Las soluciones Managed Extended Detection and Response (MXDR) han sido durante mucho tiempo un elemento b\u00e1sico para las grandes empresas. Proporcionan supervisi\u00f3n las 24\u00a0horas al d\u00eda, los 7\u00a0d\u00edas a la semana, gesti\u00f3n continua de amenazas y respuesta r\u00e1pida ante incidentes, todo ello sin necesidad de implementar ni mantener una infraestructura interna. Fundamentalmente, tambi\u00e9n hacen que los costes de la ciberseguridad sean predecibles. Parece una opci\u00f3n ideal tambi\u00e9n para las peque\u00f1as y medianas empresas (pymes). En la pr\u00e1ctica, sin embargo, esto no siempre es as\u00ed. Para una pyme, una soluci\u00f3n MXDR est\u00e1ndar puede acabar complic\u00e1ndole las cosas al equipo interno de seguridad de TI en lugar de simplificarlas, al sobrecargar a los miembros del equipo con una avalancha de alertas confusas y una gran cantidad de herramientas.<\/p>\n
Esta publicaci\u00f3n analiza las diferencias entre un servicio MXDR adecuado para una gran empresa y uno que encajar\u00eda perfectamente en el marco de seguridad de una pyme en crecimiento. Tambi\u00e9n describiremos las cualidades que, en nuestra opini\u00f3n, debe tener la soluci\u00f3n MXDR ideal para las pymes.<\/p>\n
Las grandes empresas suelen contar ya con un equipo dedicado a la ciberseguridad con procesos relativamente maduros y expertos cualificados que son capaces de integrar y administrar el servicio de forma fluida y competente. Por lo tanto, las grandes empresas suelen utilizar soluciones MXDR como parte de un modelo SOC h\u00edbrido: el equipo de un proveedor externo se encarga de algunas tareas, pero una parte importante del trabajo sigue recayendo en el equipo interno.<\/p>\n
La mayor\u00eda de las pymes carecen del arsenal necesario de soluciones y, lo que es m\u00e1s importante, de un equipo interno dedicado a la ciberseguridad, al menos con un conocimiento suficiente de las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de los atacantes, junto con las habilidades necesarias para contrarrestarlos. A menudo, no disponen de tiempo ni de conocimientos suficientes para integrar m\u00faltiples fuentes de telemetr\u00eda, establecer reglas de correlaci\u00f3n o analizar un sinf\u00edn de alertas. La mayor\u00eda de las veces, la seguridad en las pymes recae en los miembros del equipo de TI, quienes simplemente ni siquiera tienen el ancho de banda para la comunicaci\u00f3n continua con analistas externos.<\/p>\n
El resultado de intentar integrar una soluci\u00f3n de nivel empresarial en la infraestructura de las pymes suele ser una sobrecarga en lugar de una simplificaci\u00f3n de los procesos: una catarata de alertas de incidentes sin nadie que las analice, interfaces y procesos complejos en los que el equipo simplemente se pierde. En estas condiciones, es extremadamente dif\u00edcil desarrollar la experiencia interna: el equipo simplemente est\u00e1 demasiado ocupado tratando de mantener un nivel adecuado de seguridad de la empresa. Esta es precisamente la raz\u00f3n por la que las pymes necesitan un formato MXDR diferente: uno que sea m\u00e1s claro, basado en la asociaci\u00f3n y centrado en desarrollar el equipo interno en lugar de reemplazarlo.<\/p>\n
Cuando el equipo interno necesita no solo garantizar la seguridad, sino tambi\u00e9n desarrollar su propia experiencia, el servicio MXDR debe proporcionar soporte de expertos experimentados y calificados en lugar de simplemente reemplazar la funci\u00f3n de ciberseguridad. Esta deber\u00eda ser una asociaci\u00f3n en la que el proveedor no solo asuma algunas de las responsabilidades y ayude a neutralizar las amenazas, sino que tambi\u00e9n sea capaz de lo siguiente:<\/p>\n
En otras palabras, el servicio MXDR ideal para una pyme trabaja con el equipo, no en lugar de \u00e9l. A continuaci\u00f3n, analizamos las cualidades espec\u00edficas que deber\u00eda tener esta soluci\u00f3n.<\/p>\n
Las pymes pueden variar no solo en sus necesidades, sino tambi\u00e9n en su grado de madurez en ciberseguridad. Por lo tanto, un servicio MXDR no debe limitarse a la automatizaci\u00f3n b\u00e1sica o a escenarios gen\u00e9ricos. El proveedor de soluciones debe ser capaz de adaptarse a las caracter\u00edsticas espec\u00edficas de cada cliente.<\/p>\n
Esto significa que las reglas de detecci\u00f3n y clasificaci\u00f3n de alertas deben configurarse en funci\u00f3n de las caracter\u00edsticas de la infraestructura, el software y las herramientas de seguridad que se utilizan, y el comportamiento de los distintos grupos de usuarios. Esto permite distinguir una amenaza real de la actividad normal y, como resultado, reducir la cantidad de falsos positivos.<\/p>\n
