XDR Pushing Endpoint Detection and Response …



Irónicamente, el éxito de EDR ha generado una demanda de tecnología que se extiende más allá.

El éxito que muchas organizaciones han tenido en los últimos años con los productos de detección y respuesta de terminales (EDR) puede estar acelerando el fin de la tecnología.

Dejándolo al margen está una clase emergente de tecnologías de detección y respuesta extendidas (XDR) que empareja las funciones de EDR con la telemetría de la red, las aplicaciones y la nube, dijo Forrester Analysis en un informe esta semana.

Forrester es una de las varias firmas de analistas que en los últimos meses ha notado la rápida aparición de XDR como un enfoque para mitigar las ciberamenazas desde el punto closing de la empresa hasta la nube.

Gartner, por ejemplo, considera las herramientas XDR, así como el aprendizaje automático y la automatización, como clave para mejorar la precisión de la detección de amenazas y la productividad de la seguridad, especialmente para los centros de operaciones de seguridad (SOC) con recursos limitados. Omdia la ha descrito como una tecnología que está «arrasando rápidamente con la industria de la ciberseguridad empresarial». en un encuesta reciente, ESG Team descubrió que el 70% de las organizaciones ya están usando o considerando XDR. Otra encuesta realizada por el Instituto Ponemon en nombre de FireEye descubrió que las organizaciones tenían la intención de gastar un promedio de $ 333,150 en XDR en 2020, en comparación con $ 183,150 en información de seguridad y gestión de eventos (SIEM) y $ 345,150 en orquestación, automatización y respuesta de seguridad (SOAR).

Varios factores están impulsando el interés, dice Allie Mellen, analista de Forrester y autora del nuevo reporte. El primero es el hecho de que los equipos de SOC con poco personal simplemente no tienen el tiempo necesario para investigar a fondo y responder a todas las amenazas que enfrentan sus organizaciones, especialmente dada la gran cantidad de herramientas de seguridad con las que deben lidiar.

Muchos líderes de seguridad, habiendo visto el valor de EDR, también están buscando formas de extender esas capacidades más allá del punto final.

«Si bien EDR proporciona una detección y una respuesta efectivas de los puntos finales, los equipos de seguridad requieren más telemetría que solo el punto last», dice Mellen. «XDR proporciona la visibilidad y el handle necesarios a otras partes del negocio a través de integraciones que combinan datos EDR con otros tipos de telemetría».

El tercer issue que impulsa el interés en XDR es la nube. Con las empresas trasladando una mayor parte de sus operaciones a la nube, los líderes de seguridad están bajo una presión cada vez mayor para proteger los datos allí, dice.

XDR se basa en el éxito de EDR y, en cierto modo, es la próxima evolución de la tecnología, dice Mellen. Al igual que las herramientas EDR convencionales, XDR también recopila y analiza datos de amenazas y eventos de seguridad de dispositivos terminales, como computadoras portátiles, estaciones de trabajo y dispositivos móviles. Sin embargo, a diferencia de las tecnologías EDR, XDR unifica estos datos de seguridad de punto remaining con datos de herramientas de purple, aplicaciones, herramientas de administración de identidad y acceso y la nube. Es importante destacar que XDR también permite una capacidad de respuesta automatizada.

Curso de colisión
Hasta ahora, los equipos de seguridad solían utilizar herramientas de análisis de seguridad, SIEM, productos de análisis de purple y lagos de datos para intentar hacer coincidir los datos de sus herramientas EDR con el resto del entorno. Si bien estos esfuerzos han tenido diversos grados de éxito, también han consumido muchos recursos, involucraron demasiados datos y arrojaron una alta tasa de falsos positivos.

Es importante destacar que muchas plataformas de análisis de seguridad, como SIEM, son principalmente útiles para recopilar y agregar eventos de seguridad y datos de registro de una amplia variedad de fuentes, pero menos para el análisis. Esto se debe a que el impulsor principal para las implementaciones de SIEM, por ejemplo, generalmente ha sido el cumplimiento, dice Mellen.

«XDR busca abordar estas brechas centralizando la detección en telemetría que se sabe que create detecciones de alta eficacia», dice. «Al basar las detecciones en el punto last, ya sea que el punto last adopte la forma de una computadora portátil, una estación de trabajo, un dispositivo móvil o la nube, XDR tiene como objetivo reducir los falsos positivos y enfocar las detecciones en los datos con más probabilidades de producir detecciones precisas».

Las empresas que están comprando tecnologías EDR deberán decidir si quieren optar por una capacidad XDR nativa o una híbrida. Forrester define el XDR nativo como tecnología en la que la integración se centra en productos que ya se encuentran en la cartera existente de un proveedor. Un entorno híbrido XDR, por otro lado, integra productos de múltiples terceros.

El beneficio del XDR nativo es que ofrece un proceso de compra relativamente sencillo y una estrecha integración. El beneficio del XDR híbrido es que permite a las organizaciones de seguridad elegir los mejores productos, aunque la integración podría ser un poco difícil, dice Mellen. XDR, tanto híbrido como nativo, se entrega a través de un modelo de software como servicio (SaaS).

Mellen espera que el cambio de EDR a XDR ocurra de manera evolutiva.

«Las detecciones de XDR permanecen estancadas en los datos de los terminales, que actualmente se limitan a computadoras portátiles, estaciones de trabajo y dispositivos móviles», dice. «(Pero) a medida que las capacidades XDR maduran y la detección se expande más allá del punto final tradicional, desviará más tareas del SIEM hasta que se conviertan en competidores directos en los próximos tres a cinco años».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial