En publicaciones anteriores analizamos la importancia de los recursos EDR en el esquema de ciberseguridad de las organizaciones, viendo cómo los Endpoint Detection and Response resultaban claves para detectar y contrarrestar nuevas amenazas, para las que los antivirus tradicionales no están preparados, al enfocarse en las conocidas.
Destacamos lo esencial que era dotarse de herramientas EDR en una coyuntura en la que los ciberdelincuentes no paran de innovar en sus ataques, explotando aspectos como la vulnerabilidad de base referida de la protección antivirus convencional.
Pero, ahora bien, si nos vamos a la propia definición de la tecnología EDR, Endpoint Detection and Response, percibimos fácilmente su carácter de solución limitada, debido a que circunscribe su radio de acción a los puntos de conexión: ordenadores, portátiles, dispositivos móviles…
¿Qué pasa entonces con el resto del perímetro de la infraestructura tecnológica a guarecer? Una omisión bastante relevante, teniendo en cuenta el conocido modus operandi inherente a la intrusión sofisticada, que busca aprovechar brechas de seguridad en puntos no protegidos, como serían todos aquellos que quedan fuera de la cobertura EDR.
En este contexto es en el que entran en juego los sistemas XDR, cuya denominación Extended Detection and Response también anuncia sus propiedades, que favorecen una protección ampliada que va más allá de los endpoints para abarcar redes, las plataformas y aplicaciones en la nube, los servidores e incluso el correo electrónico corporativo.
¿Cómo funciona XDR?
Una solución XDR permite recopilar datos provenientes de todos los puntos que hemos visto (endpoints, redes, nube, correo, etc.), y analizar toda esa información desde una perspectiva unificada, para así tener una visión completa del cuadro en vez de tan solo unos cuantos retazos aislados. Es decir, permite detectar patrones o correlaciones que podrían pasar desapercibidos si cada punto se analizara de manera individual.
De este modo, no solo se extiende la vigilancia hacia la totalidad del perímetro en vez de limitarla a los endpoints, sino que además se pone en relación lo que pasa en las distintas partes, para detectar anomalías que puedan suponer una amenaza en ciernes y poder articular una respuesta precisa.
Con ello, se identifican más rápidamente patrones sospechosos, susceptibles de ser indicativos de un posible ataque, favoreciendo una alerta temprana a los equipos de seguridad, quienes tendrán una visión completa de los incidentes que les facilitará hacerse una idea inmediata de cuál es la situación general.
A consecuencia de todo lo anterior, se optimiza la automatización y la coordinación de la respuesta, haciéndose así también más diligente y eficiente la mitigación y remediación de amenazas, no solo su detección.
Capacidades de los sistemas XDR
Las soluciones XDR extienden la visibilidad y ayudan a comprender todo el contexto, dado que monitorizan el entorno completo desde las redes internas y la nube hasta el correo, sin ceñirse a los datos aislados de una parte limitada como hace EDR con los endpoints.
Además, posibilitan recopilar información de todos los puntos y almacenarla a largo plazo, para tener los datos de telemetría en un repositorio centralizado durante un periodo prolongado, con lo que se desactivan las estrategias sigilosas de algunos ciberataques, que buscan explotar la brecha de la caducidad de los registros o logs de los sistemas de detección tradicionales.
Asimismo, XDR aporta protección frente a las amenazas provenientes del tráfico interno, vulnerable igualmente a resultar comprometido, por mucho que las herramientas antivirus usuales se enfoquen en el externo.
Hablamos de un sistema que por la omni-visibilidad que tiene dentro de todo el perímetro interior permite detectar a las firmas que se hayan podido comprometer, o el uso fraudulento de credenciales para acceder a los sistemas de información o redes internas.
También, más allá de las capacidades descritas para identificar amenazas desconocidas, las tendría similarmente para actuar con base a un registro sobre incidentes previos, al integrarse en una red global de intercambio de información, que facilita a las herramientas XDR detectar patrones concomitantes de ataque.
1-Integración de IA en sistemas XDR
Como se puede intuir, la Inteligencia Artificial tiene ya un papel fundamental en las herramientas que ofrecen una detección y respuesta extendida frente a las amenazas. Cuando estas entrañan un alto grado de sofisticación y se basan en técnicas de ataque inéditas hace falta un análisis profundo de las telemetrías, para desentrañar los patrones anómalos que se puedan estar dando en cualquier punto del entorno tecnológico de la organización. Unas singularidades que perfectamente pueden pasar inadvertidas a la vigilancia humana, y aun a la automática sustentada en el reconocimiento de amenazas conocidas.
Además, no solo se trataría de establecer relaciones lógicas inusuales o incluso contraintuitivas para poder identificar posibles ataques en ciernes, que de otra forma pasarían desapercibidos. También, entrarían en liza las capacidades de la Inteligencia Artificial para procesar grandes volúmenes de datos, tantos como los que pueden generar múltiples endpoints, redes, aplicaciones en la nube, servidores, correos, etc.
Así, vendrían al rescate desde los algoritmos de aprendizaje automático sobre amenazas hasta las capacidades de análisis contextual, para detectar actividades sospechosas a lo largo de todo el perímetro de la infraestructura tecnológica, y hacerlo además de forma precisa, para identificar correctamente las que entrañen un peligro real, evitando las falsas alarmas.
2-Articulación de planes de respuesta con XDR
Al margen de mejorar y extender la detección, los sistemas XDR facilitan además la articulación de respuestas a incidentes, ya sean automatizadas, semi-automatizadas o manuales, en función del tipo de alerta que se dé. Con independencia de su naturaleza, siempre supondrá una ayuda clave para reducir el tiempo de reacción y simplificar el trabajo a los equipos de seguridad.
Adicionalmente, permite la creación de cuadernos de estrategias, conjuntos de acciones correctivas que el personal de ciberseguridad puede emplear para automatizar la orquestación de la respuesta a amenazas específicas, tanto si es para ejecutarlas manualmente en ciberataques dinámicos o automáticamente en aquellos que se articulan con un patrón preestablecido.
Integración de herramientas XDR en el esquema de ciberseguridad de la empresa
Las organizaciones pueden elegir entre tres tipos principales de XDR, cada uno con características adaptadas a diferentes necesidades de integración y gestión.
Por un lado, estaría una XDR nativa, que ofrece una integración entre herramientas de protección y fuentes de datos gestionados por un único proveedor, lo que facilita una detección y respuesta más eficiente y reduce la carga de trabajo del equipo de seguridad de la organización, al hacer reposar sobre un servicio externo la gestión unificada de este ámbito y la óptima integración en el conjunto del esquema de ciberseguridad.
Otro enfoque puede ser una XDR híbrida abierta, para empresas que tienen una infraestructura de seguridad heterogénea, y necesitan integrar las nuevas herramientas con soluciones preexistentes que proceden de distintos proveedores. De hecho, en estos casos sería la única opción viable, conllevado eso sí un gran esfuerzo a asumir por la organización, a la hora de realizar la integración y gestionar el entorno resultante.
Por último, estaría la XDR administrada (MDR,detección y respuesta administradas), un modelo con el que el proveedor externo gestiona tanto la tecnología como la supervisión de amenazas, ofreciendo una cobertura de seguridad integral. Un servicio de alto valor añadido que solo pueden ofrecer compañías como ITRES; que cuenta con el know how necesario en el ámbito SIEM+SOAR y en integración EDR, está aliada con los mejores fabricantes de tecnología de ciberseguridad del mercado y dispone de un data center propio operado por profesionales especializados 24/7/365.
