¿Qué tiene de bueno XDR?



XDR es un avance significativo en la tecnología de respuesta y detección de amenazas, pero pocas empresas entienden por qué. Omdia identifica cuatro catalizadores que impulsan la aparición de XDR.

Extended Detection and Reaction, o XDR, es una de las tecnologías emergentes más prometedoras que ha llegado al panorama de la ciberseguridad empresarial en muchos años.

Acuñado por primera vez en 2018 por el analista principal de Omdia, Rik Turner, Omdia outline XDR como una solución única e independiente que ofrece detección de amenazas integrada y capacidades de respuesta en (como mínimo) terminales, redes y entornos de nube.

XDR ofrece un potencial significativo por varias razones. Sin embargo, debido a que XDR aún está emergiendo, pocas organizaciones entienden exactamente cómo logra lo que SIEM, SOAR y otras tecnologías anteriores no han podido ofrecer en gran medida.

Aquí, Omdia destacará por qué XDR se ha convertido en uno de los segmentos de mercado de más rápido crecimiento en ciberseguridad empresarial. Específicamente, XDR aborda cuatro requisitos clave de respuesta y detección de amenazas empresariales que los proveedores han tenido dificultades para abordar.

Análisis de telemetría unificado
No existe una solución de detección de amenazas en el vacío. En otras palabras, la detección consistente y precisa de una amplia gama de amenazas requiere la combinación de datos relevantes de múltiples fuentes de telemetría de amenazas.

Sin embargo, la mayoría de las empresas administran una arquitectura de productos de ciberseguridad con docenas de soluciones únicas de muchos proveedores diferentes pocos o ninguno de ellos están diseñados para funcionar bien entre sí.

Las soluciones XDR están destinadas a abordar este desafío proporcionando un análisis unificado de datos de telemetría de detección de amenazas previamente aislados. Independientemente de si los datos de amenazas se originan en el punto last, la red, la nube o en otro lugar, la telemetría se unifica, estandariza y analiza simultáneamente como un todo.

La diferencia clave es que, a diferencia de las soluciones existentes que realizan análisis por separado y luego intentan conciliar los hallazgos para detectar amenazas, el análisis simultáneo y unificado de telemetría de múltiples fuentes que ofrece XDR acelera el proceso de identificación precisa de los ataques, particularmente los ataques de múltiples etapas como NotPetya, que a menudo desaparecen. sin ser detectado.

Detección de amenazas más rápida y precisa
Además del análisis de telemetría unificado, varias otras funciones de XDR son igualmente críticas para ayudar a las empresas a realizar una detección de amenazas más rápida y precisa.

Una solución XDR revisa constantemente la telemetría entrante, utilizando una variedad de motores de detección, así como algoritmos de aprendizaje automático y análisis de comportamiento. A diferencia de los sistemas de alerta estáticos basados ​​en políticas, XDR determina continuamente si un evento es malicioso, anómalo o sospechoso en función de una variedad de indicadores en evolución, incluido si la actividad tiene algún precedente en la organización.

XDR puede iniciar automáticamente un proceso de enriquecimiento de eventos al descubrir una actividad sospechosa o anómala. El sistema ahorra tiempo al acumular puntos de datos adicionales que un analista humano normalmente recopilaría manualmente para determinar si el evento es un verdadero positivo.

Después del enriquecimiento, las soluciones XDR correlacionan o revisan proactivamente los artefactos relacionados con el evento, en su totalidad y simultáneamente, para hacer una convicción con la mayor precisión posible. Debido a que XDR generalmente estandariza la telemetría que toma, ese formato común permite que sus motores de análisis encuentren puntos de datos comunes que son indicativos de un evento de amenaza de manera rápida y precisa.

Finalmente, cuando se confirma una amenaza, las soluciones XDR presentan los hallazgos a los analistas a través de representaciones visuales informativas y convincentes de la secuencia de eventos que abarcan un evento de amenaza. Los puntos de datos específicos a menudo se visualizan como eventos en un continuo o con gráficos de radar o araña. Esto ayuda a los analistas de SOC a comprender, explorar y actuar frente a las amenazas de forma más rápida y decisiva.

Reaccione, responda y resuelva más rápido y mejor
La respuesta a amenazas es un ejercicio muy guide, que a menudo requiere horas de trabajo, numerosas herramientas y procesos inconsistentes. Tanto los CISO como los analistas de SOC entienden que este es un enfoque ineficiente, costoso, tedioso y, a menudo, ineficaz.

Si bien las soluciones SOAR han buscado codificar, orquestar y, en última instancia, automatizar parte de este trabajo, SOAR suele ser demasiado caro y complicado para muchas organizaciones.

Las soluciones XDR brindan una funcionalidad equivalent a SOAR, pero con una mayor facilidad de uso. Las acciones basadas en políticas están predefinidas en función de las mejores prácticas de la industria para varios tipos de amenazas el enriquecimiento, la correlación y la presentación tienen lugar antes de la alerta, lo que permite menos pasos manuales antes de la respuesta y las acciones de remediación son ejecutadas por el sistema XDR, lo que permite la remediación, la confirmación y los informes de circuito cerrado.

Funcionalidad independientemente del nivel de madurez
Hasta XDR, las capacidades de respuesta y detección de amenazas de nivel empresarial requerían en gran medida la implementación de una pila de tecnología SOC basada en SIEM / SOAR, que es costosa, compleja y requiere expertos capacitados para configurar y administrar.

La investigación de Omdia indica que XDR, en comparación con SIEM y SOAR, a menudo es menos costoso, algo menos complejo de implementar y administrar, requiere menos experiencia y será cada vez más feasible para organizaciones con niveles más bajos de madurez en ciberseguridad.

Teniendo en cuenta que prácticamente cualquier organización puede ser blanco de un ciberataque complejo en cualquier momento, esta democratización de la detección y respuesta de amenazas ha tardado en llegar.

XDR: mirando hacia el futuro
Sin duda, XDR es incipiente y los proveedores estarán ocupados durante años perfeccionando sus soluciones.

Para empezar, la mayoría de las soluciones XDR actuales tienen características y flujo de trabajo sin refinar, una profundidad de características muy variable (algunas ni siquiera ofrecen una verdadera respuesta a amenazas) y capacidades extendidas limitadas relacionadas con la integración, la emisión de tickets y la gestión de cumplimiento. También hay pocos estudios de casos documentados que demuestren el éxito de XDR en escenarios de implementación del mundo actual.

Aún así, Omdia es optimista sobre XDR y espera que la tecnología madure rápidamente. Las empresas están ansiosas por un enfoque más fácil y asequible para la detección y respuesta de amenazas, y los proveedores reconocen la oportunidad de finalmente entregar soluciones para abordar esas necesidades.

Nota del editor: esta columna se basa en una investigación extraída del informe recientemente publicado de Omdia, «Fundamentos de XDR vs . SIEM y SOAR: comprensión de la evolución de las arquitecturas SecOps», que está disponible para los suscriptores de Omdia. Hacer clic aquí para obtener más información sobre Omdia. Haga clic aquí para seguir OmdiaCyber en Twitter.

Eric Parizo es suitable con Cybersecurity Accelerator de Omdia, su práctica de investigación que respalda a proveedores, proveedores de servicios y clientes empresariales en el área de ciberseguridad empresarial. Eric cubre las tendencias globales de ciberseguridad y los proveedores de primer nivel en América del Norte. Él ha sido … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique