El modelo actual para los riesgos de seguridad cibernética está roto. Consiste en adquirir e implementar una gran cantidad de herramientas independientes, cada una con su propia consola, para analizar logs o tráfico y detectar anomalías que podrían ser amenazas. En este modelo, depende de cada analista de seguridad comunicarse con otros analistas para determinar si la detección individual de cada herramienta (cada una de las cuales, por sí misma, puede parecer benigna), puede correlacionarse con otras detecciones de otras herramientas para revelar un ataque complejo.
Este modelo obliga a las empresas a crear pilas de seguridad complejas que constan de SIEM, SOAR, EDR, NDR y más, con el propósito de instrumentar la empresa, identificar amenazas, responder a las amenazas y administrar el riesgo. Adquirir todas estas herramientas y administrar sus licencias es complejo y costoso, y la correlación manual requerida para comparar las detecciones de cada herramienta deja muchos vacíos en la infraestructura de seguridad general.
A menudo, estos sistemas también bombardean a los analistas con falsos positivos, lo que provoca "fatiga de alerta" e insatisfacción laboral. Incluso las empresas que se declaran satisfechas con su SIEM y otras herramientas admitirán que la cantidad de tiempo y energía que han invertido en levantar una infraestructura de seguridad de múltiples herramientas no está dando los resultados requeridos.
El caso por XDR
XDR o Detección y respuesta extendidasSe ha convertido en una definición general para cualquier tecnología que realice tareas de detección y respuesta, ya que, en el acrónimo, X es en realidad una variable. Si bien X puede representar "Endpoint+" o "Network+", esto ignora las dificultades actuales de la empresa con herramientas aisladas, datos no correlacionados y la fatiga de alertas. El objetivo principal de XDR es abordar este problema, y por lo tanto, X debe significar "Todo". Todo, entonces, implica un enfoque de plataforma para cubrir toda la superficie de ataque mediante la detección y la respuesta.
Este enfoque de plataforma puede corregir el modelo actual fallido al convertir herramientas aisladas en un conjunto unificado, convertir datos no correlacionados en una representación correlacionada y dinámica de la superficie de ataque y transformar la fatiga de alertas en tranquilidad. La clave arquitectónica es cómo una tecnología logra este objetivo. Existen dos tipos de XDR Hoy: Abierto y Nativo.
Abierto vs. Nativo XDR
- Abrir XDR se entrega a través de una arquitectura abierta capaz de aprovechar las capacidades de telemetría y respuesta de las herramientas de seguridad existentes en toda la superficie de ataque
- Nativo XDR se entrega desde el conjunto de herramientas de seguridad de un solo proveedor que proporciona telemetría y respuesta en toda la superficie de ataque
Independientemente del enfoque arquitectónico de una XDR plataforma, debe cumplir los siguientes requisitos técnicos para ser considerada XDR:
- Implementabilidad – Arquitectura de microservicio nativa de la nube para escalabilidad, disponibilidad y flexibilidad de implementación
- La fusión de datos – Datos normalizados y enriquecidos en toda la superficie de ataque, incluida la red, la nube, los puntos finales, las aplicaciones y la identidad.
- La correlación – Detecciones correlacionadas de alta fidelidad a través de múltiples herramientas de seguridad
- Respuesta inteligente - Respuesta automática o con un clic desde la misma plataforma
Un error común sobre Abierto vs. Nativo XDR es que son tipos de mutuamente excluyentes XDR. No lo son. Un XDR La plataforma puede ser totalmente abierta y parcialmente nativa. Por ejemplo, una XDR puede tener algunas herramientas integradas de su proveedor mientras se integra abiertamente con las herramientas existentes de los otros proveedores. Esto permite una estrategia de seguridad componible, la capacidad de aprovechar las herramientas existentes al tiempo que permite al cliente eliminar algunas de ellas cuando y donde lo considere oportuno.
La composición de Open vs. Native XDR que una plataforma adopta en su enfoque es un medio para un fin: específicamente, cómo la plataforma realiza la detección y la respuesta en toda la superficie de ataque. Los compradores de XDR necesitan ver el enfoque arquitectónico como un medio para un fin y tomar la mejor decisión para su empresa.
El Ideal XDR Esta abierto
Habrá algunas empresas que no tendrán problemas para trasladar toda su pila de seguridad a un solo proveedor y adoptar un sistema cerrado Nativo XDR . También habrá algunas empresas a las que les importa menos cubrir toda la superficie de ataque y solo quieren detección y respuesta para sus puntos finales, por ejemplo. En este caso, deben seguir una Nativo basado en EDR XDR .
Sin embargo, para la mayoría de las empresas, Abrir XDR debe considerarse la máxima prioridad. ¿Por qué? Porque ningún proveedor podrá crear o adquirir las mejores herramientas de nube, endpoint, red, identidad, etc., por lo que una solución exclusivamente nativa... XDR La plataforma no será la mejor de su clase. Además, es muy probable que la empresa tenga ya invirtió un capital y un esfuerzo importantes en la implementación de las herramientas de seguridad existentes; no querrá abandonar esas inversiones, por lo que un Nativo XDR La solución no interactuaría con esas herramientas y no capturaría toda la superficie de ataque en esa empresa. Si una Abrir XDR tiene algunos atributos nativos para cubrir ciertas áreas de la superficie de ataque para empresas en crecimiento, excelente. Pero primero debe estar abierto.
Al final, si una empresa quiere definir y ejecutar una estrategia de seguridad componible y obtener todos sus datos, XDRLos requisitos técnicos se entregan a través de una plataforma, completamente Abrir XDR es la única forma realista de hacerlo.
