Detección y respuesta gestionadas (MDR)

¿Qué es la detección y respuesta gestionadas (MDR)?

La detección y respuesta gestionadas (MDR) es un servicio de ciberseguridad que combina la tecnología con la experiencia humana para identificar y limitar rápidamente el impacto de las amenazas mediante labores de Threat Hunting, monitorización y respuesta a las amenazas. La principal ventaja del MDR es que ayuda a limitar rápidamente el impacto de las amenazas sin necesidad de personal adicional, lo que puede resultar costoso.

Ventajas del MDR

Las organizaciones que utilizan una solución de MDR pueden reducir inmediatamente el tiempo de detección y, consiguientemente, el tiempo de respuesta, de los 277 días habituales a tan solo unos minutos, reduciendo así drásticamente el impacto de cualquier evento.

No obstante, reducir el tiempo de detección de meses a tan solo unos minutos no es la única ventaja. Las organizaciones también pueden:

• Mejorar la posición de seguridad y mostrar mayor resistencia ante posibles ataques optimizando la configuración de seguridad y acabando con los sistemas no autorizados.
• Identificar y detener las amenazas ocultas más complejas mediante una estrategia continua y gestionada de Threat Hunting.
• Responder a las amenazas con mayor eficacia y restablecer el buen estado de los endpoints a través de una respuesta guiada y una corrección gestionada.
• Redirigir al personal que gestiona tareas reactivas y repetitivas de respuesta a incidentes hacia proyectos más estratégicos.

Retos empresariales para la adopción del MDR

Reto n.º 1: Personal y recursos

Aquellas organizaciones que en su momento luchaban por conservar al completo sus equipos de seguridad, se enfrentan ahora a retos aún mayores a medida que adoptan tecnologías de seguridad innovadoras para hacer frente a un panorama de amenazas en constante evolución.

En la actualidad, la mayoría de las organizaciones cuentan con herramientas de seguridad en su conjunto de soluciones que no tienen tiempo de gestionar con fluidez.

La inversión que han realizado en herramientas punteras puede acabar transformándose en un problema, si carecen del tiempo o los recursos necesarios para desplegar y optimizar por completo sus soluciones frente a amenazas cada vez más sofisticadas.

Reto n.º 2: Fatiga de alertas

Otro reto consiste en gestionar un número masivo de alertas procedentes de todas estas nuevas tecnologías de seguridad. No se trata de un problema desconocido, pero está creciendo a pasos agigantados a medida que proliferan los endpoints que adoptan la forma de IoT, trabajadores en remoto, partners de la cadena de suministro conectados y redes híbridas.

Determinar cómo responder a cada alerta requiere más personal y experiencia de la que se suele tener a nivel interno, y cuando se determina que una amenaza es importante, la organización necesita contar con las habilidades adecuadas para corregirla y devolver el endpoint a un estado seguro, y hacerlo, además, rápidamente antes de que la intrusión pueda convertirse en una brecha grave.

Los servicios MDR han surgido para suplir estas lagunas. Las organizaciones pueden poner en marcha rápidamente una solución MDR que acceda en remoto a una red para proporcionar cobertura todos los días del año, además de acceso a expertos altamente cualificados, difíciles de encontrar y contratar por cuenta propia. Dichos expertos están disponibles las 24 horas del día, lo que les permite responder con rapidez gracias a su profundo conocimiento de cada aspecto de la seguridad de los endpoints, desde la detección hasta la restauración a un estado seguro y la prevención de nuevos compromisos.

Cómo funciona el MDR

MDR monitoriza, detecta y responde de forma remota a las amenazas detectadas dentro de la organización. Una herramienta de detección y respuesta para endpoints (EDR) suele proporcionar la visibilidad necesaria de los eventos de seguridad en el endpoint.

La correspondiente inteligencia sobre amenazas, análisis avanzados y datos a nivel forense se transmiten a los analistas humanos, que llevan a cabo la clasificación de las alertas y determinan la respuesta adecuada para reducir el impacto y el riesgo ante incidentes positivos. Por último, mediante una combinación de capacidades humanas y virtuales, se elimina la amenaza y se restaura el endpoint afectado a su estado anterior a la infección.

Las principales capacidades del MDR son:

1. Priorización

La priorización gestionada ayuda a aquellas organizaciones que se esfuerzan a diario por cribar su enorme volumen de alertas a determinar cuáles deben abordarse en primer lugar. A menudo denominado "EDR gestionado", la priorización gestionada aplica reglas automatizadas e inspección humana para distinguir los eventos que son inofensivos y los falsos positivos de las verdaderas amenazas. Los resultados se enriquecen con contexto adicional y se canalizan en un flujo de alertas de alta calidad.

