XDR: qué deben saber los directivos
¿Cuál es el (verdadero) significado de «XDR»?
La tecnología de detección y respuesta ampliadas (XDR, por sus siglas en inglés), término acuñado por Nir Zuk en Palo Alto Networks en 2018, surgió para responder a las dificultades que planteaban los sistemas inconexos de análisis de datos orientados a garantizar la seguridad. Estos sistemas antiguos, que se centraban únicamente en un tipo de dispositivo o área, como el endpoint, la red o el comportamiento del usuario, pasaban por alto el contexto y los indicadores de otros ámbitos que habrían permitido detectar riesgos. La tecnología XDR analiza todas estas áreas de interés, reuniéndolas en una plataforma holística que entiende todos los datos implicados en un evento para proporcionar procesos de seguimiento y corrección en todo el entorno mientras el centro de operaciones de seguridad (SOC, por sus siglas en inglés) responde a cualquier evento que sea malicioso o suponga un riesgo.
¿Cómo surge la tecnología XDR?
Al observar los problemas de visibilidad que tenían las empresas y lo difícil que les resultaba saber qué eventos de seguridad importantes se producían en sus entornos, Palo Alto Networks constató que los productos existentes en el mercado, que funcionaban de forma independiente y se centraban únicamente en áreas concretas, no cubrían las necesidades de las empresas, es decir: contar con una cobertura tan amplia como la que ofrecen las plataformas unificadas. Para responder a esta necesidad, se creó la tecnología XDR, que conecta la información de todas las áreas de una infraestructura de TI empresarial.
Al poco tiempo, se volvió sumamente importante incluir también un motor de aprendizaje automático capaz de correlacionar esta cantidad ingente de datos sin procesar para garantizar que a los analistas solo se les comunicasen los eventos significativos y que no se viesen inundados de alertas inútiles o irrelevantes. El concepto de «ampliadas» contenido en el significado de «XDR» es clave en esta filosofía, consistente en ampliar la detección y la respuesta a todas y cada una de las operaciones de TI. Para demostrarlo, Palo Alto Networks ha creado un mapa de su visión que muestra cómo surgió la tecnología XDR y cómo se prevé que evolucione en el futuro.
¿Por qué es importante la tecnología XDR para la ciberseguridad?
Al pasar de contar con unos conjuntos de datos inconexos para los endpoints, las redes y las amenazas a disponer de una sola plataforma que permite visualizar en un mismo lugar todos esos datos y muchos más, cambia radicalmente la capacidad de las empresas de comprender todas sus operaciones de seguridad y sus recursos de TI. Tener una visión unificada reduce, además de la posibilidad de pasar por alto eventos importantes, la cantidad de falsos positivos y negativos debidos a la ausencia de contexto, la falta de competencias, la necesidad de agregar datos de forma manual y las tareas de elaboración de informes. Al combinar todos estos conjuntos de datos y analizarlos con sistemas de aprendizaje automático, ha cambiado drásticamente el modo en que las empresas afrontan la evolución de la ciberdelincuencia (en sus inicios, protagonizada por individuos hacktivistas, después por empresas de pleno derecho y, finalmente, por entidades gubernamentales), por un lado, y de los ataques, que son cada vez más complejos, por el otro.
¿Qué se está diciendo de la tecnología XDR?
En cuanto a la reacción del mercado ante la idea de la tecnología XDR, hemos observado que numerosos proveedores adoptan el término a regañadientes y hacen lo imposible por presentar sus productos de detección y respuesta en el endpoint, detección y respuesta en la red y análisis del tráfico de red (EDR, NDR y NTA, respectivamente, por sus siglas en inglés) como si fuesen XDR. Muchos proveedores han rediseñado su interfaz de usuario o su experiencia de usuario de modo que toda la información aparezca como «unificada», pero sin haber cambiado en realidad la aplicación en sí para procesar correctamente todos los datos de todas las fuentes, con lo que se limitan a mostrar los flujos de datos aislados en una misma vista. Además, el aumento de nuevos actores que se centran en lograr una visibilidad profunda pero sin cubrir todos los componentes que forman una infraestructura de TI también deja lagunas en la información que presentan. Por último, ocurre algo aún más grave: la ausencia de automatización mediante aprendizaje automático hace que las empresas se vean inundadas de alertas a las que no pueden prestar la debida atención o que se encuentren con datos incompletos que no permiten a los analistas comprender toda la cadena de eventos que ha provocado un incidente determinado.
Nuestro consejo: ¿qué deben tener en cuenta los directivos para adoptar la tecnología XDR?
El concepto de XDR se centra en dos temas principales que deben ir de la mano: 1) hay que reunir todos los flujos de datos y correlacionarlos para comprender un evento; y 2) tiene que existir algún sistema para determinar la gravedad de un evento automáticamente y decidir si es necesario que intervenga un analista para estudiarlo más a fondo. Ambos puntos son imprescindibles y deben funcionar en tándem para garantizar el éxito de los programas de defensa de ciberseguridad actuales.