/ ¿Qué es XDR?
¿Qué es XDR?
La detección y respuesta extendidas (XDR) es una categoría de soluciones de ciberseguridad que combina herramientas de detección y respuesta a amenazas previamente desconectadas con la orquestación de la seguridad. Al recopilar telemetría de todo el ecosistema de una organización (incluidos terminales, nubes, redes, fuentes de inteligencia sobre amenazas y más), XDR permite una detección, correlación, búsqueda de amenazas y respuesta a incidentes más rápida y precisa que la detección y respuesta de terminales (EDR) por sí sola.
¿Cómo funciona XDR?
XDR recopila telemetría de lo que de otro modo serían múltiples silos de datos, utilizando un agente local que actúa efectivamente como una solución de gestión de eventos e información de seguridad (SIEM), entre otras funciones. XDR identifica malware y amenazas avanzadas, y luego toma varias medidas para priorizarlas, contenerlas y eliminarlas utilizando el poder del aprendizaje automático (ML) y la automatización.
Para lograr esto, XDR realiza continuamente tres funciones principales:
1. Análisis
La solución recopila datos en servidores, terminales, nubes y otras partes del ecosistema, correlaciona esos datos y envía sólo alertas relevantes e importantes al equipo de seguridad de la organización, lo que ayuda a minimizar la fatiga de alertas.
2. Detección
Aprovechando su amplia y profunda visibilidad, XDR utiliza ML para establecer una línea de base del comportamiento normal de usuarios y entidades. Combinado con otros mecanismos de detección, esto permite que la solución XDR investigue anomalías que podrían indicar amenazas a la seguridad.
3. Respuesta
XDR aísla y elimina una amenaza, y luego actualiza las políticas de seguridad para detener esa amenaza en el futuro. El área en la que va más allá de EDR es en la consolidación de los recursos del centro de operaciones de seguridad (SOC) en entornos de red, terminales y nube en una sola consola.
Ventajas de la seguridad XDR
XDR unifica las capacidades de detección y respuesta en todo un entorno de datos, lo que le permite ir más allá de los productos de seguridad tradicionales y las soluciones puntuales para ofrecer una mayor cobertura y una imagen más completa de los incidentes de seguridad. Una plataforma XDR eficaz proporciona:
- Visibilidad y conocimientos amplios y profundos: con una perspectiva que se extiende más allá del terminal, una solución XDR puede comprender amenazas sofisticadas (incluido el punto de entrada, los activos y entornos afectados y los métodos) en cualquier puerto, protocolo o capa de su ecosistema, lo que le brinda una ventaja en la corrección y el análisis de causa raíz.
- Correlación y clasificación automatizados: la automatización impulsada por ML correlaciona datos y prioriza alertas, optimizando los flujos de trabajo de corrección de su equipo de seguridad al ayudarles a evitar falsos positivos y detectar amenazas reales en volúmenes de datos que nunca podrían analizar con soluciones de seguridad manuales.
- Operaciones más rápidas y eficientes: con una visión integral y centralizada de las amenazas, menos herramientas de seguridad para administrar y supervisar, y análisis automatizado, XDR reduce la complejidad operativa y libera a sus expertos para la búsqueda proactiva de amenazas y otras tareas valiosas.
Casos de uso de XDR
XDR admite tres casos de uso principales:
Triaje
Con el gran volumen de amenazas que atacan las redes empresariales actuales, incluso los profesionales de seguridad más capacitados no pueden mantenerse al día con las alertas, y mucho menos clasificar con rapidez y precisión los falsos positivos, priorizar las amenazas más críticas y responder. XDR utiliza ML y análisis avanzados para refinar los datos de amenazas de todo el ecosistema en una cantidad manejable de alertas de alta calidad.
Caza de amenazas
Las sofisticadas amenazas de la actualidad son extremadamente hábiles a la hora de ocultarse, lo que hace que la búsqueda de amenazas sea más importante y más difícil que nunca. Debido a que XDR ofrece visibilidad de todo su ecosistema junto con detección y correlación impulsadas por ML, puede identificar amenazas que las soluciones SIEM tradicionales por sí solas pasarían por alto.
Investigación
Las soluciones XDR brindan un contexto enriquecido para respaldar el análisis de la causa raíz, incluidos datos históricos y en tiempo real, lo que ayuda a su equipo de seguridad a comprender qué sucedió en un ataque y qué se necesita para detener ataques similares en el futuro.
XDR frente a. Otras tecnologías de detección y respuesta
Con tecnologías de detección y respuesta automatizada, las empresas pueden supervisar continuamente los sistemas para detectar, investigar y contener amenazas en el tráfico de la red y de las aplicaciones a medida que surgen. Utilizando tecnologías de automatización y aprendizaje automático, XDR puede priorizar, contener y eliminar esas amenazas en tiempo real.
Otras tecnologías de detección y respuesta incluyen:
Detección y respuesta de terminales(EDR), que puede identificar, priorizar y responder al malware y las amenazas avanzadas en los terminales y en las cargas de trabajo, pero carece de visibilidad en el resto del ecosistema.
Detección y respuesta de red (NDR), que centra sus capacidades de respuesta en ataques que se ocultan en el tráfico de la red e intentan evadir los cortafuegos de red.
Detección y respuesta administradas (MDR), que se basa en servicios proporcionados por un equipo de analistas de seguridad externos, en lugar de su propio personal.
NDR y EDR fueron revoluciones en los ámbitos de la seguridad de redes y terminales en su momento, pero los complejos ecosistemas de datos multicapa de la actualidad exigen una visibilidad y un análisis más coordinados, junto con una mayor precisión y velocidad, para mantenerse al día con el volumen y las técnicas sofisticadas de los ciberataques modernos.
Requisitos clave de XDR
Como ocurre con cualquier tecnología relativamente nueva, existen muchas perspectivas diferentes sobre lo que define la detección y respuesta extendidas. ¿Qué es exactamente lo que hace XDR? En esencia, XDR está:
- Basado en SaaS: básicamente, XDR se entrega como servicio en la nube. Esto proporciona importantes retornos en términos del coste de alojamiento y mantenimiento, pero también es clave para que XDR brinde protección efectiva, ya que las actualizaciones se pueden enviar instantáneamente a todos los clientes.
- Basado en agente: aunque XDR está basado en la nube, aún requiere un agente instalado en sus puntos finales físicos y virtuales para recopilar datos y realizar las funciones de un SIEM. Muchos agentes también realizan funciones antivirus y de protección de puntos finales que complementan la funcionalidad SaaS.
- Unificado: esta es la esencia de XDR. Al recopilar telemetría de cualquier fuente de datos y usarla para impulsar el análisis de comportamiento y las técnicas de detección avanzadas, XDR ofrece protección contra ransomware y otro malware avanzado mucho más allá de lo que pueden hacer los productos puntuales desconectados.
¿Cómo XDR apoya la seguridad zero trust?
Si su organización busca implementar zero trust (o perfeccionar su arquitectura zero trust existente), le conviene agregar XDR a su pila de seguridad entregada en la nube para aprovechar al máximo:
- Seguridad en la nube optimizada: implementar zero trust en un entorno multinube puede presentar algunos desafíos. XDR agiliza gran parte del proceso al consolidar cargas de trabajo en la nube en todos los entornos y respaldar una supervisión integral.
- Mejor visibilidad: XDR realiza análisis en tiempo real y análisis de seguridad centralizados en todo su entorno, lo que facilita que su organización implemente y aplique controles de seguridad zero trust.
- Automatización: XDR automatiza tareas clave de identificación, clasificación, búsqueda y respuesta, lo que reduce la carga de su equipo de seguridad. El análisis basado en IA y ML del comportamiento del usuario y de la red ayuda a brindar una seguridad más rápida y eficiente.
- Priorizar: zero trust supone todo puede ser una amenaza hasta que se demuestre lo contrario. XDR encaja perfectamente aquí: al utilizar correlación automatizada y análisis impulsados por ML para evitar abrumar a los equipos de seguridad con alertas, ayuda a optimizar los flujos de trabajo y reducir los tiempos de respuesta.
¿Cómo puede ayudar Zscaler?
Zscaler se integra con socios líderes del sector para combinar la plataforma nativa de la nube Zscaler Zero Trust Exchange™ con el poder de XDR. Nuestras alianzas XDR utilizan IA y aprendizaje automático avanzados para proporcionar información sobre amenazas de alta fidelidad y contexto para una detección y respuesta más rápidas y eficaces en todas las plataformas, lo que permite una visibilidad de extremo a extremo.
Obtenga más información sobre Zscaler y CrowdStrike Falcon XDR.
Obtenga más información sobre Zscaler y SentinelOne Singularity XDR.
Zscaler Zero Trust Exchange
Zscaler Zero Trust Exchange™ es una plataforma nativa de la nube construida sobre la confianza cero. Se basa en el principio de privilegios mínimos, por lo que establece la confianza a través del contexto, como la ubicación de un usuario, la postura de seguridad de su dispositivo, el contenido que se intercambia y la aplicación que se solicita. Una vez que se establece la confianza, sus empleados obtienen conexiones rápidas y fiables, dondequiera que estén, sin tener que estar ubicados directamente en su red. Zero Trust Exchange opera en 150 centros de datos en todo el mundo, lo que garantiza que el servicio esté cerca de sus usuarios, situado junto con los proveedores de nube y las aplicaciones a las que acceden.
Recursos sugeridos
Preguntas frecuentes
La detección y respuesta de terminales proporciona supervisión y detección continuos de datos de terminales y utiliza una respuesta automatizada para priorizar y contener amenazas.
Mientras que EDR se centra únicamente en la detección y protección de terminales, XDR proporciona supervisión, detección y resolución en todos los puntos de control de seguridad, incluidos el correo electrónico, las nubes, las redes y los servidores.
Tanto las soluciones XDR como las de gestión de eventos e información de seguridad (SIEM) extraen datos sobre amenazas de múltiples fuentes. Sin embargo, XDR utiliza medidas de seguridad avanzadas, mientras que los SIEM se limitan a enviar alertas de seguridad a los SOC. XDR puede ajustar de forma proactiva las defensas de la red y de los terminales para neutralizar las amenazas y, al mismo tiempo, notificar a los SOC.
XDR es una forma altamente sofisticada de supervisar y detectar amenazas en tiempo real, utilizando la automatización para filtrar los problemas más importantes y aligerar la carga de los equipos de seguridad.