MXDR
Las soluciones Managed Extended Detection and Response (MXDR) han sido durante mucho tiempo un elemento básico para las grandes empresas. Proporcionan supervisión las 24 horas al día, los 7 días a la semana, gestión continua de amenazas y respuesta rápida ante incidentes, todo ello sin necesidad de implementar ni mantener una infraestructura interna. Fundamentalmente, también hacen que los costes de la ciberseguridad sean predecibles. Parece una opción ideal también para las pequeñas y medianas empresas (pymes). En la práctica, sin embargo, esto no siempre es así. Para una pyme, una solución MXDR estándar puede acabar complicándole las cosas al equipo interno de seguridad de TI en lugar de simplificarlas, al sobrecargar a los miembros del equipo con una avalancha de alertas confusas y una gran cantidad de herramientas.
Esta publicación analiza las diferencias entre un servicio MXDR adecuado para una gran empresa y uno que encajaría perfectamente en el marco de seguridad de una pyme en crecimiento. También describiremos las cualidades que, en nuestra opinión, debe tener la solución MXDR ideal para las pymes.
Por qué las soluciones MXDR de nivel empresarial no funcionan para las pymes
Las grandes empresas suelen contar ya con un equipo dedicado a la ciberseguridad con procesos relativamente maduros y expertos cualificados que son capaces de integrar y administrar el servicio de forma fluida y competente. Por lo tanto, las grandes empresas suelen utilizar soluciones MXDR como parte de un modelo SOC híbrido: el equipo de un proveedor externo se encarga de algunas tareas, pero una parte importante del trabajo sigue recayendo en el equipo interno.
La mayoría de las pymes carecen del arsenal necesario de soluciones y, lo que es más importante, de un equipo interno dedicado a la ciberseguridad, al menos con un conocimiento suficiente de las tácticas, técnicas y procedimientos (TTP) de los atacantes, junto con las habilidades necesarias para contrarrestarlos. A menudo, no disponen de tiempo ni de conocimientos suficientes para integrar múltiples fuentes de telemetría, establecer reglas de correlación o analizar un sinfín de alertas. La mayoría de las veces, la seguridad en las pymes recae en los miembros del equipo de TI, quienes simplemente ni siquiera tienen el ancho de banda para la comunicación continua con analistas externos.
El resultado de intentar integrar una solución de nivel empresarial en la infraestructura de las pymes suele ser una sobrecarga en lugar de una simplificación de los procesos: una catarata de alertas de incidentes sin nadie que las analice, interfaces y procesos complejos en los que el equipo simplemente se pierde. En estas condiciones, es extremadamente difícil desarrollar la experiencia interna: el equipo simplemente está demasiado ocupado tratando de mantener un nivel adecuado de seguridad de la empresa. Esta es precisamente la razón por la que las pymes necesitan un formato MXDR diferente: uno que sea más claro, basado en la asociación y centrado en desarrollar el equipo interno en lugar de reemplazarlo.
Anatomía del MXDR ideal para pymes
Cuando el equipo interno necesita no solo garantizar la seguridad, sino también desarrollar su propia experiencia, el servicio MXDR debe proporcionar soporte de expertos experimentados y calificados en lugar de simplemente reemplazar la función de ciberseguridad. Esta debería ser una asociación en la que el proveedor no solo asuma algunas de las responsabilidades y ayude a neutralizar las amenazas, sino que también sea capaz de lo siguiente:
- Mostrarle al equipo del cliente cómo ocurrió un incidente y qué conclusiones se pueden sacar.
- Proporcionar herramientas avanzadas para una investigación y respuesta independientes, sin limitar el equipo interno.
- Ayudar a integrar las preocupaciones sobre ciberseguridad en la cultura corporativa de la empresa.
En otras palabras, el servicio MXDR ideal para una pyme trabaja con el equipo, no en lugar de él. A continuación, analizamos las cualidades específicas que debería tener esta solución.
Flexibilidad y adaptabilidad al nivel de madurez de la empresa
Las pymes pueden variar no solo en sus necesidades, sino también en su grado de madurez en ciberseguridad. Por lo tanto, un servicio MXDR no debe limitarse a la automatización básica o a escenarios genéricos. El proveedor de soluciones debe ser capaz de adaptarse a las características específicas de cada cliente.
Esto significa que las reglas de detección y clasificación de alertas deben configurarse en función de las características de la infraestructura, el software y las herramientas de seguridad que se utilizan, y el comportamiento de los distintos grupos de usuarios. Esto permite distinguir una amenaza real de la actividad normal y, como resultado, reducir la cantidad de falsos positivos.
Este nivel de personalización ayuda a reducir la cantidad de solicitudes de aclaración que los expertos en MXDR deben dirigirle al equipo del cliente, por ejemplo, si un determinado usuario que ejecuta PowerShell tiene un comportamiento estándar o anómalo. Acelera la detección de amenazas y la respuesta ante incidentes, y reduce la carga de trabajo del equipo interno de ciberseguridad del cliente, lo que le permite centrarse en tareas estratégicas.
