El XDR generalmente se describe como una evolución natural del EDR, con capacidades de defensa de alto nivel que se extienden más allá del endpoint de comunicación para incluir la red, la nube, el servidor y otras capas.
Esto no significa que el EDR ya no tenga uso o razón de ser, debido al XDR, sino que la realidad es mucho más compleja.
La función del endpoint detection and response (EDR) como sensor de comunicación de punto final (entre más cosas) dentro de una solución de extended detection and response (XDR), seguirá siendo esencial dentro de cualquier solución de seguridad empresarial integrada, unificada y eficaz.
El SIEM (información de seguridad y la gestión de eventos) recopila datos de los registros de ciberseguridad, y cuando lo hace se supone que debe identificar los puntos ciegos, reducir el ruido de las alertas, así como simplificar la detección y respuesta a ciberataques complejos.
Incluso así, no han estado a la altura de estas promesas; lo mejor ahora es la detección y las respuestas ampliadas. De esta forma, las plataformas XDR pueden mejorar significativamente la visibilidad, el análisis y la respuesta a riesgos de seguridad.
Dentro de la lucha de las empresas por identificar y remediar los ciberataques, han notado que el enfoque tradicional de recopilar un grupo de herramientas en silo como SIEM, para analizar el tráfico en redes, servidores, puntos finales, nube y partes de la infraestructura de seguridad, no están funcionando.
Estos SIEM recopilan datos desde firewalls, detección y EDR, agentes de seguridad de aplicaciones en la nube… es una buena idea que una sola herramienta recopile datos de toda la superficie de ataque y los agregue para su detección, análisis y solución, aunque hay ciertos problemas.
Se necesitan tareas manuales como, por ejemplo, transformar los datos para crear el contexto para los mismos, y hay tantos que los analistas tienen dificultades con los ataques complejos: no pueden verlos debido al volumen de datos y al esfuerzo que se necesita para correlacionar manualmente detecciones separadas.
Por esto, no es de extrañar que las empresas con SIEM tarden semanas o meses en identificar ataques complejos.
El XDR es la evolución de esta idea detrás del SIEM, en términos de recopilación de datos de toda la infraestructura. Lo mejor es garantizar que se pueda monitorear toda la superficie de ataque desde una sola consola.
Es una plataforma de operaciones de seguridad cohesiva con una estrecha integración de muchas aplicaciones de seguridad en una interfaz. Esta plataforma ingiere los datos de SIEM, NDR, EDR, UEBA, entre otras.
A diferencia de un SIEM, normaliza estos conjuntos de datos dispares en un formato común, y este se puede buscar de forma sencilla para que los analistas puedan profundizar en las alertas para detectar los ataques, además de que utiliza aprendizaje automático e IA (inteligencia artificial) para correlacionar las detecciones y emitir alertas.
«Reduce significativamente los falsos positivos».
Como ya mencionamos, es bien sabido que las amenazas «sigilosas» evaden la detección, ocultándose entre los silos de seguridad, propagándose conforme pasa el tiempo.
El XDR rompe con estos silos, usando un enfoque holístico para la detección y respuesta; recolecta y, de forma automática, correlaciona datos a lo largo de múltiples capas de seguridad, como: correos electrónicos, endpoints, servidores, workloads en la nube y las redes.
El análisis automatizado de este superconjunto de datos enriquecidos te garantiza una rápida detección de ciberamenazas y una mejora en los tiempos de investigación y respuesta a través de análisis de seguridad.
Los analistas de ciberseguridad, gracias a esto, están equipados para hacer más y pueden tomar acción rápidamente por medio de las investigaciones.
El objetivo del XDR es reducir la dispersión de productos, la fatiga de alertas, los desafíos de integración y los gastos operativos, y es especialmente atractivo para los equipos de operaciones de seguridad que se esfuerzan en gestionar las soluciones de primer nivel o por aprovechar una solución SIEM o SOAR.
También te aporta muchas ventajas:
