Es Black Friday y el sistema de facturación se ha caído. Todo por lo que has trabajado, se está esfumando porque el negocio ha cerrado en este punto, justo cuando menos te lo puedes permitir. Has sido hackeado. Ese es el simple hecho. Ahora, ¿sabes quién lo hizo? ¿Sabes qué fue lo que se llevaron? ¿Sabes si todavía están en tu sistema? ¿Sabes de dónde vinieron? En última instancia, ¿puedes detener la hemorragia? Bueno, una solución llamada detección y respuesta extendida o XDR, podría ayudar con esto. ¿Qué es XDR y cómo funciona? Eso es lo que voy a explicar en este artículo. Antes que nada, la definición depende de a quién le preguntes. Por ejemplo, si le preguntaras a IDC, te dirían que implica recolectar telemetría de seguridad, información de seguridad, ejecutarla a través de un motor de análisis, que luego produce una detección de actividades maliciosas y, en última instancia, una respuesta a esas actividades. Forrester agrega a esa definición y dice que es una evolución de EDR. EDR significa detección y respuesta de endpoints. Es una capacidad que estaría en computadoras portátiles, computadoras de escritorio y sistemas similares, para bloquear eventos de seguridad. También añaden a la definición la búsqueda de amenazas y la noción de investigación. Es decir, buscar problemas de manera proactiva y luego responder de manera reactiva. Y luego, Gartner agrega aún más a la definición y dice que es una plataforma basada en la nube y que reduce la proliferación de herramientas de seguridad, la fatiga de alertas y, en última instancia, reduce los costos operativos. Eso es genial. Ahora, ¿cómo hacemos que un sistema haga todas esas cosas? ¿Cómo se ve realmente un sistema XDR? Bueno, resulta que podría verse así: tenemos muchos tipos diferentes de sistemas, como un sistema de endpoints, un EDR, que puede comunicarse con ellos, recuerda que mencioné eso antes, y el EDR hablaría con todas mis computadoras de escritorio, computadoras portátiles y cosas así, recopilaría información de ellas y la informaría. ¿Y qué más puedo tener en este sistema? Bueno, tengo una red, así que puedo tener un sistema de detección y respuesta de red. Y un NDR, como podrías haber adivinado. El NDR analiza la seguridad desde la perspectiva de la red. Luego, podríamos tener algo que llamamos sistema de gestión de información de seguridad y eventos, SIEM, el cual puede recopilar información de fuentes como una base de datos, una aplicación, otros aparatos de seguridad y componentes de seguridad. De hecho, un SIEM también podría recopilar información de un EDR y un NDR. Pero en este ejemplo, los dejaremos como sistemas pares separados solo para este ejercicio. Y luego, también podríamos tomar información relacionada con las amenazas. Esa es una alimentación que nos llega desde diversas fuentes que nos informa sobre lo que está sucediendo en el mundo de la seguridad en este momento. ¿Qué exploits se usan más activamente estos días que otros? Luego, lo que me gustaría hacer es llevar toda esa información y ponerla en un sistema de nivel superior. Ese es el XDR. Entonces, voy a tomar la información de mi EDR, de mi NDR, de mi SIEM, de la alimentación de inteligencia de amenazas y poner todas esas cosas aquí en el XDR, que tiene varios componentes. Uno de ellos es correlacionar. Tomará información de todos estos sistemas y los correlacionará para intentar darte una vista única de esto en lugar de muchas vistas diferentes. También agregará a esto la capacidad de analizar la información. Podríamos utilizar inteligencia artificial para aumentar nuestra capacidad de comprender cuál es la causa subyacente de la amenaza. También podríamos agregar al sistema una capacidad denominada UBA, análisis del comportamiento del usuario, que busca actividades anormales que ciertos usuarios están realizando y que no coinciden con sus grupos de referencia, por ejemplo. También podríamos agregar al sistema la capacidad de investigar. Eso es algo reactivo. Acabamos de ser hackeados. Vamos a salir y ver quién está haciendo esto y cuál es la extensión del daño. Eso es la parte de la investigación. ¿Y qué tal la caza