Open XDR is a type of extended detection and response (XDR) security solution or platform that supports third-party integrations to collect specific forms of telemetry to enable threat detection, hunting and investigation across the different data sources and execute response actions.

Why is Open XDR important?

In an increasingly complex threat landscape, most organizations rely on different tools and vendors to provide comprehensive cybersecurity protection. While each of these tools plays a distinct role in strengthening the organization’s security posture, managing and operating each individually is both inefficient and ineffective. Security analysts are often forced to manually sift through and piece together volumes of diverse alert and event data generated by different systems, losing valuable time in the event of an attack and increasing the likelihood that an adversary can slip by undetected. At the same time, many of these security solutions are best-of-breed tools, specifically chosen by the organization based on their unique needs. Replacing these tools can be costly – not to mention that the substitute solution may not offer the same level of protection. This is where XDR comes in. In an OPEN XDR model, the organization can unite key telemetry from its various security tools from different vendors into a single view. This gives security analysts access to rich and robust data from across the security stack. By connecting the dots among previously siloed security solutions, the organization is able to extend visibility and improve detection, ultimately speeding up response times and strengthening the security posture without adding complexity to the security stack.

Explicación de XDR abierto

Anne Aarness - enero 07, 2025

¿Qué es el XDR abierto?

El XDR abierto es un tipo de plataforma o solución de seguridad de detección y respuesta ampliadas (XDR, Extended Detection and Response) que admite integraciones con terceros para recopilar formas específicas de telemetría y posibilitar el Threat Hunting y la detección e investigación de amenazas en diferentes orígenes de datos y ejecutar acciones de respuesta.

El XDR abierto, también denominado "XDR híbrido", integra diversas herramientas en el modelo de capas de seguridad, como la detección y respuesta para endpoints (EDR), el firewall de nueva generación (NGFW), la gestión de identidades y accesos (IAM), la protección de cargas de trabajo en nube (CWP) o el intermediario de seguridad de acceso a la nube (CASB), entre otras. Al eliminar los silos entre estas herramientas, la organización puede activar alertas más precisas, dar respuestas más rápidas, mejorar las capacidades de Threat Hunting y agilizar las investigaciones.

¿Qué es XDR?

El XDR se considera el producto de la evolución del EDR. Se trata de una solución de seguridad que extrae telemetría de seguridad de diversas fuentes, como endpoints, cargas de trabajo en la nube y correos electrónicos de la red. Estos datos enriquecidos sobre amenazas se criban y condensan en una sola consola mediante la plataforma de XDR, lo cual permite a los equipos de seguridad identificar y corregir de forma rápida y eficiente las amenazas de seguridad en diversos dominios usando una solución unificada.

Informe sobre Threat Hunting 2024

En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.

Descargar ahora

Tipos de XDR

Las soluciones de XDR se dividen en dos grandes categorías:

XDR abierto o híbrido
XDR cerrado o nativo

Las principales diferencias entre ambas categorías residen en los tipos de herramientas y soluciones que admite la plataforma de XDR. Las soluciones de XDR abiertas son independientes del proveedor y pueden integrar datos de diferentes fuentes y proveedores de soluciones. Por otro lado, las soluciones de XDR nativas integran herramientas de un solo proveedor de seguridad.

Para obtener más información sobre las diferencias entre el XDR abierto y el XDR nativo, lee la publicación complementaria, XDR abierto frente a XDR nativo.

¿Por qué es importante el XDR abierto?

Dado que el panorama de amenazas es cada vez más complejo, la mayoría de las organizaciones recurren a diferentes herramientas y proveedores para contar con una protección integral. Aunque cada una de estas herramientas permite reforzar distintos aspectos de la posición de seguridad de la organización, gestionarlas y hacer que funcionen por separado no es eficiente ni eficaz. Los analistas de seguridad a menudo se ven obligados a examinar y descifrar manualmente

los datos de alertas y eventos generados por sistemas diferentes, con lo cual pierden un tiempo muy valioso si se produce un ataque y aumentan las posibilidades de que un adversario pase desapercibido.

Al mismo tiempo, muchas de estas soluciones de seguridad son herramientas de primera categoría, elegidas específicamente por la organización para satisfacer necesidades concretas. Reemplazar estas herramientas puede resultar caro, por no hablar de que la solución sustituta puede no ofrecer el mismo grado de protección.