2. Threat Hunting

Detrás de cada amenaza hay una persona que busca pasar desapercibida y eludir así las contramedidas desplegadas por su objetivo. Aunque las máquinas son muy inteligentes, no son astutas, por lo que es necesaria una mente humana para añadir el elemento que ningún sistema de detección automatizado puede proporcionar. Los Threat Hunters humanos, con su experiencia y habilidades especializadas, detectan y alertan sobre las amenazas más sigilosas y evasivas, capturando lo que las capas de defensa automatizadas han pasado por alto.

3. Investigación

Los servicios de investigación gestionados ayudan a las organizaciones a descubrir las amenazas con mayor rapidez optimizando las alertas de seguridad con un contexto adicional. Las organizaciones pueden de este modo comprender mejor lo que ha ocurrido, cuándo ha ocurrido, quién se ha visto afectado y hasta dónde ha llegado el ciberdelincuente. Con esa información, es posible planificar una respuesta eficaz.

4. Respuesta guiada

La respuesta guiada ofrece a las empresas consejos útiles sobre la mejor forma de contener y corregir una amenaza específica. Las organizaciones reciben asesoramiento en actividades que van desde decisiones fundamentales, como aislar un sistema de la red, hasta procedimientos más sofisticados, como eliminar una amenaza o recuperarse de un ataque mediante un proceso paso a paso.

5. Corrección

El último paso en cualquier incidente es la recuperación. Si este paso no se implementa correctamente, se desperdicia toda la inversión de la organización en su programa de protección de endpoints. La corrección gestionada restaura los sistemas al estado previo al ataque eliminando el malware, limpiando el registro, expulsando a los intrusos y retirando los mecanismos de persistencia. La corrección gestionada garantiza que la red vuelva a un estado seguro y evita futuras vulneraciones.

Comparación entre MDR y EDR

La detección y respuesta para endpoints (EDR) forma parte del conjunto de herramientas utilizadas por los proveedores de MDR. El EDR registra y almacena comportamientos y eventos en los endpoints y los introduce en respuestas automatizadas basadas en reglas y sistemas de análisis. Cuando se detecta una anomalía, se envía al equipo de seguridad para su análisis por parte de expertos. El EDR ofrece a los equipos de seguridad la posibilidad de utilizar algo más que indicadores de compromiso (IoC) o firmas para comprender mejor lo que ocurre en sus redes.

Con el tiempo, las ofertas de EDR se han ido complicando, incorporando tecnologías como el aprendizaje automático y el análisis de comportamiento, así como la capacidad de integrarse con otras herramientas complejas. Muchos equipos de seguridad internos carecen de los recursos y el tiempo necesarios para aprovechar al máximo sus sistemas de EDR, lo que puede dejar a la organización más vulnerable de lo que estaba antes de implementar su solución de EDR.

El MDR resuelve ese problema introduciendo factores como la experiencia humana, procesos consolidados e inteligencia sobre amenazas. El MDR está diseñado para ayudar a las organizaciones a adquirir una protección de endpoints de nivel empresarial sin asumir los costes de un equipo de seguridad especializado o un centro de operaciones de seguridad (SOC).

Comparación entre MDR, XDR y MXDR

Aunque el MDR se denomina en ocasiones EDR como servicio, la Detección y respuesta ampliadas (XDR) va un paso más allá al integrar datos de varias fuentes para mejorar la visibilidad y reducir el riesgo. Utiliza una gran cantidad de metodologías y herramientas como la gestión de identidades y accesos y la prevención de pérdida de datos. De este modo, se logra obtener visibilidad no solo sobre los endpoints, sino también sobre los usuarios, las redes, los recursos, los correos electrónicos, las cargas de trabajo y mucho más. El XDR ayuda a eliminar los silos y lagunas que pueden poner en peligro a la organización.

El MDR gestiona la seguridad de los endpoints y se centra en mitigar, eliminar y corregir amenazas con un equipo de seguridad especializado y con experiencia. El XDR gestionado (MXDR) lleva el XDR al siguiente nivel, ya que se adquiere como servicio y ofrece todas sus capacidades, pero se proporciona a través de un equipo externo que actúa como una extensión perfecta del equipo interno de TI y seguridad. En la actualidad, MXDR se considera el estándar de protección más alto disponible en el mercado.

