¿Qué es la detección y respuesta extendidas (XDR)?
A medida que la infraestructura en la nube y el trabajo remoto se vuelven más frecuentes, solo una plataforma integrada como Extended Detection and Response (XDR) puede proporcionar la visibilidad y la mitigación automatizada necesarias para todos los activos.
El panorama de las amenazas cibernéticas está evolucionando y expandiéndose rápidamente. En respuesta, muchas organizaciones están trabajando para fortalecer sus capacidades de seguridad para que puedan detectar y responder de manera efectiva y eficiente a ataques únicos, sofisticados y rápidos.
El enfoque más común para una plataforma de seguridad es un enfoque “en capas”, en el que una organización implementa múltiples soluciones, incluido el descubrimiento y respuesta de puntos finales (EDR), el análisis de tráfico de red (NTA) y la administración de eventos e información de seguridad (SIEM), para implementar la defensa en profundidad en una variedad de plataformas diferentes (escritorios, nube, IoT, móvil, etc.). Si bien este enfoque puede ser efectivo para detectar y responder a las amenazas cibernéticas, también tiene sus limitaciones.
XDR (Extended Detection and Response) sigue un enfoque diferente. En lugar de un enfoque puramente reactivo de la seguridad, XDR permite a una organización protegerse proactivamente de las amenazas cibernéticas al proporcionar visibilidad unificada a través de múltiples vectores de ataque.
Visibilidad de datos unificada e integrada
La mayoría de las organizaciones se enfrentan a una avalancha de datos de seguridad. Si bien es cierto que no puede proteger lo que no ve, sentirse abrumado por demasiadas alertas de seguridad inutilizables tiene el mismo resultado final. Los equipos de seguridad a menudo pasan por alto los ataques en curso porque la información que necesitan se ahoga en una avalancha masiva de falsas alarmas positivas.
La tecnología de detección y respuesta extendida (XDR) resuelve este problema al proporcionar análisis de datos unificados e integrados y visibilidad en todos los recursos de una organización.
Al centrar la seguridad en una sola plataforma y panel de control, XDR permite a un equipo de seguridad proteger eficazmente a una organización de los ataques cibernéticos. Además, XDR aprovecha la automatización para simplificar los flujos de trabajo de los analistas, acelerar la respuesta a incidentes y reducir la carga de trabajo de los analistas al eliminar tareas simples o repetitivas.
En NOVA promovemos la herramienta de Palo Alto Networks llamada Cortex XDR, en resumen, es una herramienta SaaS de detección de amenazas de seguridad y respuesta a incidentes específica del proveedor que integra de forma nativa múltiples productos de seguridad de TI
XDR consta de tres pasos:
Paso 1: Telemetría y análisis de datos
XDR recopila y supervisa datos de múltiples capas, incluidos puntos finales, redes, servidores y la nube. Después de agregar los datos, realiza análisis de datos para correlacionar el contexto de miles de alertas de estas capas. A continuación, muestra un número manejable de alertas de alta prioridad, evitando sobrecargar a los equipos de seguridad.
Paso 2: Detectar amenazas
Obtenga la ventaja sobre los atacantes con el análisis de comportamiento patentado. Mediante el aprendizaje automático, Cortex XDR perfila continuamente los puntos finales, la red y el comportamiento del usuario para descubrir los ataques más sigilosos. Detecte las amenazas y elimine los puntos ciegos integrando datos de todo su entorno. Investigue a gran velocidad agrupando inteligentemente las alertas relacionadas en incidentes para obtener una imagen completa de cada ataque.
Paso 3: Respuesta
Detenga los exploits que conducen a la infección de ransomware, bloquee archivos maliciosos e identifique el comportamiento malicioso para detener los ataques.
Bloquee rápidamente el malware, aísle los puntos finales, ejecute scripts o analice todo su entorno para contener amenazas. Cortex XDR ofrece opciones de respuesta flexibles que abarcan toda su infraestructura.
Cortex XDR ha logrado los puntajes de rendimiento más altos en los últimos tres años en la evaluación MITRE ATT&CK, así como la tasa general más alta de detección y protección combinadas. A medida que los ciberdelincuentes desarrollan tácticas, técnicas y procedimientos más rápidos, organizados y sofisticados, las nuevas características de Cortex XDR están ayudando a los equipos de SOC a reconocer y detener los siguientes ataques:
- Cortex XDR para la nube permite a los equipos SOC extender la detección, el monitoreo y la investigación a los entornos de nube. XDR agrega e integra datos de host en la nube, registros de tráfico, registros de auditoría, datos de Prisma Cloud de Palo Alto Networks y datos de seguridad en la nube de terceros con fuentes de datos de puntos finales y redes que no son en la nube. Los equipos de nube se benefician de una cobertura óptima que abarca tanto entornos locales como multinube.
- Cortex XDR Identity Analytics mejora las capacidades de análisis del comportamiento del usuario mediante la detección de actividades maliciosas y amenazas internas. Lo hace mediante la recopilación y el análisis de un amplio conjunto de datos de identidad.
- El módulo Cortex XDR Forensics proporciona a los clientes de Cortex XDR directamente la herramienta de investigación avanzada que utiliza el equipo de consultoría de seguridad de la Unidad 42 de Palo Alto Networks. El módulo XDR Forensics le permite recopilar evidencia del historial de eventos, como usuario, archivo, aplicación, navegador y otras actividades de sistemas comprometidos. Por lo tanto, proporciona toda la potencia analítica de XDR durante la respuesta a incidentes.
- La interfaz de gestión de incidentes Cortex XDR proporciona a los analistas de seguridad el escenario completo de un incidente en un solo lugar, incluidos los artefactos maliciosos relacionados, los hosts, los usuarios y las alertas correlacionadas alineadas con el repositorio MITRE ATT&CK. Esto permite a los analistas lidiar con incidentes de manera más rápida y completa.
- Cortex XDR Third-Party Data Engine permite a los clientes ingerir, normalizar, correlacionar, consultar y analizar datos de prácticamente cualquier fuente. Estos datos de terceros pueden correlacionarse con la actividad de amenazas y etiquetarse utilizando tácticas, técnicas y procedimientos de MITRE ATT&CK para proporcionar una imagen más detallada de los movimientos del oponente. Estas características también permiten a los equipos de SOC comprender el alcance completo de un incidente y responder de manera más integral.
La tercera generación de Cortex XDR, que ya logra los resultados más altos en la evaluación MITRE ATT&CK®, ahora ofrece a los equipos del Centro de Operaciones de Seguridad (SOC) una mayor protección de su superficie de ataque. La nueva solución extiende la detección, el monitoreo y el análisis a los entornos de nube. Además, detecta la actividad maliciosa de los usuarios y las amenazas internas a través del análisis de datos de identidad. Esto proporciona a los equipos de SOC un análisis de seguridad que abarca puntos finales, redes, nube e identidades, lo que permite la detección y respuesta en toda la empresa, algo crítico a medida que los ataques interdependientes se vuelven más frecuentes.
Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.