Aquí es donde entra en acción el XDR. Con un modelo de XDR abierto, la organización puede condensar en una sola vista la telemetría clave procedente de herramientas de seguridad de diversos proveedores, con lo que los analistas de seguridad tendrán acceso a datos completos de todo el modelo de capas de seguridad. Al correlacionar soluciones anteriormente aisladas, la organización puede ampliar la visibilidad y mejorar la detección. Esto, en última instancia, acorta el tiempo de respuesta y refuerza la posición de seguridad sin incrementar la complejidad del modelo de capas de seguridad.

Cinco ventajas por las que elegir el XDR abierto

El XDR abierto es la opción ideal para las organizaciones que hayan optado por lo mejor de lo mejor en ciberseguridad y cuyo modelo de capas de seguridad incluya soluciones de varios proveedores. En este caso, el modelo de XDR abierto ofrece importantes ventajas en comparación con una solución de XDR nativa:

1. Independencia del proveedor: el XDR abierto permite a las organizaciones unificar la telemetría de distintos partners de seguridad en una sola vista, con lo que las empresas pueden sacar el máximo partido a los recursos que tienen y seguir invirtiendo en las herramientas y soluciones que mejor satisfagan sus necesidades.

2. Flexibilidad y escalabilidad: con el modelo de XDR abierto, puedes olvidarte de la dependencia de un proveedor. Esta es una característica fundamental, ya que el panorama de proveedores de ciberseguridad cambia constantemente. Adoptar un enfoque de XDR abierto permite a la organización implementar soluciones de vanguardia de diferentes proveedores en cualquier momento.

3. Protección mejorada: con una solución de XDR abierto, las organizaciones pueden abordar las carencias de la arquitectura de seguridad usando diversas herramientas y soluciones de distintos proveedores. En cambio, con el XDR nativo, las organizaciones solo pueden usar las herramientas que les ofrezca el proveedor elegido.

4. Valor optimizado: con un modelo de XDR abierto, no es necesario desmantelar y sustituir las soluciones existentes para ajustarse a la plataforma de XDR, sino que la organización puede configurar e integrar distintas herramientas de seguridad en una vista maestra.

5. Rendimiento mejorado: al disponer de una sola vista de la telemetría de seguridad de la empresa, las organizaciones no solo acceden a mejoras de eficiencia del personal, sino que también pueden incrementar el rendimiento.

Ventajas del XDR

Recordemos que las organizaciones también acceden a importantes ventajas cuando implementan una solución de XDR, ya sea nativo o abierto. Estas son algunas de ellas:

Visibilidad unificada sobre las amenazas: XDR ofrece una visibilidad detallada al operar en varias capas, y recopila y correlaciona datos del correo electrónico, los endpoints, los servidores, las cargas de trabajo de la nube y las redes.
Detección e investigación sencillas: como el XDR se deshace de aquellas anomalías del flujo de alerta que se consideran insignificantes, los analistas y los Threat Hunters pueden centrarse en las amenazas más prioritarias. Además, gracias a los análisis avanzados y al contenido de correlación preintegrado en la herramienta, el XDR detecta automáticamente las amenazas sigilosas, con lo que prácticamente evita que los equipos de seguridad tengan que dedicar tiempo constantemente a elaborar, ajustar y gestionar reglas de detección.
Orquestación y respuesta integrales: una telemetría y un contexto de amenazas detallado y multidominio (que abarcan desde los hosts afectados y la causa principal hasta los indicadores y cronologías) orientan todo el proceso de investigación y corrección. Ofrece alertas automatizadas y acciones de respuesta eficaces que generan flujos de trabajo complejos y de varias herramientas para incrementar radicalmente la eficiencia del centro de operaciones de seguridad (SOC) y neutralizar las amenazas con precisión quirúrgica.

Características clave que debe tener una plataforma de XDR

En esencia, una solución de XDR proporcionada a través de una plataforma nativa de la nube mejorará radicalmente la visibilidad sobre las amenazas y reducirá el tiempo necesario para identificar y responder a un ataque. Sin embargo, no todas las soluciones son iguales.

Los equipos de seguridad deben elegir cuidadosamente la plataforma de la que emanarán las funciones de XDR, pues debe ofrecer una cobertura integral, flexibilidad de cara al futuro y optimización de los recursos. A continuación se muestra una lista con algunas preguntas clave que las organizaciones pueden plantearse a la hora de evaluar proveedores de XDR y sus soluciones.

