¿Qué es la tecnología de detección y respuesta extendidas (XDR)?

La tecnología de detección y respuesta extendidas (XDR) es una consolidación de herramientas y datos que amplía la visibilidad, el análisis y la respuesta en puntos de acceso, cargas de trabajo, usuarios y redes.

La XDR unifica las prestaciones de seguridad para puntos de acceso y cargas de trabajo gracias a una visibilidad de las redes y la nube más importantes que reduce los puntos ciegos, detecta las amenazas más rápido y automatiza la corrección mediante información contextual fidedigna en estos dominios.

«SOC preparado para el futuro: Uso de XDR para unificar la visibilidad y el control»

DESCARGAR EL DOCUMENTO TÉCNICO

ESG: «The Impact of XDR in the Modern SOC»

DESCARGAR EL LIBRO ELECTRÓNICO

¿Cómo funciona la XDR en la seguridad?

Fundamentalmente, la XDR es una consolidación de herramientas y datos, y representa un gran avance en las funciones de seguridad empresariales. Dado que la XDR tiene acceso a los datos sin procesar recopilados en todo el entorno, puede detectar a los ciberdelincuentes que utilizan software legítimo para acceder al sistema, algo que el software de gestión de información y eventos de seguridad (SIEM) a menudo no puede hacer. La XDR lleva a cabo análisis y correlación automatizados de los datos de actividad, lo que permite a los equipos de seguridad contener las amenazas de forma más eficaz. Por ejemplo, puede ampliarse para incluir detecciones, desplazamiento lateral, conexiones anómalas, balizas, robo y distribución de elementos maliciosos en la red.

Al igual que la tecnología de detección y respuesta en terminales (EDR), la tecnología de detección y respuesta extendidas (XDR) responde a la amenaza para contenerla y eliminarla. Sin embargo, la mejor capacidad de recopilación de datos y de integración con el entorno de la XDR le permite responder con mayor eficacia ante un activo afectado. Las plataformas de XDR real proporcionan la visibilidad y el contexto integrales que los analistas de seguridad necesitan para responder a las amenazas de forma específica y eficaz. Esta respuesta personalizada ayuda a contener no solo la amenaza en sí, sino también el impacto de la respuesta en los sistemas; por ejemplo, reduciendo el tiempo de inactividad en los servidores esenciales.

La XDR consta de tres partes: telemetría y análisis de datos, detección, y respuesta.

Telemetría y análisis de datos: la XDR supervisa y recopila datos en múltiples capas de seguridad, que incluyen los terminales, la red, el servidor y la nube. Utiliza el análisis de datos para correlacionar el contexto de miles de alertas de esas capas con el fin de mostrar un número menor de alertas de alta prioridad, una medida que ayuda a no abrumar a los equipos de seguridad.
Detección: la visibilidad superior de la XDR le permite cribar las alertas e informar sobre las que requieren una respuesta. Esa misma visibilidad le permite crear valores de referencia para el comportamiento normal dentro de un entorno, lo que hace posible detectar las amenazas que utilizan software, puertos y protocolos, además de investigar el origen de la amenaza para evitar que afecte a otras partes del sistema.
Respuesta: al igual que la EDR, la XDR tiene la capacidad de contener y eliminar las amenazas que detecta, así como de actualizar las políticas de seguridad para evitar que se vuelva a producir una vulneración similar. Pero a diferencia de la EDR, que realiza esta función solo en los terminales y las cargas de trabajo, la XDR va más allá de la protección de los terminales y responde a las amenazas en todos los puntos de control de seguridad que abarca, desde la seguridad de los contenedores hasta las redes y los servidores.

¿Qué ventajas ofrece la XDR?

Las funciones de la XDR, frente a la EDR, le otorgan varias ventajas tangibles para proteger el entorno de TI de una organización. Entre estas ventajas se incluyen las siguientes:

