Los ciberataques se han vuelto más comunes, más avanzados y más costosos, por lo que cada vez es más necesario contar con una estrategia integral de ciberseguridad. Un elemento central de toda estrategia de seguridad es una capacidad de detección y respuesta que identifique aquellas amenazas que han eludido las medidas de seguridad tradicionales. A continuación examinamos tres de las principales herramientas de detección y respuesta:
- Detección y respuesta para endpoints (EDR)
- Detección y respuesta gestionadas (MDR)
- Detección y respuesta ampliadas (XDR)
¿Qué es la detección y respuesta para endpoints (EDR)?
La detección y respuesta para endpoints (EDR, Endpoint Detection and Response) es una solución de ciberseguridad que capta toda la actividad de los endpoints y aplica análisis avanzados para proporcionar visibilidad en tiempo real del estado de todos los endpoints; detectar actividad anómala; alertar al equipo de seguridad de la información (infosec) sobre eventos; y proporcionar sugerencias de corrección y capacidades para responder, detener un ataque en curso o limitar su propagación.
Las soluciones de EDR disponen de las siguientes capacidades:
- Monitorización de endpoints y registro de eventos
- Búsqueda de datos, investigación y Threat Hunting
- Clasificación de alertas o validación de actividades sospechosas
- Detectar actividades sospechosas
- Análisis de datos
- Inteligencia de aplicación práctica para respaldar la respuesta
- Remediación
Más información
Forrester ha designado a CrowdStrike como uno de los líderes en el informe The Forrester Wave™ en materia de EDR. Descarga el informe y descubre por qué CrowdStrike obtuvo una puntuación mayor que otros proveedores de EDR.
¿Qué es la detección y respuesta gestionadas (MDR)?
La detección y respuesta gestionadas (MDR, Managed Detection and Response) es una solución de seguridad de EDR como servicio. Este servicio gestiona tecnologías de seguridad de endpoints (lo que incluye el EDR) para organizaciones. Dicho servicio suele incluir estas capacidades:
- Monitorización continua
- Threat Hunting
- Priorización de amenazas y alertas
- Servicios de investigación gestionada
- Respuesta guiada
- Corrección gestionada
El principal beneficio del MDR es que ayuda a identificar y limitar rápidamente el impacto de las amenazas sin tener que contratar más personal. Esto es especialmente importante debido a la escasez mundial de profesionales de ciberseguridad altamente cualificados y a la consecuente carencia de conocimientos, sobre todo en lo que respecta a la protección de sistemas y recursos basados en la nube.
¿Qué es la detección y respuesta ampliadas (XDR)?
La detección y respuesta ampliadas (XDR, Extended Detection and Response) optimiza la ingesta de datos de seguridad, el análisis y los flujos de trabajo en todo el modelo de capas de seguridad de una organización, con lo que, por un lado, mejora la visibilidad en torno a las amenazas de seguridad avanzadas y ocultas y, por otro, unifica la respuesta.
Una plataforma de XDR recopila y correlaciona datos de toda la infraestructura para mejorar la visibilidad de las amenazas en toda la empresa, acelerar las operaciones de seguridad y reducir el riesgo. El XDR analiza, prioriza y optimiza estos datos para proporcionarlos a los equipos de seguridad en un formato normalizado y a través de una consola unificada.
Las plataformas de XDR suelen ofrecer las siguientes capacidades:
- Telemetría de seguridad diversa y multidominio
- Análisis de eventos centrados en amenazas
- Detección de amenazas y priorización de la fidelidad de los datos
- Búsqueda de datos, investigación y Threat Hunting en la telemetría multidominio
- Respuesta para mitigar y corregir la amenaza
¿Por qué necesitan las empresas una solución de XDR?
Las versiones anteriores de las soluciones de detección de amenazas se centran en una capa de la arquitectura de seguridad. Por ejemplo, las soluciones de EDR monitorizan los endpoints, mientras que las de análisis del tráfico de la red solo se centran en este tráfico. Los datos de estas herramientas no suelen estar integrados ni unificados, lo que impide que la organización tenga una visibilidad completa y precisa en toda la empresa.
Las organizaciones que compran varios productos de seguridad independientes para construir una arquitectura de seguridad multicapa pueden crear sin querer un complejo modelo de capas de seguridad que envíe muchas alertas sin el contexto adecuado. A medida que se incorporan herramientas, la realización de investigaciones se vuelve más difícil, lo que es una de las razones por las que el tiempo necesario para identificar una brecha ha aumentado junto con la adopción del modelo de seguridad multicapa.
Además, recurrir a herramientas de seguridad independientes suele derivar en silos y carencias en la arquitectura de seguridad. Cuanto más complejos son los silos de seguridad, mayores son las probabilidades de que se cree un vacío de seguridad y de que pase inadvertido hasta que se produzca una brecha.
El XDR aborda estos problemas y otros habitualmente asociados con las estrategias de defensa multicapa. El XDR coordina las herramientas de seguridad aisladas y amplifica su valor, unificando y optimizando los análisis de seguridad, las investigaciones y las correcciones en una consola unificada. Por lo tanto, el XDR mejora drásticamente la visibilidad de las amenazas, acelera las operaciones de seguridad, reduce el coste total de propiedad (TCO) y alivia la carga constante del personal de seguridad.
