XDR: la clave para la seguridad de tu empresa

Por: Yair Lelis / Cisco Systems

¡Hola! Hoy tenemos la oportunidad de hablar sobre un tema de actualidad como lo es XDR de una forma breve pero concisa… ¿qué está sucediendo con este tema y por qué es tan relevante para el mercado y la ciberseguridad?

Hagamos un poco de memoria para entender mejor el origen y evolución de este concepto…

Inicialmente la evolución natural de un antimalware / antivirus nos llevó hacia el concepto de EDR (Endpoint Detection and Response) y a partir de éste descubrimos diversos retos en su integración hacia otras plataformas de seguridad como lo son: soluciones complementarias en el endpoint, email, nube, red, etc., ocasionando con esto una complejidad añadida para detectar y responder adecuadamente; de ahí que la industria se viera en la privilegiada necesidad de innovar y acuñar un concepto mucho más ambicioso como lo es el actual: Extended Detection and Response (XDR).

Adicionalmente, para hacer efectivo el término “Extended” tuvimos que evolucionar de igual forma la antigua recolección manual de logs o bitácoras provenientes de diferentes plataformas de seguridad apoyadas en un SIEM (correlacionador de eventos) en donde esencialente podemos agregar toda esa información y hacer una búsqueda de indicadores de compromiso, normalmente conocidos como IOCs (conjunto de datos sobre un objeto o una actividad relacionada a un acceso no autorizado)

Ahora bien, habiendo tal cantidad de y diversidad de logs, resulta complicado para los equipos operativos seguir dependiendo de búsquedas artesanales para obtener IOCs, ya que es indispensable que una vez encontrados, esos indicadores se deben convertir en algo accionable para la protección del negocio. Revisemos de forma general el paso a paso de esta “travesía”:

1. Analistas de ciberseguridad revisan logs de diferentes plataformas con la ayuda de herramientas como un SIEM.

2. Una vez consolidados, se hace una búsqueda para encontrar posibles IOCs.

3. Se define un playbook y un workflow determinado para que cuando se encuentre cierto IOC, se accione una respuesta.

Entonces, mejor imaginemos todos estos procesos unificados en una misma plataforma tecnológica que pueda automatizar la respuesta ante incidentes. Esto es el poder de SecureX o como decimos en Cisco… SecureX and relax.

¿Pero, qué es SecureX? Es la plataforma que hace posible no sólo la integración de las diferentes soluciones de Cisco Secure, sino que además es capaz de integrar soluciones de terceros en un ambiente abierto. Además, podemos tener acceso a playbooks / workflows pre-definidos o bien crear nuevos de acuerdo a las necesidades del negocio y así lograr una respuesta automatizada.

No utilizamos logs, pero sí que los integramos, o sea que tomamos lo mejor de ambos mundos:

+

=

 

Hoy día nuestras soluciones tradicionales como Secure Firewall, Tetration o Stealtwatch pueden crear incidentes en SecureX, y de ahí la importancia de entender el termino de XDR como un todo.

Entonces ya sabiendo todo esto, ¿de qué va XDR?

XDR tiene como finalidad proteger al negocio ante cualquier vector de ataque, recopilando y correlacionando automáticamente la información en múltiples capas o plataformas de seguridad, cuya integración hace posible una detección ante amenazas más rápida y mejora sustancialmente los tiempos de investigación y respuesta a través de la automatización de estos procesos.

SecureX… una experiencia coherente e integrada:

  • Automatiza las tareas rutinarias mediante flujos de trabajo preconstruidos que se alinean con los casos de uso comunes.
  • Detecte, responda y recupere información más rápido que nunca.
  • Acelera la investigación de amenazas y la gestión de incidentes reuniendo y correlacionando inteligencia global en una sola vista.
  • Genera un inventario completo de dispositivos con la conciencia contextual necesaria para identificar brechas en la cobertura y simplificar las investigaciones de seguridad.

Con todo esto, concluyo enfatizando que la automatización debe ser buscada como parte fundamental de XDR y, en consecuencia, de SecureX. Con visibilidad y monitoreo unificados, incluso en el SOC, nuestros clientes ganan tiempo valioso y mejoran su capacidad para reaccionar ante incidentes de ciberseguridad, algo esencial en las amenazas del presente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *