en servicios propios o de terceros con Logic Apps, o la posibilidad de enviar notificaciones por correo electrónico o notificaciones dentro de Microsoft Teams.
Cortex XDR de Palo Alto Networks: Cortex XDR de Palo Alto se integra con sus dispositivos de red, endpoints e infraestructura en la nube para identificar y acabar con los ataques. Cortex aprovecha el análisis de comportamiento y el aprendizaje automático para detectar ataques, agregando alertas de forma eficiente y organizada. Palo Alto destaca el agente Cortex XDR, que aprovecha la detección de malware, el firewall basado en host, el cifrado de disco y la gestión de dispositivos USB basada en políticas. El proceso de triaje e investigación se refuerza con el análisis automatizado de la causa raíz y los informes de secuencia de ataque. También se generan informes de incidentes y artefactos con un desglose detallado de los vectores de ataque, el alcance y el impacto.
CrowdStrike Falcon Insight: La oferta XDR de CrowdStrike, Falcon Insight, se promociona como un punto focal para proteger su infraestructura eliminando las herramientas de seguridad aisladas y permitiendo una visión cohesiva en todos los dominios de seguridad. Falcon Insight recopila datos de eventos de sistemas dispares y desconectados, y los agrega, normaliza y aplica contexto para producir un conjunto de datos mejorado. A continuación, esta gran cantidad de datos de eventos se analiza para descubrir amenazas o ataques activos, aprovechando el aprendizaje automático para detectar técnicas en evolución utilizadas por usuarios malintencionados. Por último, Falcon Insight permite a los profesionales de la seguridad responder adecuadamente iniciando acciones de respuesta, ya sea manualmente o mediante flujos de trabajo automatizados, para acabar inmediatamente con los ataques activos.
Bitdefender GravityZone Business Security Enterprise: Las herramientas antimalware de Bitdefender han sido durante mucho tiempo una de las favoritas de los profesionales de TI, por lo que no es de extrañar que tengan bien controlada la detección de puntos finales como parte de su oferta GravityZone Business Security Enterprise XDR. Además de los puntos finales, GravityZone supervisa dispositivos de red, servidores y una amplia gama de tiempos de ejecución en la nube, como aplicaciones basadas en contenedores, Office 365, Azure AD y AWS. Los análisis de GravityZone comienzan en el sensor con la aplicación temprana del contexto, con niveles adicionales de refinamiento y normalización de datos aplicados en la capa de nube utilizando la plataforma de análisis de seguridad de BitDefender. GravityZone ofrece diferentes formas de visualizar los incidentes, incluyendo una vista de línea de tiempo y un asesor de incidentes. Por último, GravityZone cuenta con un conjunto de herramientas de investigación y respuesta que permiten remediar endpoints específicos, interactuar dentro de un shell remoto o recopilar datos forenses digitales.
SentinelOne Singularity XDR: La plataforma Singularity de SentinelOne salva las distancias entre la nube, los endpoints y la identidad para proporcionar una visibilidad completa y unificada en todos los dominios y pilas tecnológicas. El enfoque multidominio de Singularity comienza con la recopilación y el análisis de datos, creando contexto independientemente del origen del evento, y continúa con la corrección, lo que le permite tomar las medidas adecuadas para resolver las amenazas de manera oportuna. La estrecha integración con una gran cantidad de herramientas y servicios de terceros está habilitada a través del mercado de Singularity, que presenta conectores curados para Splunk, Okta, Microsoft, AWS, IBM Security, ServiceNow y muchos otros. La tecnología Storyline de Singularity se aprovecha durante todo el proceso para crear un producto final rico y práctico que le guía a través de la fase de respuesta a incidentes.
Cybereason XDR: Cybereason optó por construir su XDR sobre Google Chronicle, una plataforma SIEM y SOAR basada en Google Cloud. Usar Google como base tiene una gran ventaja, y es que Google hace datos, análisis y correlación mejor que cualquier otra entidad en el mundo. Cybereason ha construido su EDR y su protección de cargas de trabajo en la nube como primeros respondedores en su XDR, cada uno de los cuales proporciona un análisis temprano de la actividad de usuarios y aplicaciones, identificando la telemetría clave y transmitiéndola a Google Chronicle. El motor de detección MalOp de Cybereason toma los datos de amenazas y los correlaciona en líneas de tiempo visualizadas que muestran una visión completa de la ruta del ataque, permitiendo a su equipo de seguridad responder en consecuencia.
VMware Carbon Black XDR: Carbon Black XDR de VMware no está totalmente disponible en el momento de escribir este artículo. Anunciado en noviembre del 2022, todavía está en fase de vista previa a través de un programa de acceso anticipado. Si la reputación fuera la única consideración a tener en cuenta, Carbon Black sería un buen argumento, pero más allá de eso, sabemos que compartirá componentes subyacentes como el servicio de inteligencia de amenazas VMware Contexa. Si a esto añadimos las integraciones de primera mano con otros miembros del catálogo de productos de VMware, como sus plataformas de máquinas virtuales y el conjunto de herramientas de dispositivos e identidades VMware Workspace ONE, Carbon Black XDR será la primera opción para muchos clientes empresariales.
Elastic Security for XDR: Elastic es más conocida por sus sistemas de distribución de contenidos web y de aplicaciones; pero, al igual que Google, se dedica a gestionar grandes cantidades de datos y tráfico de red. Elastic Security para XDR está diseñado para permitirle aprovechar las herramientas de seguridad existentes o crear una plataforma XDR completa utilizando componentes y capacidades del catálogo de productos de Elastic. Elastic ofrece capacidades SIEM y SOAR, así como detección de amenazas para puntos finales y cargas de trabajo en la nube, inteligencia de amenazas en vivo y una biblioteca de amenazas y mitigaciones existentes en forma de Elastic Security Labs.
Trellix XDR Platfomr: Se le perdonaría si nunca hubiera oído hablar de Trellix, pero no tome eso como que es nueva en el juego de la seguridad. Trellix es el resultado de la fusión de McAfee Enterprise con FireEye en octubre del 2021, ambas con sólidas plataformas XDR en ese momento. Trellix XDR Platform tiene el conjunto de características para competir con cualquier otra entrada en el espacio XDR, integrándose con las herramientas de seguridad existentes y mejorándolas mediante la eliminación de silos y la manifestación de datos de amenazas en eventos procesables, correlacionados y priorizados para que su equipo de seguridad adapte su estrategia de respuesta según sea necesario.
Cynet 360 AutoXDR: La plataforma 360 AutoXDR de Cynet abarca todos los elementos clave de XDR y lo hace con varios niveles de precios y opciones que le permiten crecer en la plataforma. La mayor parte de las funciones básicas de XDR están incluidas en todos los niveles. Los niveles inferiores no incluyen funciones como el análisis del comportamiento del usuario y la corrección automatizada, lo que pone en entredicho los aspectos de detección y respuesta ampliados de XDR. Cynet cuenta con un gran número de usuarios que hablan bien tanto de la facilidad de uso como de las capacidades del producto, lo que, unido a la variedad de niveles de servicio, lo convierte en una opción interesante para los posibles compradores de XDR.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú
Puede ver también: