Las realidades de la detección y la respuesta ampliadas …



Si bien el término XDR se ha generalizado, la tecnología y el mercado siguen siendo un trabajo en progreso con mucha innovación y confusión en el mercado.

Dado todo el revuelo en torno a la tecnología de detección y respuesta extendidas (XDR), vale la pena comenzar este artículo definiendo el término «XDR». XDR es un conjunto integrado de productos de seguridad que abarca arquitecturas de TI híbridas (como LAN, WAN, infraestructura como servicio, centros de datos, and so on.) diseñado para interoperar y coordinar la prevención, detección y respuesta de amenazas. XDR unifica puntos de control, telemetría de seguridad, análisis y operaciones en un sistema empresarial.

La «X» en XDR se trata de pasar de una detección de amenazas discreta a una completa. En lugar de identificar eventos de seguridad en terminales, redes y en el correo electrónico, XDR promete recopilar y correlacionar todos estos eventos a través de los controles de seguridad. Por lo tanto, piense en la detección de amenazas a lo largo de la cadena de muerte cibernética o alineada con el marco MITRE ATT & CK. La «D» trata sobre la recopilación, el procesamiento y el análisis de datos para detectar ciberataques de forma más rápida y precisa que los sistemas existentes. Por lo standard, estas actividades serán nativas de la nube, aprovechando la escala masiva para análisis avanzados a lo largo de meses o incluso años de datos. Finalmente, la «R» está realmente ligada a la automatización. XDR promete eliminar una gran cantidad de operaciones de seguridad que requieren mucho trabajo al tomar acciones automatizadas listas para usar. Una especie de orquestación y respuesta de seguridad llave en mano de un hombre pobre (SOAR).

Esa es la versión de marketing and advertising de XDR, pero hemos estado hablando de consolidación de herramientas durante años, mucho antes de que a alguien se le ocurriera el término XDR. ¿Es true XDR?

Mi estimado colega Dave Gruber y yo acabamos de completar un proyecto de investigación sobre XDR para responder esta pregunta y otras. Dave es un experto en detección y respuesta de endpoints (EDR), mientras que yo me concentro en el centro de operaciones de seguridad, por lo que analizamos XDR desde muchos ángulos. Según nuestra investigación, XDR no solo es true, sino que también puede perturbar la industria en 2021. La investigación de ESG afirma esta conclusión como:

  • Las organizaciones tienen mucho trabajo por delante para la detección de amenazas. Cuando se les pide que definan sus objetivos de detección de amenazas, el 34% de las organizaciones dicen que quieren mejorar la detección de amenazas avanzadas, el 29% quiere reducir el tiempo medio de recuperación y el 27% quiere ayuda para determinar qué amenazas priorizar. Esto apunta a la necesidad de mejorar los procesos y la tecnología.
  • Las herramientas existentes no funcionan. A pesar de miles de millones de dólares de inversión, las organizaciones empresariales no pueden detectar ni responder a las amenazas de manera oportuna. Cuando se les pide que identifiquen los desafíos de detección y respuesta de amenazas, el 31% de los profesionales de seguridad dicen que dedican su tiempo a responder a emergencias, el 29% admite «puntos ciegos» con el monitoreo de seguridad y el 23% afirma que es difícil correlacionar las alertas de seguridad de diferentes herramientas. . Mmm, esto parece indicar un gran caos en las operaciones de seguridad.
  • Los presupuestos de detección / respuesta a amenazas están aumentando. Un enorme 83% de las organizaciones están aumentando sus presupuestos de respuesta y detección de amenazas. Esto me dice que las organizaciones necesitan ayuda lo antes posible.

La investigación también indica que muchas organizaciones ya están pensando en XDR como una posible solución El 70% podría prever la creación de un presupuesto XDR en los próximos 12 meses. Curiosamente, otro 23% de las organizaciones dicen que ya están trabajando en un proyecto XDR, como integrar EDR y herramientas de detección y respuesta de purple, enriquecer las alertas con inteligencia sobre amenazas, etcetera.