de amenazas? Mencioné eso antes. Esta es la versión más proactiva. Es ir y ver qué podría estar sucediendo. En mi entorno, no tengo ningún indicador. No han sonado las alarmas, pero me pregunto si alguien está haciendo esto o aquello. Formulo una hipótesis y hago una investigación de manera proactiva, y eso también podría estar en esta plataforma. Y luego, en última instancia, la respuesta. Aquí es donde entra en juego la capacidad de un SOAR, seguridad, orquestación, automatización y respuesta, que nos permite gestionar casos, averiguar quién está haciendo qué a quién y qué acciones necesito tomar en última instancia para detener la hemorragia, para averiguar qué debo hacer para volver a estar operativo. Hemos utilizado cosas como un manual dinámico para guiar las actividades de los analistas de seguridad a través de todo este proceso. Ahora, estos sistemas también podrían agregar algunas otras cosas, dependiendo de tu definición. Podríamos agregar algo llamado gestión de superficie de ataque y hacer que se alimente en el sistema. También podríamos utilizar cosas como gestión de vulnerabilidades, cosas que buscan escaneos en nuestra red y nos dicen: «Ok, parece que aquí eres vulnerable. Esta es un área delicada que debes revisar». Todo esto, en última instancia, está diseñado para crear para un analista de seguridad en este nivel, un solo lugar donde puedo ir y gestionar todo esto. Y si lo hacemos bien, se convierte en un solo lugar. Si lo hacemos mal, se convierte en un solo lugar de dolor. Queremos hacer esto bien, hacer un XDR de la manera correcta y podrás mantenerte adelante del ataque. Esperemos evitar el escenario de hackeo del que hablé al principio del artículo y poder investigar cuando ocurra un ataque.
Resumen de la información del artículo
| Concepto | Descripción |
|---|---|
| XDR | Extended Detection and Response, una solución para detección y respuesta en ciberseguridad que recopila información de diferentes sistemas y la correlaciona para proporcionar una vista única y tomar medidas. |
| Componentes de un sistema XDR | EDR (Endpoint Detection and Response), NDR (Network Detection and Response), SIEM (Security Information and Event Management), inteligencia de amenazas y otras herramientas dependiendo de la definición. |
| Funcionalidades y características | Correlación de información, análisis de amenazas, análisis del comportamiento del usuario, investigación, caza de amenazas, automatización de respuesta y gestión de casos. |
| Beneficios | Reducción de costos operativos, simplificación de la gestión de seguridad, mejor visibilidad y capacidad para anticiparse a los ataques. |
Preguntas frecuentes (FAQs)
Pregunta: ¿Qué es XDR?
Respuesta: XDR significa Extended Detection and Response, una solución para detección y respuesta en ciberseguridad que recopila información de diferentes sistemas y la correlaciona para proporcionar una vista única y tomar medidas.
Pregunta: ¿Cuáles son los componentes de un sistema XDR?
Respuesta: Los componentes pueden incluir EDR (Endpoint Detection and Response), NDR (Network Detection and Response), SIEM (Security Information and Event Management), inteligencia de amenazas y otras herramientas dependiendo de la definición.
Pregunta: ¿Qué funcionalidades tiene un sistema XDR?
Respuesta: Un sistema XDR puede tener funcionalidades como la correlación de información, análisis de amenazas, análisis del comportamiento del usuario, investigación, caza de amenazas, automatización de respuesta y gestión de casos.
Pregunta: ¿Cuáles son los beneficios de implementar un sistema XDR?
Respuesta: Los beneficios incluyen la reducción de costos operativos, simplificación de la gestión de seguridad, mejor visibilidad y capacidad para anticiparse a los ataques.
Espero que este artículo haya sido útil para comprender qué es XDR y cómo funciona. Recuerda que la ciberseguridad es fundamental en el mundo actual, así que mantente informado y protegido. Si quieres aprender más sobre este tema y otros relacionados, te invito a visitar los artículos relacionados en nuestro sitio web. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!