Preguntas frecuentes sobre detección y respuesta ampliadas


Este artículo responde algunas de las preguntas más comunes de quienes intentan averiguar el espacio XDR.

istock-485329972.jpg

Imagen: iStock / LeoWolfert

Como es de esperar con cualquier nuevo segmento o capacidad del mercado, abundan las preguntas sobre detección y respuesta extendidas (XDR). Este artículo responde algunas de las preguntas más comunes de aquellos que están tratando de resolver este espacio.

¿Qué es XDR?

Una forma increíblemente simplificada de pensar sobre XDR es que es EDR ++.

Una forma más compleja (pero precisa) de pensar sobre XDR es:

En la actualidad, existen herramientas en el mercado que adoptan enfoques tradicionales para las operaciones de seguridad: la ingesta de datos de todo el entorno y la realización de análisis de seguridad además de ellos. Por el contrario, hoy en día hay un conjunto de herramientas en el mercado que están innovando para proporcionar un enfoque diferente: realizar detecciones según la ubicación de los datos.

Este ha sido el punto de vista de los proveedores de detección y respuesta de puntos finales (EDR) desde el inicio: que la ubicación de los datos (en el punto ultimate) puede proporcionar la fuente de telemetría de mayor eficacia para la detección y respuesta. Comenzó con el punto ultimate, por lo que nació EDR. Sin embargo, ahora debe abarcar otros aspectos a medida que los datos pasan de estar ubicados en las instalaciones a la nube. Este es el primer movimiento que lidera a los proveedores de EDR en evolucionar a XDR, para identificar y proteger hacia dónde se mueven los datos.

También hay una segunda moción que lleva a los proveedores de EDR a evolucionar a XDR:

EDR es una herramienta validada en el mercado para la detección y respuesta efectivas de endpoints, pero los respondedores de incidentes necesitan más telemetría que el endpoint solo: purple, correo electrónico y aplicaciones. En un esfuerzo por abordar esto, los equipos de seguridad han utilizado plataformas de análisis de seguridad para hacer coincidir la telemetría de punto final con la telemetría de otras partes del entorno en diversos grados de éxito. Sin embargo, algunas soluciones han sufrido un alto consumo de recursos, altas tasas de falsos positivos y grandes volúmenes de datos, lo que ha creado sus propios desafíos de significant info.

XDR busca abordar esto adoptando un enfoque diferente para la detección y la respuesta, que continúa anclado en el punto closing y otras fuentes de telemetría de alta eficacia, pero correlaciona las detecciones del punto last con la telemetría de otras fuentes para simplificar la investigación y la respuesta.

¿Cuál es la diferencia entre Indigenous e Hybrid XDR?

Indigenous XDR integra aspectos del propio conjunto de herramientas del proveedor en primer lugar, mientras que el XDR híbrido otorga una prima a las integraciones con terceros. Tanto el XDR híbrido como el nativo incluyen capacidades de EDR nativas, ya que sigue siendo la pieza más fundamental y definitoria de XDR.

Native XDR toma la solución XDR de un proveedor, que por supuesto incluye el producto EDR como foundation, e integra otros aspectos de su portafolio en primer lugar, como sus herramientas de seguridad de correo electrónico o herramientas de análisis y visibilidad de red (NAV).

Esto contrasta con el XDR híbrido, que integra principalmente otras herramientas de terceros. Hybrid XDR toma la solución XDR de un proveedor, que por supuesto incluye el producto EDR como foundation, e integra de manera destacada herramientas de seguridad de terceros.

¿Native XDR significa que no tiene integraciones con otras herramientas?

La mayoría de las herramientas XDR nativas tienen alguna forma de integrarse con otras herramientas de seguridad.

Según la investigación de Forrester, los equipos de seguridad dan prioridad a las herramientas con capacidades de integración. Por lo tanto, tanto el XDR nativo como el XDR híbrido deben admitir la integración con herramientas de seguridad de terceros de alguna manera, simplemente no hay otra opción. Los proveedores de XDR nativos continuarán liderando con su conjunto de ofertas primero, pero pueden ofrecer integración con herramientas de terceros a través de su información de seguridad y gestión de eventos (SIEM) o plataforma de análisis de seguridad.

En última instancia, los proveedores tienen una cantidad limitada de recursos que pueden dedicar a aspectos como integraciones con terceros vs . integraciones con su propia tecnología. Para algunos usuarios finales, puede ser más valioso utilizar una oferta XDR nativa porque puede integrarse muy de cerca con la tecnología nativa del proveedor. Con el XDR híbrido, los proveedores deberán dedicar tiempo y esfuerzo a crear integraciones significativas con un número determinado de proveedores prioritarios que se dedican a mantener.

¿Qué reemplaza XDR en el SOC?

XDR reemplaza a EDR en el centro de operaciones de seguridad (SOC). Esa es la forma más sencilla de decirlo. Eventualmente puede reemplazar al SIEM, pero esa es una visión de cinco años en este momento más que cualquier otra cosa.

Cuando se habla de XDR con los proveedores, una de las formas más fáciles de determinar qué están vendiendo es hacerles esta pregunta. Aquellos que pretenden ser proveedores de XDR que reemplazan las plataformas de análisis de seguridad o el SIEM probablemente sean proveedores de análisis de seguridad que adoptan un enfoque de análisis de seguridad. Existen diferencias fundamentales entre XDR y las plataformas de análisis de seguridad tanto en las arquitecturas de productos como en los resultados entregables que impiden que XDR reemplace a SIEM por sí solo en la actualidad, como el cumplimiento o la detección de NAV y otras herramientas.

¿XDR necesita SOAR?

XDR no necesita SOAR en todo caso, comprar SOAR además de XDR para cumplir con las capacidades de respuesta en XDR es redundante. Una de las cosas importantes de XDR es que no está destinado a combinar la tecnología de análisis de seguridad existente para formar una tecnología mágicamente mejor. Está destinado a centrarse en la optimización a través de la automatización basada en la tecnología EDR para mejorar el proceso de respuesta a incidentes sin depender de las muletas normalmente asociadas con las reglas y los libros de jugadas.

¿Están los equipos de seguridad clamando por comprar XDR?

Honestamente, no, no lo son. Recibo muchas preguntas de los directores de seguridad de la información sobre XDR, pero todas son preguntas como «¿Qué es XDR?» y «¿Por qué el proveedor Y me está presionando XDR? ¿Vale la pena?» Ahora es el momento de la educación y la experimentación en XDR. Los profesionales de la seguridad pueden obtener el uso más impactante, claro y efectivo de XDR mediante la creación de un viaje desde la plataforma de protección de terminales (EPP) a EDR a XDR.

¿Por qué XDR está recibiendo tanta publicidad? ¿En qué están realmente interesados ​​los equipos de seguridad cuando se trata de XDR?

Es fácil decir que XDR está ganando popularidad porque los proveedores piensan que pueden vender más de su cartera llamando a todo lo que venden XDR. ¡Y eso es verdad! Sin embargo, hay otra razón que se centra en las necesidades reales del equipo de seguridad: hay un anhelo en la comunidad de seguridad de una solución que pueda brindar mejores resultados que la que están usando hoy.

Hay tres desafíos que XDR busca abordar para los profesionales de la seguridad:

1. Detección

En términos generales, las herramientas de seguridad adoptan un enfoque muy nebuloso para el análisis de seguridad. Si recopilamos una gran cantidad de datos y luego realizamos análisis sobre ellos, podremos ver más y comprender más sobre los ataques entrantes. A primera vista, esto tiene mucho sentido. Sin embargo, con la enorme cantidad de datos empresariales, esto rápidamente se vuelve insostenible. XDR prioriza los datos utilizados para la detección para evitar abrumar a los analistas con alertas.

2. Investigación

La investigación es la que lleva más tiempo de la totalidad del proceso de respuesta a incidentes. Es particularmente desafiante para los nuevos analistas que no necesariamente tienen las habilidades para realizar una investigación rápida. Un aspecto que ha sido tan convincente sobre la tecnología EDR son las capacidades emergentes en torno al análisis automatizado de la causa raíz. XDR lleva esto un paso más allá al incorporar otra telemetría en el análisis de la causa raíz y el proceso de investigación para obtener información de incidentes más completa.

3. Respuesta

La respuesta debe realizarse de forma rápida y completa. Responder rápidamente es sencillo y, por separado, responder de forma completa también es sencillo. Sin embargo, responder de manera rápida y completa es muy desafiante. Un aspecto convincente de la tecnología EDR son las capacidades emergentes en torno a las acciones de respuesta recomendadas. XDR lleva esto un paso más allá al incorporar otras herramientas en la respuesta recomendada para brindar a los analistas el contexto para saber cómo deben responder y la capacidad de ejecutar esa respuesta en un solo lugar.

¿XDR y SIEM funcionan juntos?

¡Sí! Por ahora. XDR y SIEM están en curso de colisión, pero por el momento, son complementarios, ya que XDR no puede abordar todos los casos de uso que SIEM hace en torno a la gobernanza, la gestión de riesgos y el cumplimiento y las detecciones de otras fuentes de telemetría. Algunos proveedores están introduciendo soluciones SIEM como parte de su oferta, que se venden junto con su oferta XDR, mientras que otros recomiendan trabajar con un tercero.

¿Cuáles son las diferencias y similitudes arquitectónicas entre SIEM y XDR?

chart-1.png "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/26/9891c93b-081f-47f9-9adb-e064a270cf8e/resize/770x/7537bdf4a8c8dff8408f7a0f842874b0/chart -1.png

Forrester Investigate Inc.

¿Qué resultados proporciona XDR en comparación con SIEM?

chart2.png "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/26/edddc683-8530-4b5d-b143-bc5d5ca11e14/resize/770x/ffd45af4d5f4fbb7dd34df188877676a/chart2.png

Forrester Investigation Inc.

¿XDR es la evolución de EDR significa que EDR ya no importa?

En un informe reciente sobre XDR, dije «EDR está muerto. Larga vida a XDR» para aclarar que XDR es la próxima evolución de EDR y finalmente reemplazará a EDR. Eso sigue siendo cierto, incluso si la línea de pedido en el presupuesto todavía dice EDR y los equipos de seguridad todavía están mirando a EDR. Reemplazar EDR con XDR en el SOC llevará tiempo y será un viaje para los profesionales, muy parecido al viaje de EPP a EDR. Aún es importante que comprendamos y mencionemos las capacidades diferenciables que los proveedores de EDR pueden mostrar en su oferta de endpoints y poder separar eso del siguiente paso en el viaje del profesional: XDR.

Para algunas organizaciones, puede tener sentido limitar las integraciones que tienen dentro de su tecnología XDR y simplemente usar XDR como EDR. Uno de los beneficios de la evolución de XDR a partir de EDR es que puede permitir a los profesionales integrar más fuentes de telemetría a medida que avanza su programa de seguridad.

Esta publicación fue escrita por la analista Allie Mellen, y apareció originalmente aquí.

Ver también



Enlace a la noticia initial