Es más común cada vez aconsejar a grandes organizaciones para que adquieran soluciones XDR para proteger su infraestructura. No obstante, son más las que no entienden qué es el XDR y para qué sirve en realidad. Por lo cual responderé en esta publicación algunas preguntas básicas sobre el XDR para que determines si tu organización se vería beneficiada al implementarlo.
¿Tiene algo de malo la protección tradicional?
Antes lo usual era proteger de las ciberamenazas en primer lugar a los endpoints (servidores y estaciones de trabajo) y, en última instancia, esto se convirtió en un punto fundamental al momento de combatir los ciberataques más complejos. Las organizaciones, por su parte, usaban también una protección básica o instalaban herramientas de protección avanzada para cubrir un solo camino de ataque potencial, por ejemplo, solo en los endpoints (solución EDR) o en la red (solución NTA), etc. Pero, actualmente los ciberdelincuentes adoptan cada vez más una estrategia multivector al momento de organizar sus ciberataques, usando múltiples puntos para entrar a la infraestructura, como un movimiento lateral a través de la red, una gran variedad de tácticas y técnicas de ataque e ingeniería social. Todos estos factores aumentan la superficie de ataque y hacen más difícil la investigación y respuesta. Para combatir este tipo de ataques, las empresas necesitan una herramienta nueva con una estrategia integral que construya su defensa.
¿Qué es el XDR?
XDR significa “detección y respuesta extendidas”. Con “extendida” nos referimos a que las amenazas son detectadas y remediadas no solo en el endpoint (PC, laptops y servidores), sino también más allá. Es decir, una solución de detección y respuesta de endpoints (EDR) que se encarga de localizar y contrarrestar amenazas en el nivel del endpoint, el elemento principal de la tecnología XDR, y que se complementa con diferentes herramientas de seguridad de la información del mismo proveedor. Además, dichas herramientas se integran estrechamente entre sí y añaden situaciones adicionales que hacen más fuerte el proceso de combate contra las ciberamenazas complejas.
¿Qué incluye el XDR?
La cantidad y el tipo de herramientas que se conectan a una solución XDR dependen directamente de cuántas herramientas contenga el portafolio de un determinado proveedor y lo integradas que estas se encuentren entre sí. Por ejemplo, estas podrían ser, productos diseñados para proteger el correo, la web, la red, la infraestructura de la nube, la identidad, y demás. El XDR también puede integrarse con herramientas de inteligencia de amenazas, como son fuentes de datos de amenazas y la plataforma para administrar dichos datos (plataforma de inteligencia de amenazas) o incluir el portal con capacidades de búsqueda de información sobre ciberamenazas y búsqueda de dependencias. Además, ofrece al experto en seguridad TI un contexto adicional que es muy relevante considerar cuando se investigan incidentes cibernéticos. En general, hoy en día el concepto XDR es la encarnación de la tendencia económica moderna en seguridad de la información: los ecosistemas.
¿El XDR elimina las implementaciones de seguridad anteriores?
No necesariamente. Hay dos tipos de soluciones XDR en el mercado: las nativas y las híbridas. Las soluciones nativas son una gran opción si creas tu protección desde cero o sigues ampliando productos que provienen de un solo proveedor. Las híbridas, por otro lado, permiten la integración con soluciones de seguridad de la información de otros proveedores, por lo que el dinero que invertiste previamente no se perderá.
¿El XDR no es otro truco de marketing inventado por los analistas?
No, por el contrario: las principales empresas de investigación de analistas reconocen el concepto y el nombre “XDR” después de que esta categoría de soluciones surgiera en el mercado. El concepto apareció y evolucionó al mismo tiempo que los productos de seguridad de la información y las necesidades del mercado. En la actualidad, varios clientes necesitan más que un solo paquete unificado de herramientas de seguridad de la información de un mismo proveedor. Esperan también otros beneficios de dicha unificación, por ejemplo, en forma de situaciones de productos cruzados, automatización de procesos, economización de recursos y disminución de responsabilidades. Una solución XDR abarca todos estos puntos.
¿Qué valor aporta el XDR a las empresas?
En primer lugar, en medio de una escasez mundial de expertos en seguridad de la información, el XDR otorga protección holística para una infraestructura TI que cambia y crece contra un panorama de ciberamenazas en evolución constante.
En segundo lugar, el XDR hace más sencillo el trabajo de recursos tan valiosos y escasos como los especialistas en seguridad TI y los involucra en el proceso de trabajo con incidentes.
Y, en tercer lugar, el XDR ayuda a disminuir la media de tiempo de detección y la media de tiempo de respuesta (MTTD y MTTR por sus siglas en inglés). Esto es importantísimo al momento de combatir amenazas complejas y ataques dirigidos, donde una actuación rápida en manos de los expertos en seguridad TI reduce las posibilidades de los atacantes de cumplir su cometido y causar daños financieros o de reputación a una organización. Por ello, aunque se cuente con un equipo de expertos limitado, puedes proteger tu organización de ciberataques complejos debido a que el XDR ofrece:
- Una automatización mayor.
- El uso de una sola consola.
- Un entorno único de lago de datos.
- Una interacción estrecha entre herramientas de seguridad TI como parte del XDR y las situaciones conjuntas.
- Una imagen coherente de lo que pasa en la infraestructura.
- Un enriquecimiento de conocimientos incorporado con datos de inteligencia de amenazas relevantes y confiables.
- Una priorización superior de los incidentes.
- Un menor índice de alertas de falsos positivos.
¿Tienes una solución XDR?
Nuestras soluciones de seguridad para empresas que funcionan en conjunto pueden otorgar capacidades XDR a los expertos en ciberseguridad de tu empresa. Debido a una interoperabilidad perfecta, nuestros productos pueden permitir a tu organización controlar todos los puntos clave que dan entrada a tu infraestructura, así como aumentar la visibilidad y brindar una defensa centralizada. Para más información, visita la página de Kaspersky Expert Security