Este nivel de personalizaci\u00f3n ayuda a reducir la cantidad de solicitudes de aclaraci\u00f3n que los expertos en MXDR deben dirigirle al equipo del cliente, por ejemplo, si un determinado usuario que ejecuta PowerShell tiene un comportamiento est\u00e1ndar o an\u00f3malo. Acelera la detecci\u00f3n de amenazas y la respuesta ante incidentes, y reduce la carga de trabajo del equipo interno de ciberseguridad del cliente, lo que le permite centrarse en tareas estrat\u00e9gicas.<\/p>\n
Para el equipo responsable de ciberseguridad de una pyme, es fundamental no ahogarse en cientos de notificaciones. Es necesario comprender r\u00e1pidamente qu\u00e9 es realmente una amenaza, qu\u00e9 medidas se han tomado ya y qu\u00e9 pasos hay que dar a continuaci\u00f3n. Por lo tanto, un equipo de servicio MXDR de alta calidad debe analizar no solo los eventos obviamente maliciosos, sino tambi\u00e9n la actividad sospechosa de software leg\u00edtimo. A partir de ah\u00ed, de entre miles de alertas, solo deben seleccionarse aquellas relacionadas con actividades adversas. No se le debe presentar al cliente una multitud de hip\u00f3tesis, sino una imagen clara y completa de lo que ocurri\u00f3, consolidada en un \u00fanico incidente y acompa\u00f1ada del contexto. Esto incluye la causa ra\u00edz identificada, los eventos relacionados y los activos afectados.<\/p>\n
Para facilitar la gesti\u00f3n del negocio, el proveedor debe ofrecer una visi\u00f3n general de todos los activos protegidos de la empresa y su estado actual, de modo que el cliente pueda abrir un panel de control en cualquier momento y ver qu\u00e9 est\u00e1 bajo control y qu\u00e9 requiere atenci\u00f3n. Si el equipo interno a\u00fan tiene preguntas, siempre debe poder comunicarse directamente con los expertos del servicio para trabajar en conjunto, por ejemplo, revisar los detalles de un incidente.<\/p>\n
Otro elemento de transparencia son los informes. Deber\u00eda haber una opci\u00f3n para personalizar los informes con el fin de satisfacer las necesidades y solicitudes del cliente; por ejemplo, mediante la elaboraci\u00f3n de un resumen quincenal con las conclusiones principales y, si fuera necesario, una descripci\u00f3n detallada de los incidentes. La flexibilidad en los m\u00e9todos de comunicaci\u00f3n tambi\u00e9n es fundamental; por ejemplo, el cliente debe poder escoger el canal m\u00e1s conveniente, ya sea una aplicaci\u00f3n de mensajer\u00eda, correo electr\u00f3nico u otro, para garantizar que se pueda contactar al equipo interno de manera oportuna cuando un incidente requiera una decisi\u00f3n. Esto ayuda a los directivos de la empresa a mantener un estrecho control sobre todo, mientras que los expertos t\u00e9cnicos pueden supervisar los acontecimientos a un ritmo razonable y profundizar m\u00e1s cuando sea necesario.<\/p>\n
Gracias a este enfoque, MXDR alivia uno de los mayores desaf\u00edos para las pymes: la necesidad de analizar y priorizar de forma independiente cientos de notificaciones.<\/p>\n
En caso de que el equipo interno prefiera gestionar internamente las pruebas de hip\u00f3tesis y el an\u00e1lisis de causas ra\u00edz, es esencial que la soluci\u00f3n MXDR permita la b\u00fasqueda proactiva de amenazas y el an\u00e1lisis de artefactos utilizando las herramientas XDR disponibles. Por lo tanto, el proveedor de MXDR debe otorgarle al cliente acceso a las bases de conocimientos sobre las t\u00e9cnicas y t\u00e1cticas actuales del atacante (inteligencia de amenazas), informaci\u00f3n sobre nuevas campa\u00f1as y an\u00e1lisis relevantes. Sin embargo, si fuera necesario, por ejemplo, cuando el equipo del cliente se da cuenta de que su experiencia es insuficiente a pesar de disponer de los datos de las TTP, a\u00fan debe tener la opci\u00f3n de remitir la alerta al equipo de MXDR para su an\u00e1lisis.<\/p>\n
Gran parte de los incidentes se deben a errores de los empleados. Por lo tanto, un buen proveedor de MXDR debe ayudar al cliente a fomentar una cultura de ciberseguridad saludable dentro de la organizaci\u00f3n. Esto se consigue en gran medida aumentando la conciencia de los empleados sobre los m\u00e9todos actuales que utilizan los atacantes.<\/p>\n
El enfoque m\u00e1s eficaz no consiste en impartir clases te\u00f3ricas abstractas, sino en impartir formaci\u00f3n basada en incidentes reales que se han producido dentro de la empresa. Por ejemplo, si un ataque comenz\u00f3 cuando los empleados de un determinado equipo abrieron un correo electr\u00f3nico de phishing, ese equipo deber\u00eda recibir formaci\u00f3n centrada espec\u00edficamente en ese escenario. Lo ideal ser\u00eda comprobar su progreso con una campa\u00f1a de phishing simulada. Estas medidas proactivas ayudan a mitigar los riesgos asociados con el factor humano y, por lo tanto, reducen las posibles p\u00e9rdidas financieras, una preocupaci\u00f3n b\u00e1sica para las organizaciones en crecimiento.<\/p>\n