Para los propietarios de pequeñas empresas con un presupuesto limitado para ciberseguridad, puede resultar difícil determinar dónde invertir tiempo, fondos y otros recursos con el fin de proteger mejor la empresa. Dichas decisiones pueden resultar aún más complejas cuando soluciones como la detección y respuesta gestionadas (MDR) y los proveedores de servicios de seguridad gestionados (MSSP) se utilizan de manera imprecisa e intercambiable por proveedores, profesionales de TI, periodistas y otros colectivos.
En este artículo, analizaremos estos dos servicios, destacaremos sus principales diferencias y ayudaremos a las organizaciones a decidir cuál es la mejor opción para el negocio.
¿Qué es MDR?
La detección y respuesta gestionadas (MDR) es un servicio de ciberseguridad que combina tecnología y experiencia humana avanzadas para llevar a cabo tareas de Threat Hunting, monitorización y respuesta a incidentes. La principal diferencia del MDR es que incluye capacidades de respuesta, lo que significa que el proveedor de servicios trabajará con sus clientes en caso de brecha para resolver el problema y recuperarse del evento. Sin embargo, esto significa que las capacidades de respuesta del MDR pueden variar de un proveedor a otro. Algunos servicios MDR ofrecen una respuesta completa, mientras que otros ofrecen una respuesta limitada/guiada.
¿Cuáles son las ventajas del MDR?
Las soluciones de MDR, aunque pueden variar entre distintos proveedores, suelen ofrecer a las organizaciones las siguientes ventajas:
- Velocidad: Las organizaciones que utilizan una solución de MDR pueden reducir inmediatamente el tiempo dedicado a la detección y, por tanto, el tiempo de respuesta, de meses a tan solo minutos. Esto ayuda a la empresa a contener la amenaza y reducir drásticamente su impacto.
- Protección continua: El MDR proporciona protección ininterrumpida contra amenazas ocultas y sofisticadas a través del Threat Hunting continuo y gestionado y el recurso de respuesta en caso de un evento de seguridad.
- Coste: Dado que el MDR se basa en un modelo de servicio, las organizaciones no suelen necesitar contratar personal adicional para supervisar las tareas de detección y respuesta. Es más, el coste de contratar, formar y equipar a los Threat Hunters y responsables de respuesta a incidentes, profesionales bastante caros y muy demandados en el mercado actual, lo comparte el proveedor de servicios MDR con toda la base de clientes.
- Supervisión y mantenimiento: En un modelo de MDR, el proveedor de servicios o suministrador es responsable del funcionamiento y mantenimiento de todas las herramientas y tecnologías asociadas al servicio. Esto significa que el equipo de TI no tiene por qué preocuparse de los entresijos de la propia herramienta ni de la tecnología y los algoritmos subyacentes de inteligencia artificial (IA) y aprendizaje automático (ML). En algunos casos, en función de los requisitos del cliente, los MDR también pueden trabajar con los MSSP para proporcionar una supervisión completa de las herramientas de seguridad.
- Optimización del personal: El uso del MDR para gestionar el trabajo más rutinario y repetitivo de respuesta a incidentes permite a los miembros centrarse en tareas de mayor valor y proyectos más estratégicos.
- Resiliencia: El MDR mejora la posición de seguridad y ayuda a los negocios a mostrar mayor resistencia ante posibles ataques optimizando la configuración de seguridad y acabando con los sistemas fraudulentos o de alto riesgo.
¿Qué es un MSSP?
Proveedor de servicios de seguridad gestionados (MSSP) es un término utilizado para describir a un proveedor de servicios de TI que ofrece soluciones y servicios de ciberseguridad. Los MSSP suelen ofrecer una exhaustiva monitorización de la red en busca de eventos y envían alertas validadas a otras herramientas o al equipo de seguridad de la organización. También pueden proporcionar otros servicios, como la administración tecnológica, actualizaciones, cumplimiento y gestión de vulnerabilidades.
La principal diferencia entre los MSSP y el MDR es que los MSSP, por lo general, no responden activamente a las amenazas. En lugar de ello, el MSSP enviará alertas creíbles al equipo de TI interno del cliente para que las investigue y resuelva. Esto requiere conocimientos altamente especializados y disponibilidad ininterrumpida por parte del cliente, algo que resulta poco práctico para muchas pequeñas empresas.
La relación entre MSSP y MDR
La diferencia entre MSSP y MDR queda más clara cuando se utilizan los términos completos (proveedor de servicios de seguridad gestionados y detección y respuesta gestionadas) en lugar de sus acrónimos. De este modo, los servicios resultan más fáciles de clasificar. Como su nombre indica, un MSSP es un proveedor que presta servicios de seguridad, mientras que el MDR es un servicio específico que incluye tanto la detección como la respuesta ante amenazas.