Las organizaciones necesitan y están dispuestas a pagar por la ayuda de detección / respuesta a amenazas, por lo que XDR está ganando impulso en el mercado con una sincronización impecable. Los proveedores de tecnología de seguridad ciertamente ven esta oportunidad, ya que proveedores grandes y con mucho dinero como Broadcom (Symantec), Examine Issue, Cisco, FireEye, Fortinet, McAfee, Microsoft, Palo Alto Networks y Pattern Micro están integrando productos puntuales para crear suites XDR. Al mismo tiempo, los reproductores de EDR como Crowdstrike, Cybereason y SentinelOne han adoptado estrategias XDR, mientras que los proveedores de gestión de eventos e información de seguridad (SIEM) como LogRhythm y RSA envían mensajes a XDR. Mientras tanto, una plétora de nuevas empresas de XDR, incluidas Confluera, Hunters, Reliaquest, SecBI y Stellar Cyber, se han unido a la refriega. Toda esta atención significa enormes inversiones e innovación en I + D de XDR.

Antes de que XDR se apodere del mundo de la ciberseguridad, la investigación también apunta a varios obstáculos restantes. Los profesionales de la seguridad deben comprender mejor lo siguiente:

  • Qué incluye una solución XDR. Solo el 24% de los encuestados dicen que están muy familiarizados con XDR el resto está algo familiarizado o no está familiarizado con XDR. Cuando se le preguntó por una definición de XDR, el 36% dijo que XDR recopila, procesa, analiza y actúa sobre la telemetría de seguridad de varias fuentes y controles, una clasificación precisa pero vaga. Esta confusión es comprensible porque muchas soluciones XDR se basan en una variedad de controles de seguridad diferentes sin una oferta estándar. Otras soluciones XDR actúan como una capa de superposición / abstracción de computer software, ubicada por encima de los controles y herramientas de análisis existentes. Toda la confusión indica que existe una necesidad urgente de educación de mercado antes de que la mayoría de las organizaciones saquen sus chequeras.
  • Cómo XDR se alinea con SIEM. Muchas organizaciones empresariales han invertido millones en su SIEM y el 71% de las organizaciones con SIEM dicen que es eficaz para la detección y respuesta de amenazas. Sin embargo, la investigación también muestra que SIEM tiende a ser costoso, complejo y no tan efectivo para detectar amenazas desconocidas / sofisticadas. A juzgar por estos datos, la mayoría de las organizaciones quieren que XDR aumente y mejore en lugar de reemplazar su SIEM, al menos a corto plazo. Los proveedores de XDR deben desarrollar una sólida estrategia de suplementación de SIEM para ayudar a las organizaciones a consumir sus productos.
  • La historia de la gestión de datos. Al igual que SIEM, XDR debe poder recopilar, procesar y analizar terabytes de datos por lotes y en tiempo actual. Cualquier ingeniero de seguridad le dirá que pasan mucho tiempo jugando con la canalización de datos subyacente para que todo esto funcione. La investigación de ESG ilustra esto Las organizaciones tienen desafíos en la canalización de datos de seguridad, como filtrar alertas ruidosas (38%), escalar la canalización de datos para adaptarse a los crecientes volúmenes de telemetría de seguridad (37%) y crear una canalización de datos eficaz para el procesamiento de flujos (34%). Los proveedores de XDR tienen la ventaja de la escala nativa de la nube para la canalización de datos. Ahora necesitan educar al mercado sobre cómo pueden administrar el flujo de datos de seguridad cuando muchas organizaciones luchan poderosamente en esta área.
  • El papel de los servicios. Casi las tres cuartas partes (73%) de las organizaciones usan o planean usar algún tipo de servicio de respuesta y detección de amenazas administradas (MDR), desde la subcontratación completa hasta el aumento de personalized / habilidades y todo lo demás. Esto indica que los servicios empaquetados deberían ser parte de cada oferta de XDR, pero esto es un anatema para muchos proveedores de XDR acostumbrados a las ventas transaccionales de productos de puntos de seguridad en lugar de soluciones.

En un año sin pandemia, la industria se estaría preparando para la Conferencia RSA. Si este evento estuviera sucediendo, no podría cruzar Howard Street en San Francisco sin ver el término «XDR» en algún lugar de su visión periférica. Este rumor está justificado: los CISO necesitan ayuda para la detección y respuesta de amenazas y están dispuestos a pagar por la ayuda adecuada. XDR podría llenar este vacío, pero existe una necesidad urgente de educación y desarrollo del mercado antes de que XDR se convierta en una aplicación excelente para las operaciones de seguridad.

Jon Oltsik es analista principal senior de ESG, miembro de ESG y fundador del servicio de ciberseguridad de la empresa. Con más de 30 años de experiencia en la industria de la tecnología, Jon es ampliamente reconocido como un experto en todos los aspectos de la ciberseguridad y a menudo se le pide que ayude … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial