XDR: ¿Qué es y cómo funciona? Beneficios de XDR para la Gestion de la Ciberseguridad

Publicado el por Ricardo V. González Darkin

Conozca la tecnología XDR y descubra lo beneficios de esta tecnología para la gestión de la ciberseguridad de su infraestructura.

Blog- ThreatSync

Desde hace 5 años PCNOVA, como Proveedor de Servicios Gestionados IT, amplió su gama de Servicios de Gestión Informática incorporando a su cartera una nueva división completamente dedicada al área de Seguridad TIC: PCNOVA Security & IT Defense, evolucionando hacia la figura del MSSP -Managed Security Services Provider o Proveedor de Servicios Gestionados de Seguridad-.

Como MSSP, nuestro objetivo es la Prevención, Detección y Visibilidad ante los crecientes ataques que estamos identificando utilizando nuestra herramienta de Monitorización y Gestión desde la Solución NOVA.  Seguimos nuestro compromiso de ser Proactivos y no reactivos ante los inminentes problemas de Seguridad que día a día vemos con preocupante incremento en la Pyme, una víctima fácil al estar desprotegida, ya que como muchos de nuestros clientes nos han comentado “mi información no es del interés de estas grandes mafias tecnológicas”, por tanto creen que no serán un objetivo de un ciberataque.

XDR nos permite potenciar nuestro abanico de soluciones de seguridad que protegen la red y los recursos de la organización contra amenazas, ataques y degradaciones de servicio, amenazas que las soluciones tradicionales no son capaces de detectar.

Como Partners de Watchguard, hoy queremos que conozca la evolución natutal de EDR: XRD

¿Qué es XDR de Watchguard?

Desde hace algunos años Wathguard ha estado hablando de eXtended Detection and Response (XDR), pero a pesar de ser un concepto de moda en la industria, sigue habiendo una pregunta fundamental: ¿qué es XDR realmente? Según Gartner, que definió este término por primera vez en 2020, «se trata de una herramienta de detección de amenazas y respuesta a incidentes, específica de un proveedor, que unifica varios productos de seguridad en un mismo sistema de operaciones».

La detección y respuesta extendida – XDR – atiende la necesidad de nuevos niveles de agregación, correlación y análisis de telemetría de seguridad para hacer frente a una superficie de ataque cada vez más diversificada y un panorama de amenazas en constante evolución y más complejo de detectar. Esto quiere decir que al integrar capacidades XDR en la infraestructura de una organización, los eventos de seguridad procedentes de fuentes y activos diversos son analizados y correlacionados para determinar las actividades que se están produciendo. De esta forma, el XDR comparte conocimientos desde una única plataforma de seguridad para obtener respuestas rápidas y automatizadas que, y reducen la carga de trabajo del personal de seguridad.

En WatchGuard la correlación ya estaba presente en la primera versión de ThreatSync: un motor basado en la nube que analizaba los datos de eventos de los Host Sensors y Fireboxes para identificar comportamientos maliciosos. Sin embargo, la antigua solución de Threat Detection and Response (TDR) solo utilizaba telemetría de endpoint para detectar archivos maliciosos y responder a acciones iniciadas en la nube, correlacionando los eventos de red con archivos y procesos individuales en el endpoint. Ahora, EDR ha evolucionado hacia XDR que utiliza la tecnología ThreatSync convirtiéndose en una solución que integra las soluciones de seguridad endpoint y de red en una única plataforma, permitiendo correlacionar la información de las detecciones de amenazas procedentes de las diferentes capas de protección y permitir orquestar la respuesta de ambas herramientas.

¿Cómo funciona el XDR?

El enfoque XDR potencia la seguridad al combinar diferentes tecnologías que generan detecciones más precisas de las que mostrarían si operasen solas. De este modo, XDR recopila y muestra de forma unificada las detecciones de productos cruzados en ordenadores, servidores y cortafuegos para ofrecer a los expertos en seguridad el contexto de las detecciones brindándoles la capacidad de responder y detener las amenazas avanzadas en menos tiempo, reduciendo drásticamente el riesgo producido por amenazas de seguridad. Al incluir estos datos en una única consola en la nube, además, se elimina la necesidad de aprender a utilizar varias consolas. Así, es posible detectar amenazas en dispositivos protegidos y desprotegidos al utilizar los datos entre dominios para frustrar las amenazas avanzadas que no son visibles en el perímetro o en los endpoint.

Además, el uso de dominios cruzados y la correlación de los eventos, permite la monitorización de actividades en diferentes productos de seguridad, lo que facilita calificar y detectar escenarios maliciosos que podrían parecer inofensivos por sí solos, pero que bajo una visión de contexto unificada, se convierten en indicadores de compromiso (IoCs), permitiendo la reducción del tiempo medio de detección (MTTD) y la rápida contención del impacto, evitando así una mayor gravedad y alcance del incidente.