Comparación entre MDR y MSSP

Los proveedores de servicios de seguridad gestionados (MSSP) son los predecesores del MDR. Los MSSP suelen ofrecer una sólida monitorización de la red para detectar eventos y enviar alertas validadas a otras herramientas o al equipo de seguridad. Además, proporcionan servicios como gestión de tecnología, actualizaciones, cumplimiento normativo y gestión de vulnerabilidades, pero, por lo general, no responden de forma activa a las amenazas. El cliente es responsable de realizar esas actividades, que pueden requerir conocimientos especializados que no suelen mantenerse a nivel interno. Como resultado, los clientes de MSSP también deben contratar consultores o proveedores adicionales para llevar a cabo las tareas de mitigación y corrección.

Los servicios MDR están especialmente orientados a detectar y responder de forma rápida a las amenazas emergentes. Además, el MDR proporciona funciones de mitigación y corrección, y puede además aportar un valor inmediato con una inversión mínima.

Comparación entre MDR y SIEM gestionado

La gestión de eventos e información de seguridad (SIEM) es una categoría tecnológica bastante amplia. Todas las herramientas de SIEM empiezan agregando datos de numerosas fuentes de red y otros dispositivos de seguridad, y analizándolos para detectar anomalías que puedan indicar una actividad sospechosa. A partir de ahí, las capacidades de las herramientas de SIEM varían mucho. Algunas son soluciones exclusivamente tecnológicas, mientras que otras son más bien servicios gestionados de procesamiento de eventos y alertas.

Una cosa que todas las herramientas de SIEM tienen en común es que sus clientes informan de retos a la hora de resolver los problemas expuestos por los datos de su SIEM porque encuentran dificultades para entender los resultados. Las herramientas de SIEM también pueden ser caras y consumir un gran número de recursos. Los servicios MDR, en cambio, se caracterizan por ocupar poco espacio en la red y por su rápida amortización.

Cómo elegir un servicio MDR: Cinco preguntas clave

Las soluciones de MDR incluyen una amplia gama de servicios, así que asegúrate de conocer las capacidades actuales de tu organización antes de iniciar la búsqueda para poder seleccionar una solución que complemente bien tu inversión existente en seguridad. Aquí tienes cinco preguntas clave que debes hacer a los proveedores de MDR al iniciar tu búsqueda:

Pregunta n.º 1. ¿Qué nivel de experiencia y conocimientos tienen los analistas que gestionan el servicio MDR?

La solución que elijas debe aportar nuevas habilidades y experiencia sin necesidad de contratar más personal. Busca un proveedor que esté dispuesto a compartir conocimientos.

Pregunta n.º 2. ¿Tiene tu servicio MDR acceso a los datos y sistemas necesarios a tiempo para poder ser eficaz?

La efectividad de tu solución de MDR depende en gran medida de su acceso a un volumen y profundidad de datos adecuados para desempeñar su función, y es fundamental que obtenga esa información en tiempo real. Una solución nativa de la nube suele ofrecer el mejor acceso a los datos correctos.

Pregunta n.º 3. ¿Cómo se mantiene al corriente tu equipo de MDR de las últimas amenazas que se ciernen sobre las organizaciones?

Los analistas de seguridad no solo se centran en las capacidades tecnológicas de los adversarios. Estudian, asimismo, factores culturales, geopolíticos y lingüísticos para comprender a fondo las técnicas, tácticas y procedimientos actuales que se utilizan para atacar a las empresas. Pocas de estas empresas cuentan con este nivel de especialización en su propio equipo, por lo que es clave elegir un proveedor de MDR que sí lo tenga.

Pregunta n.º 4. ¿Cómo se va a comunicar el proveedor de MDR con tu equipo?

En algún momento, el equipo de MDR transferirá su flujo de trabajo a tu equipo. Esto debe hacerse a través de un eje central de comunicación, como una consola unificada, para evitar nuevos puntos de fricción o la necesidad de familiarizarse con nuevos sistemas. La transición debe realizarse sin ralentizar en ningún momento la capacidad de respuesta de tu equipo.

Pregunta n.º 5. ¿Está disponible de forma ininterrumpida tu servicio?

La inmensa mayoría de las organizaciones no disponen de personal de seguridad de forma ininterrumpida. El servicio MDR debe estar operativo de forma permanente e ininterrumpida, ya que los atacantes no se detienen, incluso cuando el resto del mundo duerme.