Mayor visibilidad y contexto: a diferencia de la EDR (que se limita a los terminales y las cargas de trabajo) y los servicios de seguridad de terceros (que a menudo tienen una vista limitada), la XDR proporciona una vista completa e integral del entorno de seguridad. Permite a los analistas de seguridad ver las amenazas (incluso las que utilizan software, puertos y protocolos legítimos para acceder) en cualquier capa de seguridad, así como la manera en la que se produjo un ataque, el modelo, el punto de entrada, quién más se vio afectado, dónde se originó la amenaza y cómo se propagó. Este contexto adicional (así como los análisis necesarios para entenderlo) es crucial para responder rápidamente a las amenazas.
Priorización: los equipos de TI y de seguridad suelen tener dificultades para atender las miles de alertas que generan sus servicios de seguridad. Las funciones de análisis y correlación de datos de la XDR les permiten agrupar las alertas relacionadas en el marco de trabajo de MITRE ATT&CK, priorizarlas y mostrar solo las más importantes.
Automatización: el uso de la automatización por parte de la XDR acelera la detección y respuesta, y elimina los pasos manuales de los procesos de seguridad, lo que permite a los equipos de TI gestionar un gran volumen de datos de seguridad y llevar a cabo procesos complejos de forma repetible.
Eficiencia operativa: en lugar de ofrecer un conjunto fragmentado de herramientas de seguridad, la XDR proporciona una visión integral de las amenazas en todo el entorno. Ofrece una recopilación de datos y una respuesta centralizadas que se integran completamente en el entorno y en el ecosistema de seguridad más amplio.
Detección y respuesta más rápidas: todas estas ventajas componen una situación de seguridad más sólida y eficaz. Gracias a su eficiencia añadida, la XDR puede detectar amenazas y responder ante ellas con mayor rapidez, algo fundamental en el panorama de seguridad actual.
Respuestas más sofisticadas: la EDR tradicional a menudo responde a una amenaza poniendo en cuarentena el terminal afectado. Esta solución funciona cuando ese terminal es un dispositivo de usuario, pero podría suponer un problema si un servidor esencial está infectado. La mayor visibilidad y sofisticación de las funciones de la XDR le permiten adaptar la respuesta según el sistema en cuestión y aprovechar otros puntos de control para minimizar el impacto general.

¿Cuáles son los casos de uso de la XDR?

La persecución de amenazas: aunque es probable que ya haya amenazas en cualquier red, a muchos equipos de seguridad les cuesta encontrar el tiempo para perseguir amenazas de manera proactiva. Las funciones de telemetría y automatización de la XDR permiten que gran parte de este trabajo se realice de forma automática, lo que alivia significativamente la carga de los equipos de seguridad y les permite llevar a cabo la persecución de amenazas junto con sus otras tareas, interviniendo solo cuando es necesario.
La clasificación: una de las funciones más importantes del equipo de seguridad es priorizar o clasificar las alertas, y responder rápidamente a las más importantes. La XDR ayuda a cribar los falsos positivos utilizando potentes técnicas de análisis para correlacionar miles de alertas y obtener un pequeño número de alertas de alta prioridad.
La investigación: la amplia recopilación de datos, la mayor visibilidad y el análisis automatizado de la XDR permiten a los equipos de seguridad determinar rápida y fácilmente dónde se originó una amenaza, cómo se propagó y qué otros usuarios o dispositivos podrían estar afectados. Esta información es fundamental tanto para eliminar la amenaza como para reforzar la red frente a amenazas futuras.

¿Cuáles son los errores de la XDR que debería evitar?

La XDR es una potente estrategia de seguridad, pero, para sacar partido a todas sus ventajas, es importante elegir una solución que aproveche al máximo sus funciones. Al elegir una plataforma, tenga en cuenta los siguientes problemas:

Falta de integración: la XDR solo es eficaz cuando está completamente integrada en el entorno de TI. Las integraciones complejas que son difíciles de mantener podrían restar tiempo a los equipos de TI y hacer que la solución XDR sea menos efectiva.
Automatización insuficiente: la automatización es una de las funciones más potentes de la XDR, por lo que una plataforma eficaz debe poder adaptarse a las condiciones actuales y llevar a cabo una respuesta específica que vaya más allá de tan solo bloquear el tráfico hacia el dispositivo afectado.
Complejidad operativa: una solución de XDR útil debe ser coherente y resultar accesible para los equipos de seguridad y de TI. De lo contrario, el tiempo que gane su equipo al implementarla se verá contrarrestado por el tiempo y el esfuerzo que tendrán que dedicar a configurarla y aprender a usarla.

¿Qué es la detección y respuesta en ciberseguridad?

La tecnología de detección y respuesta utiliza métodos de supervisión continua de los sistemas en tiempo real, para detectar e investigar posibles amenazas. Posteriormente, un sistema de detección y respuesta utiliza la automatización para contener y eliminar esas amenazas.