Si bien todos los servicios MDR son proporcionados por un MSSP, no todos los MSSP ofrecen un MDR. (Imagínate que se trata de categorías por sectores o subsectores: Todos los dálmatas son perros, pero no todos los perros son dálmatas).
Ventajas e inconvenientes del MSSP
Confiar en los servicios de seguridad de un MSSP de prestigio es una excelente opción para las empresas que están desarrollando su estructura de TI y no pueden contratar un equipo de ciberseguridad ni invertir en un conjunto amplio de herramientas de seguridad. Al recurrir a un MSSP, los equipos de TI internos pueden centrarse en tareas ajenas a la seguridad, como el servicio y la asistencia al cliente o las iniciativas de transformación empresarial, como la migración a la nube y la gestión de datos.
Sin embargo, el modelo MSSP puede presentar algunas desventajas. En particular, muchos MSSP ofrecen una amplia gama de servicios de seguridad básicos, pero carecen de experiencia especializada en un área específica. El MSSP también puede limitar a la organización en cuanto a herramientas o soluciones, dependiendo de las que pueda admitir o integrar con otros servicios.
Por último, algunos MSSP ofrecen lo que a veces se denomina un "servicio de agujero negro". Esto significa que el proveedor no comparte los datos de sus servicios de monitorización con el cliente, lo que impide que las empresas integren esos conocimientos en otros aspectos de su estrategia de ciberseguridad.
Principales diferencias entre MDR y MSSP
Aunque hemos establecido que MDR y MSSP son servicios de ciberseguridad distintos, algunas personas dentro del sector los utilizan de manera intercambiable. Esto no es correcto.
Hemos creado el siguiente cuadro para desglosar de manera sencilla las diferencias clave.
|
| MSSP | |
|---|---|---|
| Respuesta ante eventos | Sí. Como su nombre indica, MDR incluye servicios gestionados de detección y respuesta. | No. El MSSP alertará al cliente sobre la brecha, pero, por lo general, no ofrece soporte para la respuesta. |
| Conjunto de soluciones | El conjunto de soluciones de MDR incluye capacidades tanto de detección como de respuesta. La mayoría de las ofertas de servicios cuentan con el respaldo de un centro de operaciones de seguridad (SOC) de servicio ininterrumpido, además de un equipo de Threat Hunters y responsables de respuesta a incidentes. | El conjunto de soluciones de MSSP es en gran medida preventivo. Puede incluir soluciones antivirus, firewalls, puertas de enlace web, sistemas de prevención de intrusiones y otras herramientas que evitan las distintas brechas. |
| Proactivo/reactivo | Proactivo y reactivo. El MDR es un servicio integral que se basa tanto en los indicadores de ataque (IOA), que ocurren antes de la brecha, como en los indicadores de compromiso (IOC), que aparecen después, para determinar si la organización está en riesgo. | Reactivo. Los MSSP son en gran medida de naturaleza reactiva. Alertan a la organización de una brecha o evento de seguridad solamente después de que se haya producido, utilizando los indicadores de compromiso. |
| Supervisión humana | Sí. Los servicios MDR combinan tecnología avanzada con Threat Hunters humanos y responsables de respuesta a incidentes. | Supervisión humana limitada. Por lo general, los MSSP confían únicamente en la tecnología para detectar amenazas en el entorno de TI del cliente. |
| Monitorización 24/7 | Sí. El MDR incluye servicios de monitorización ininterrumpida. | Monitorización limitada. En la mayoría de los casos, los MSSP ofrecen servicios de monitorización más limitados. |
| Coste | $$ Dado que el MDR ofrece servicios más robustos, incluida la capacidad de corrección, el coste suele ser mayor que el de un MSSP. | $ El coste de un MSSP suele ser inferior al de un MDR, ya que el MSSP no ofrece servicios de corrección ni monitorización permanente. |
Nick Hayes es Senior Manager of Product Marketing para las soluciones proactivas de Threat Hunting y de detección y respuesta gestionadas (MDR) de CrowdStrike: Falcon Complete y Falcon OverWatch. Antes de incorporarse a CrowdStrike, Nick lideró el marketing de productos y contenido en startups de ciberseguridad e inteligencia sobre amenazas. También trabajó 10 años en Forrester como analista del sector de seguridad y líder de pensamiento centrado en riesgos digitales, inteligencia sobre amenazas y mercados de tecnología de análisis de seguridad. Ha participado en conferencias del sector en todo el mundo, como RSA Conference, Black Hat e Infosecurity Europe.
