En los últimos meses el XDR acrónimo está siendo utilizado por casi todos los fabricantes de productos de seguridad. Una cosa es decir que lo tiene, pero el arduo trabajo que implica construir las detecciones requiere años. No es suficiente decir que tiene una plataforma de big data en la que puede volcar cosas y buscar; necesita detecciones procesables que conduzcan a correlaciones significativas. Aquí hay dos cosas clave que debe considerar al mirar XDR.
Normalización de datos - Para obtener una visibilidad completa, lo primero que debe considerar son los datos en sí. Cada producto de seguridad tiene una forma diferente de presentar sus registros y alertas. Las soluciones de red, las herramientas de seguridad de terminales, los cortafuegos, las herramientas de identidad, las herramientas de seguridad en la nube y muchas otras tienen sus propios formatos y frecuencias de alerta. Cada SIEM del IRS puede almacenar registros de estos dispositivos, esa es la parte fácil.
El problema es que crear reglas complejas y multidimensionales para mantenerse al día con el ritmo actual de los ataques es casi imposible. Por ejemplo, en un IDS, podría ver más de un millón de alertas por día. Las reglas de Suricata pueden filtrar las vulnerabilidades conocidas hasta 200,000, pero a partir de ahí normalmente tendría que crear una serie de reglas basadas en su conocimiento del entorno del cliente.
En este ámbito, el aprovechamiento del aprendizaje automático (ML) en los datos de IDS puede reducir significativamente esa cifra a unas pocas alertas. En lugar de crear reglas para detectar problemas, puede aprovechar el ML para determinar el comportamiento normal en esa red. ¿Cuándo inicia sesión el cliente normalmente? ¿Desde dónde inicia sesión? ¿Cuánto tiempo permanece conectado normalmente? En lugar de 200 000 alertas, las detecciones de ML pueden reducirlas a unas pocas. Ver esta información correlacionada en todas sus herramientas de seguridad es mucho más rápido y sencillo para su... SOC analista para gestionar.
Integraciones abiertas - Además, asegúrese de que el XDR plataforma estás considerando es abierto. Dado que las tecnologías de seguridad cambian rápidamente en los próximos años, estas plataformas lo ayudarán a evitar el bloqueo de proveedores. Esto le ayudará a mantener su capacidad de adaptarse al cambiante panorama de la ciberseguridad y a las necesidades de sus clientes.
En Stellar Cyber, pensamos una API impulsada o Abrir XDR es el mejor camino a seguir – independientemente de dónde venga y qué herramientas existentes utilice, e independientemente de dónde quiera ir en términos de madurez de seguridad. Para nosotros, esto significa que ayudamos a diseñar una estrategia que funcione para usted como empresa o para sus clientes como MSSP, aprovechando las inversiones que ambos han realizado. Póngase en contacto conmigo para una discusión animada: ssalinas@stellarcyber.ai