En la actualidad, existen varios tipos de soluciones de detección y respuesta, entre las que se incluyen las siguientes:

Detección y respuesta en los terminales (EDR): la EDR supervisa y responde a las amenazas en los terminales. Fue el primer tipo de sistema de detección y respuesta y, en comparación con las tecnologías de seguridad anteriores, permite una mayor visibilidad y una respuesta más rápida a las amenazas. También cuenta con una detección mejorada de programas maliciosos que le permite detectar amenazas más sofisticadas, como los programas maliciosos sin archivos. Sin embargo, su alcance se limita a la seguridad de los terminales y las cargas de trabajo, lo que dificulta la correlación de amenazas en un entorno complejo.
Detección y respuesta de red (NDR): la NDR busca amenazas dentro de la red y, cuando detecta una, implementa una respuesta. Este tipo de detección y respuesta se centra en la red interna, lo que permite a los equipos de seguridad ver las amenazas que han vulnerado el perímetro. La NDR debe utilizar una combinación de tecnologías que incluyen análisis del tráfico de red (NTA), sistemas de detección y prevención de intrusiones (IDS/IPS) y entornos de pruebas de red con aprendizaje automático supervisado y no supervisado para distinguir entre actividades maliciosas y benignas más allá del terminal.
Detección y respuesta gestionadas (MDR): la MDR se ejecuta como un servicio externalizado, en el que unos profesionales externos se encargan de la detección y respuesta en los sistemas de una organización, a menudo mediante herramientas de la EDR y la NDR. Puede tratarse de una buena opción para las organizaciones que no tienen la experiencia o los recursos internos para poner en funcionamiento las herramientas de detección y respuesta. A diferencia de otros servicios de seguridad externalizados, como los proveedores de servicios de seguridad gestionados (MSSP), los servicios de detección y respuesta gestionadas (MDR) se centran en detectar las amenazas más recientes y en responder a las que se encuentren en los terminales, las cargas de trabajo y dentro de la red.

¿Qué diferencia hay entre la XDR y la EDR?

La XDR extiende las funciones de la EDR a todas las capas de seguridad del entorno: cargas, dispositivos, usuarios y redes.

En lugar de ofrecer un único punto de vista (como la EDR), la XDR permite aplicar la telemetría y el análisis del comportamiento en múltiples capas de seguridad. De este modo, los equipos de seguridad obtienen una visión global.

Los ciberdelincuentes no limitan sus ataques a una sola capa de seguridad, y los equipos de seguridad tampoco pueden permitirse limitar su visión a una sola capa. La EDR ofrece a los profesionales de la seguridad una visibilidad de los terminales que podrían estar en peligro. Sin embargo, esta visibilidad no es suficiente cuando un ataque se ha desplazado por la red y a otros sistemas para cuando el equipo de seguridad lo detecta. Aquí es donde entra en juego la XDR. Al proporcionar una visión integral de la actividad en todo el sistema que sortea las deficiencias de visibilidad, la XDR permite a los equipos de seguridad comprender de dónde proviene una amenaza y cómo se propaga por el entorno con el objetivo de eliminarla. Dicho de otro modo, la XDR ofrece mejores funciones de análisis y correlación, además de un punto de vista integral.

Recomendamos

Inteligencia para la detección de amenazas

El 73 % de las empresas actuales usan dos o más nubes públicas. El entorno multinube acelera la transformación digital, pero supone más complejidad y riesgo.

VMware Cross-Cloud™ Services permite a las empresas lograr entornos multinube con seguridad y flexibilidad empresariales.

Anywhere Workspace

Plataforma de aplicaciones

Infraestructura de nube y perimetral

Gestión de la nube

Hipervisor de escritorio

Red y seguridad

Ejecute VMware en cualquier nube, entorno y lugar

En nubes híbridas y públicas

En la nube privada y la HCI

Soluciones

Por sector

Gestione su entorno multinube

Para los clientes

Para los partners

Colabore con partners en beneficio de los clientes

Herramientas y formación

Servicios

Soporte

Marketplace

Blogs y comunidades

Clientes

Eventos

«SOC preparado para el futuro: Uso de XDR para unificar la visibilidad y el control»

ESG: «The Impact of XDR in the Modern SOC»

Productos y soluciones relacionados