Transparencia y claridad
Para el equipo responsable de ciberseguridad de una pyme, es fundamental no ahogarse en cientos de notificaciones. Es necesario comprender rápidamente qué es realmente una amenaza, qué medidas se han tomado ya y qué pasos hay que dar a continuación. Por lo tanto, un equipo de servicio MXDR de alta calidad debe analizar no solo los eventos obviamente maliciosos, sino también la actividad sospechosa de software legítimo. A partir de ahí, de entre miles de alertas, solo deben seleccionarse aquellas relacionadas con actividades adversas. No se le debe presentar al cliente una multitud de hipótesis, sino una imagen clara y completa de lo que ocurrió, consolidada en un único incidente y acompañada del contexto. Esto incluye la causa raíz identificada, los eventos relacionados y los activos afectados.
Para facilitar la gestión del negocio, el proveedor debe ofrecer una visión general de todos los activos protegidos de la empresa y su estado actual, de modo que el cliente pueda abrir un panel de control en cualquier momento y ver qué está bajo control y qué requiere atención. Si el equipo interno aún tiene preguntas, siempre debe poder comunicarse directamente con los expertos del servicio para trabajar en conjunto, por ejemplo, revisar los detalles de un incidente.
Otro elemento de transparencia son los informes. Debería haber una opción para personalizar los informes con el fin de satisfacer las necesidades y solicitudes del cliente; por ejemplo, mediante la elaboración de un resumen quincenal con las conclusiones principales y, si fuera necesario, una descripción detallada de los incidentes. La flexibilidad en los métodos de comunicación también es fundamental; por ejemplo, el cliente debe poder escoger el canal más conveniente, ya sea una aplicación de mensajería, correo electrónico u otro, para garantizar que se pueda contactar al equipo interno de manera oportuna cuando un incidente requiera una decisión. Esto ayuda a los directivos de la empresa a mantener un estrecho control sobre todo, mientras que los expertos técnicos pueden supervisar los acontecimientos a un ritmo razonable y profundizar más cuando sea necesario.
Gracias a este enfoque, MXDR alivia uno de los mayores desafíos para las pymes: la necesidad de analizar y priorizar de forma independiente cientos de notificaciones.
Acceso a información actualizada sobre inteligencia de amenazas
En caso de que el equipo interno prefiera gestionar internamente las pruebas de hipótesis y el análisis de causas raíz, es esencial que la solución MXDR permita la búsqueda proactiva de amenazas y el análisis de artefactos utilizando las herramientas XDR disponibles. Por lo tanto, el proveedor de MXDR debe otorgarle al cliente acceso a las bases de conocimientos sobre las técnicas y tácticas actuales del atacante (inteligencia de amenazas), información sobre nuevas campañas y análisis relevantes. Sin embargo, si fuera necesario, por ejemplo, cuando el equipo del cliente se da cuenta de que su experiencia es insuficiente a pesar de disponer de los datos de las TTP, aún debe tener la opción de remitir la alerta al equipo de MXDR para su análisis.
Asistencia en la creación de una cultura de seguridad
Gran parte de los incidentes se deben a errores de los empleados. Por lo tanto, un buen proveedor de MXDR debe ayudar al cliente a fomentar una cultura de ciberseguridad saludable dentro de la organización. Esto se consigue en gran medida aumentando la conciencia de los empleados sobre los métodos actuales que utilizan los atacantes.
El enfoque más eficaz no consiste en impartir clases teóricas abstractas, sino en impartir formación basada en incidentes reales que se han producido dentro de la empresa. Por ejemplo, si un ataque comenzó cuando los empleados de un determinado equipo abrieron un correo electrónico de phishing, ese equipo debería recibir formación centrada específicamente en ese escenario. Lo ideal sería comprobar su progreso con una campaña de phishing simulada. Estas medidas proactivas ayudan a mitigar los riesgos asociados con el factor humano y, por lo tanto, reducen las posibles pérdidas financieras, una preocupación básica para las organizaciones en crecimiento.
Por ejemplo, nuestra solución Kaspersky Next MXDR Optimum te permite asignar formaciones a empleados directamente desde la tarjeta de alerta con solo unos clics. Además, para mejorar las habilidades y los conocimientos de los “defensores de primera línea”, nuestra solución ofrece programas de formación de respuesta diseñados específicamente para equipos de TI y ciberseguridad. Estos programas les permiten a los especialistas familiarizarse en profundidad con herramientas avanzadas en entornos que reproducen situaciones reales, lo que los habilita a resolver incidentes de forma rápida y eficaz. Por ejemplo, pueden aprender a verificar de forma segura los hashes de contraseñas, buscar discrepancias entre las directivas de dominio recomendadas y reales, y evaluar la seguridad de los parámetros de Active Directory.
En conclusión
Para las pymes, una buena solución MXDR está lejos de ser un servicio de “caja negra”. Es un ecosistema de asociación que combina lo siguiente:
- El apoyo de expertos que no solo brinda protección, sino que también ayudan al equipo a profundizar en el contexto
- El acceso a herramientas XDR claras y fáciles de administrar para el desarrollo gradual de la experiencia interna.
- Formación tanto para el equipo interno de TI como para el resto de empleados de la empresa.
Con esta filosofía en mente, creamos Kaspersky Next MXDR Optimum: un servicio que funciona en conjunto con las herramientas XDR y respalda la estrategia de crecimiento de las pymes. Puedes obtener más información sobre esta solución en la página de Kaspersky Next Optimum.
Consejos