En una publicación reciente del blog, la analista de Forrester Allie Mellen escribió que hasta hace poco:

"No existía una explicación fiable e imparcial sobre qué es XDR y en qué se diferencia de una plataforma de análisis de seguridad, lo que ha generado confusión y rechazo entre los clientes, que la consideran una palabra de moda más en el marketing de ciberseguridad".

Entonces, ¿qué es XDR? ¿Sustituye a los sistemas SIEM y SOAR? ¿Qué deben buscar las organizaciones en una solución XDR? En esta publicación, responderemos a estas preguntas comunes y a muchas otras para ayudar a los profesionales de seguridad a moverse en un panorama de soluciones complejo y abarrotado. No obstante, antes de explorar las complejidades de estos sistemas, vamos a responder a algunas preguntas básicas:

• ¿Qué es XDR?
• ¿Qué es SIEM?
• ¿Qué es SOAR?

¿Qué es XDR?

La detección y respuesta extendidas (XDR) es la evolución de la detección y respuesta para endpoints (EDR). XDR adopta un enfoque integral para la detección y la respuesta a amenazas que optimiza la ingesta de datos de seguridad, el análisis y los flujos de trabajo de prevención y corrección en todo el modelo de capas de seguridad de una organización. Con una sola consola para ver los datos y aplicar medidas, XDR permite a los equipos de seguridad detectar fácilmente amenazas ocultas y avanzadas, así como automatizar respuestas complejas de varios pasos en su pilas de tecnología de seguridad. XDR suele dividirse en dos tipos: XDR abierto y XDR nativo.

Funciones de XDR:

• recopilar, correlacionar y analizar datos de endpoints, cargas de trabajo en la nube, redes y correos electrónicos mediante herramientas de automatización e inteligencia artificial (IA) avanzadas;
• priorizar los datos y ofrecer información a los equipos de seguridad en un formato normalizado a través de una sola consola;
• coordinar las herramientas de seguridad aisladas, al unificar y optimizar los análisis de seguridad, las investigaciones y las correcciones en una misma consola;
• podría incluir acceso a profesionales con experiencia en Threat Hunting, inteligencia sobre amenazas y análisis cuando se adquiere como solución gestionada.

Gracias a estas funciones, XDR mejora drásticamente la visibilidad de las amenazas, acelera las operaciones de seguridad, reduce el coste total de propiedad y alivia la carga constante del personal de seguridad.

¿Qué es SIEM?

La gestión de eventos e información de seguridad (SIEM) es un conjunto de herramientas y servicios que combinan capacidades de gestión de eventos de seguridad (SEM) y de gestión de información de seguridad (SIM) para permitir a los analistas revisar los datos de eventos y logs, comprender las amenazas y prepararse para ellas, y recuperar y generar informes sobre los datos del log.

Funciones del SIEM:

• recopilar datos de los logs de toda la organización y utilizarlos para identificar, categorizar y analizar incidentes y eventos;
• proporcionar visibilidad sobre actividades malintencionadas extrayendo datos de todo el entorno, incluido el hardware y las aplicaciones de red;
• compilar todos los datos en una única plataforma centralizada;
• aprovechar los datos para producir alertas, crear informes y respaldar la respuesta a incidentes.

SIEM permite a las organizaciones analizar datos de todas las aplicaciones y el hardware de la red en cualquier momento. Así, las organizaciones pueden reconocer posibles amenazas de seguridad antes de que tengan la oportunidad de interrumpir las operaciones empresariales.

¿Qué es SOAR?

La organización, automatización y respuesta de seguridad (SOAR) es una recopilación de programas de software desarrollados para reforzar la posición de ciberseguridad de una organización. Una plataforma SOAR permite a un equipo de analistas de seguridad monitorizar datos de seguridad de distintas fuentes, como sistemas de gestión e información de seguridad y plataformas de inteligencia sobre amenazas.

Funcionalidades de SOAR:

• recopilar información sobre amenazas, automatizar las respuestas rutinarias y clasificar las amenazas más complejas, lo que minimiza la necesidad de intervención humana;
• unificar tres soluciones de software (gestión de vulnerabilidades y amenazas, respuesta a incidentes de seguridad y automatización de las operaciones de seguridad) para reforzar y optimizar la posición de seguridad;
• aprovechar la intervención manual y humana, así como la tecnología de aprendizaje automático (ML), para analizar los datos de seguridad entrantes y priorizar las acciones de respuesta a incidentes.

El objetivo principal de una plataforma SOAR es recopilar datos relacionados con amenazas y automatizar las respuestas ante amenazas. Tu equipo de seguridad puede utilizar una plataforma SOAR para aumentar la eficiencia y el tiempo de respuesta.

¿Cuáles son las principales diferencias entre SIEM, SOAR y XDR?

SIEM es principalmente una herramienta de recopilación de logs cuyo objetivo es respaldar el cumplimiento, el almacenamiento de datos y el análisis. El análisis de seguridad es una capacidad que se ha incorporado a las soluciones SIEM y no puede identificar adecuadamente las amenazas sin ejecutar un análisis de seguridad independiente basado en un enorme conjunto de datos.

SOAR, tal y como ya hemos mencionado, incorpora capacidades de organización, automatización y respuesta al SIEM, y permite que las distintas herramientas de seguridad se coordinen entre sí. No obstante, la conexión bidireccional es todo lo que ofrece SOAR. Si bien es valioso, no resuelve el problema del análisis de big data, y tampoco es capaz de proteger los datos o los sistemas por sí mismo.