Por otra parte, la automatización y programación de la respuesta, permite liberar a los analistas de tareas repetitivas o manuales actuando sobre las detecciones que coincidan con los criterios definidos previamente. Así es posible terminar de procesos, eliminar archivos, aislar un endpoint o bloquear una IP pública sin la necesidad de la intervención de un analista.

Blog-in- ThreatSync

Beneficios de XDR para la Gestión de la Ciberseguridad de nuestros clientes.

El uso de XDR trae grandes ventajas para los Managed Security Service Providers (MSSP) al momento de proteger la seguridad de sus clientes. Por ejemplo, ante un caso de amenazas avanzadas persistentes (APT), contar con la correlación entre la seguridad de red y el endpoint puede marcar la diferencia. Hoy en día existe la expectativa de que los archivos se descarguen de forma casi instantánea, por ello, el cortafuegos debe permitir que se descarguen archivos desconocidos mientras los envía para su análisis en el sandbox. Si el archivo, después de su análisis, es catalogado como malicioso, el XDR lo correlaciona con un endpoint para eliminarlo del dispositivo.

Del mismo modo, ante los procesos ejecutados en un ordenador que no son dañinos per se, pero que pueden realizar conexiones maliciosas, como los navegadores o los clientes de correo electrónico, es donde las funcionalidades XDR pueden tomar los datos de las conexiones bloqueadas en el cortafuegos para vincularlos con aplicaciones individuales en el endpoint. Así, puede encontrar nuevas aplicaciones maliciosas o simplemente descubrir goodware con un comportamiento sospechoso y que requiere de un análisis más detallado.

Los anteriores casos de uso ponen de manifiesto el valor de esta herramienta para que como su MSSP, podamos proteger las redes de nuestros clientes. Existen otros beneficios del uso de la XDR que como MSSP podemos ofrecerle:

  • Visibilidad unificada de amenazas: XDR ofrece una mayor precisión, así como acelera la detección al unificar los datos de amenazas en una única interfaz. La recopilación y visualización de las detecciones cruzadas con diferentes productos nos aportan agilidad, ya que obtenemos un contexto de detención que nos brinda la información necesaria para responder y detener las amenazas avanzadas de forma más eficiente.
  • Reducción del mean time to detect (MTTD): según datos de IBM, en el 2022 las empresas tardaron una media de 207 días en identificar un incidente de seguridad. Sin embargo, las organizaciones con tecnologías XDR vieron considerables ventajas en los tiempos de identificación y respuesta. Las organizaciones que implantaron XDR acortaron el ciclo de vida del incidente en aproximadamente un mes (29 días), de media, en comparación con las organizaciones que no implantaron XDR.
  • Orquestación unificada de la respuesta a las amenazas: XDR nos permite ser más eficientes, ya que ofrece un amplio rango de acciones de respuesta, pudiendo además, programar y automatizar la respuesta ante las amenazas en toda la red desde una única consola de forma más rápida, reduciendo el riesgo y ofreciendo una mayor precisión y rapidez en la respuesta, reduciendo el mean to time to respond (MTTR). Para cualquier empresa, poder reducir los tiempos de detección y disponer de agilidad en las acciones de respuesta, puede marcar la diferencia entre responder a tiempo ante una amenaza evitando que cause un mayor daño o que el ataque se propague tomando el control de los sistemas de la organización.
  • No hace falta configuración: algunas soluciones XDR requieren conocimientos avanzados para instalación y configuración de la herramienta. La solución XDR, WatchGuard ThreatSync, forma parte del marco de la Plataforma de Seguridad Unificada, ofreciendo una experiencia de usuario unificada e intuitiva que simplifica su adaptación y aprendizaje, y al ser multiproducto y estar completamente integrada, reduce los costes asociados a la configuración e integración de las soluciones.

XDR es el complemento perfecto para gestionar pequeñas y medianas empresas, ya que nos permite aumentar las capacidades de seguridad de forma automatizada y sin necesidad de disponer de una plantilla ampliada de expertos en ciberseguridad. Su uso e implementación mejora la visibilidad, aumenta las capacidades de detección en algunos escenarios específicos y permite responder y remediar los ataques de una forma muy sencilla.

Descubra cómo PCNOVA y WatchGuard pueden ayudarle a adoptar una postura de seguridad basada en XDR a través de la solución ThreatSync. Estamos aquí para facilitar y convertirnos en su aliado tecnológico Profesional de confianza, más aún en las actuales circunstancias que nos obligan a potenciar la ciberseguridad, preferiblemente de la mano de un partner especializado. Si desea contactarnos, le ofrecemos nuestros medios de comunicación:

Deja una respuesta