Comparación entre EDR, XDR y MDR
Las de EDR son las herramientas básicas de monitorización y detección de amenazas para endpoints, y los cimientos de toda estrategia de seguridad. Esta solución recurre a agentes de software o sensores instalados en los endpoints para captar datos y enviarlos a un repositorio centralizado para que se analicen.
El MDR es, fundamentalmente, una solución de EDR como servicio. Dicho servicio gestiona la seguridad de los endpoints y se centra en mitigar, eliminar y corregir amenazas con un equipo de seguridad especializado y con experiencia.
El XDR amplía las capacidades de EDR para proteger más elementos aparte de los endpoints. La solución de XDR se amplía a la infraestructura, con lo que optimiza la ingestión de datos de seguridad, los análisis y los flujos de trabajo en todo el modelo de capas de seguridad de una organización para, por un lado, mejorar la visibilidad en torno a las amenazas ocultas y avanzadas y, por otro, unificar la respuesta. Cuando se compra como una solución gestionada, el XDR también proporciona acceso a expertos en Threat Hunting, inteligencia sobre amenazas y análisis.
| EDR | MDR | XDR | |
|---|---|---|---|
| Funciones | Monitoriza los endpoints para detectar amenazas que hayan eludido las soluciones antivirus y otras técnicas de prevención. | Es un EDR "como servicio". Proporciona las mismas capacidades que el EDR y, además, servicios gestionados de forma ininterrumpida para monitorizar, mitigar, eliminar y corregir amenazas. | Es una solución integral y centrada en las amenazas que incorpora datos de las diversas herramientas de seguridad existentes para mejorar la visibilidad y reducir el riesgo. |
| Componentes |
| Capacidades de EDR y servicios gestionados de forma ininterrumpida que incluyen:
| Capacidades de EDR y:
|
| Métodos, herramientas y tecnologías | Solución de EDR basada en software | Plataforma de protección de endpoints (EPP) |
|
| Visibilidad de amenazas | Endpoints | Endpoints | Todos los endpoints, usuarios, recursos de red, carga de trabajo en la nube, correo electrónico, datos y otros recursos |
| Protección | + Las herramientas de EDR son un componente básico de toda estrategia de seguridad y la base de todas las capacidades y soluciones avanzadas de ciberseguridad. | ++ El MDR combina las capacidades en tiempo real de monitorización y respuesta de una solución de EDR con la labor de profesionales de la ciberseguridad muy cualificados para ofrecer protección proactiva mediante Threat Hunting, inteligencia sobre amenazas y respuestas gestionadas. | +++ El XDR, que constituye una nueva frontera en prevención de amenazas, proporciona el máximo nivel de protección mediante EDR y la integración sólida de herramientas y sistemas en toda la arquitectura de red para eliminar silos y carencias que exponen la organización a riesgos. |
¿Qué solución es la ideal para mi organización?
Cada organización tiene necesidades diferentes. Aunque la seguridad es un imperativo, es importante seleccionar una herramienta de seguridad que proporcione el nivel de cobertura adecuado según el perfil de riesgo de la empresa.
Opta por el EDR si tu organización:
- Quiere mejorar las capacidades y la posición de seguridad de sus endpoints más allá del NGAV
- Tiene un equipo de infosec que puede tomar medidas según las alertas y recomendaciones que ofrezca la solución de EDR
- Se encuentra en las primeras fases de elaboración de una estrategia integral de ciberseguridad y quiere sentar las bases de una arquitectura de seguridad escalable
Opta por el MDR si tu organización:
- No dispone de un programa maduro de detección y respuesta que pueda corregir rápidamente las amenazas avanzadas usando las herramientas o los recursos existentes
- Quiere incorporar nuevas habilidades y mejorar el nivel de madurez sin contratar a más personas
- Tiene dificultades para cubrir las carencias de habilidades del equipo de TI o para atraer a profesionales muy cualificados y especializados
- Quiere protección para estar al día de las amenazas más recientes que afectan a las empresas
Opta por el XDR si tu organización:
- Quiere mejorar la detección de amenazas avanzadas
- Pretende agilizar el análisis, la investigación y la búsqueda de amenazas multidominio desde una sola consola
- Sufre de fatiga de alertas y posee una arquitectura de seguridad desconectada o con silos
- Aspira a mejorar el tiempo de respuesta
- Quiere mejorar la rentabilidad de todas las herramientas de seguridad
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahora¿Se puede tener XDR y MDR?
La respuesta corta es que sí se puede combinar el XDR y el XDR gestionado (MXDR). CrowdStrike Falcon® Complete XDR amplía las funciones del servicio MDR líder del sector de CrowdStrike Falcon® Complete con XDR multidominio basada en el equipo internacional de expertos de CrowdStrike, así como Threat Hunting proactivo e inteligencia sobre amenazas nativa para ofrecer una protección gestionada e ininterrumpida.
Consulta más información sobre CrowdStrike Falcon® Complete Next-Gen MDR.
Luke Hunsinger ocupa el puesto de Senior Product Marketing Manager en CrowdStrike y se centra en la protección de endpoints. Antes de trabajar en CrowdStrike, Luke ocupó puestos de marketing de productos en Amazon Web Services y HP Inc. Obtuvo un título en administración de empresas con especialización en marketing en la Universidad de California, Riverside. En la actualidad, reside en San Diego, California (EE. UU.).