Datos

¿Puede la solución ingerir y centralizar datos de los endpoints y las soluciones de seguridad de toda la empresa?
¿Aplica la solución tecnologías de automatización avanzada, como la inteligencia artificial (IA) y el aprendizaje automático (ML), para analizar datos, correlacionarlos con la superficie de ataque afectada, y realizar análisis y priorización?
¿Puede la solución normalizar los datos y reorganizarlos para que los usuarios los utilicen en otras consultas y análisis como parte de tareas de Threat Hunting e investigación?
¿Presenta la solución estos datos a los equipos de seguridad en una sola consola que no solo permite a los usuarios acceder a información de varios dominios para Threat Hunting e investigación, sino también para dirigir y orquestar la respuesta?

Plataforma

¿Es la solución independiente de cualquier proveedor? ¿Puede integrarse con distintas herramientas de diferentes proveedores?
¿Existe alguna limitación de la plataforma que impida que la organización integre soluciones en el futuro?
¿Admite la plataforma configuraciones y personalizaciones avanzadas (como detecciones a medida) en función de las necesidades específicas de cada cliente?
¿Aplica la plataforma esquemas abiertos y bien definidos para intercambiar datos con sistemas de seguridad de TI adicionales con el fin de que la comunicación entre herramientas sea eficaz?
¿Es la plataforma una solución de XDR líder a ojos de grupos del sector o analistas relevantes?

Experiencia de usuario

¿Ofrece la solución una experiencia de usuario intuitiva y atractiva?
¿Qué recursos proporciona la organización para incorporar a nuevos miembros al equipo y garantizar la adopción y el uso adecuado de la solución?

CrowdXDR Alliance™: el modelo de XDR abierto de CrowdStrike

Para sacar partido a las ventajas del XDR abierto, CrowdStrike fundó CrowdXDR Alliance, una revolucionaria coalición de organizaciones con el objetivo de proporcionar una detección y respuesta unificadas y centradas en las amenazas que abarquen todo el ecosistema tecnológico y de seguridad de una organización. Esta alianza incluye soluciones de TI y seguridad líderes del sector, como Google Cloud, Proofpoint, Zscaler y CloudFlare.

En concreto, CrowdXDR Alliance ofrece lo siguiente:

Un enfoque de XDR unificado con una ontología compartida, un lenguaje de consulta común y automatizaciones de flujo de trabajo específicas.
Una visibilidad inigualable con una amplia gama de fuentes propias y de terceros de diversas tecnologías y dominios.
La flexibilidad y la capacidad de incorporar el XDR más conveniente, lo cual te permite elegir el ámbito de aplicación del XDR en tu organización, los dominios que abarca y las herramientas que integra.

Más información sobre CrowdXDR

Anne Aarness ocupa el puesto de Senior Manager Product Marketing en CrowdStrike y reside en Sunnyvale, California (EE. UU.).

Explicación de XDR abierto

¿Qué es el XDR abierto?

¿Qué es XDR?

Informe sobre Threat Hunting 2024

Tipos de XDR

¿Por qué es importante el XDR abierto?

Cinco ventajas por las que elegir el XDR abierto

Ventajas del XDR

Características clave que debe tener una plataforma de XDR

Datos

Plataforma

Experiencia de usuario

CrowdXDR Alliance™: el modelo de XDR abierto de CrowdStrike

Prueba gratis CrowdStrike durante 15 días

Prueba gratis CrowdStrike durante 15 días

Explicación de XDR abierto

¿Qué es el XDR abierto?

¿Qué es XDR?

Informe sobre Threat Hunting 2024

Tipos de XDR

¿Por qué es importante el XDR abierto?

Cinco ventajas por las que elegir el XDR abierto

Ventajas del XDR

Características clave que debe tener una plataforma de XDR

Datos

Plataforma

Experiencia de usuario

CrowdXDR Alliance™: el modelo de XDR abierto de CrowdStrike

Artículos destacados

Comparación entre XDR, SIEM y SOAR

Comparación entre EDR, MDR y XDR

Seguridad de endpoints

Prueba gratis CrowdStrike durante 15 días

Prueba gratis CrowdStrike durante 15 días

Empezar

Empresa

Partners

Clientes actuales

Soporte