XDR surgió para cubrir las carencias de SIEM y SOAR a través de un enfoque muy diferente basado en la optimización y los datos de endpoint. XDR cuenta con capacidades de análisis avanzadas que permiten a la organización centrarse en los eventos de mayor prioridad y responder rápidamente.

Preguntas frecuentes sobre SIEM, SOAR y XDR

¿Cuál es la relación entre SIEM y SOAR?

En muchos casos, SOAR y SIEM se usan juntos. Las dos plataformas son complementarias y pueden usarse de forma conjunta en las operaciones generales de seguridad como parte de un proceso de dos pasos:

1. El único propósito de una solución de software SIEM, en el contexto de la ciberseguridad, es recopilar y enviar alertas al personal de seguridad para que se investiguen.
2. La herramienta SOAR utiliza datos sobre problemas de seguridad para automatizar la respuesta. SOAR también usa la inteligencia artificial para predecir y responder a futuras amenazas similares.

La relación entre SIEM y SOAR es como la de un asistente y su superior. La solución SIEM recopila y correlaciona los logs para identificar los que deberían considerarse como una alerta. El sistema SOAR recibe los datos del SIEM y toma la iniciativa en las resoluciones.

En resumen: SIEM cuenta con capacidades de análisis y de repositorio de logs, mientras que las plataformas SOAR carecen de ellas. SOAR cuenta con capacidades de respuesta y SIEM carece de ellas. Sin una plataforma SOAR, los equipos de seguridad deberían utilizar diferentes interfaces fuera de SIEM para actuar sobre los datos y la información que produce el SIEM.

¿Sustituye XDR a SIEM y SOAR?

La respuesta es no. Aunque XDR ofrece a las organizaciones nuevas capacidades de seguridad y protección mejorada, no puede y no debería sustituir por completo a SIEM y SOAR.

XDR no puede sustituir a SIEM, puesto que SIEM cuenta con casos de uso fuera de la detección de amenazas, como la gestión de logs, el cumplimiento, el análisis de datos no relacionados con las amenazas y la gestión. Si bien XDR puede satisfacer casos de uso centrados en las amenazas y sustituir a SIEM en ese sentido, la organización seguirá teniendo otras necesidades que puede satisfacer el sistema SIEM.

En cuanto a SOAR, esta plataforma ofrece valiosas capacidades de organización que ayudan al equipo de seguridad a optimizar los recursos y priorizar las actividades. Por lo general, una solución XDR no cuenta con estas capacidades, por lo que es importante mantener el sistema SOAR e integrarlo con XDR.

¿Necesita mi organización las tres herramientas (SIEM, SOAR y XDR)?

Sí, aunque no únicamente por motivos de seguridad. En este artículo, hemos explorado las diferentes capacidades de seguridad de SIEM, SOAR y XDR, y hemos indicado cómo pueden usarse de forma conjunta para proporcionar una solución de seguridad sólida e integral, así como satisfacer otros casos de uso. Si las organizaciones ignoran cualquiera de estas capacidades críticas, corren el riesgo de sufrir brechas de seguridad y otros eventos de seguridad, o de no cumplir otros requisitos comerciales.

En qué destaca CrowdStrike Falcon® Insight XDR

Si bien XDR se ha promocionado como la mejor y más reciente herramienta de seguridad, existe una gran confusión dentro del mercado, e incluso entre los analistas, sobre qué constituye una solución XDR.

CrowdStrike Falcon® Insight XDR combina Threat Hunting de clase mundial, aprendizaje automático (ML), inteligencia artificial (IA) e indicadores de ataque (IOA) con fuentes de datos externas para correlacionar eventos y ofrecer detecciones en tiempo real.

CrowdStrike Falcon® Insight XDR permite a los equipos de seguridad:

• Unificar los datos de seguridad de detección y respuesta. CrowdStrike Falcon® Insight XDR toma datos de terceros (seguridad de red, seguridad de correo electrónico, seguridad web, seguridad en la nube y agentes de seguridad de acceso a la nube [CASB]), incluidos los partners de CrowdXDR Alliance, y los correlaciona con los datos de CrowdStrike Security Cloud para optimizar la detección, la investigación, la respuesta y la búsqueda de amenazas en tiempo real.
• Obtener las respuestas correctas, rápidamente. CrowdStrike Falcon® Insight XDR acelera la clasificación y la investigación para los analistas y Threat Hunters del centro de operaciones de seguridad (SOC) al ofrecer una consola central para priorizar de forma precisa las alertas, programar búsquedas flexibles y personalizar la detección, disponer de un contexto completo del ataque y visualizar gráficos interactivos.
• Transformar la información de XDR en acciones. Para organizar y automatizar la respuesta en varios flujos de trabajo de seguridad, Falcon Fusion, un marco SOAR, está integrado de forma nativa en la plataforma Falcon. Los equipos de seguridad pueden mejorar la eficiencia del SOC y de TI mediante la creación de capacidades de notificación y respuesta en tiempo real, junto con activadores personalizables basados en la detección y la categorización de incidentes.
• Aumentar la eficiencia de las operaciones del SOC. CrowdStrike Falcon® Insight XDR correlaciona y proporciona automáticamente datos de detección de alta calidad en todo el modelo de capas de seguridad. Acelera drásticamente la investigación y la detección mediante una interfaz de búsqueda común directamente en CrowdStrike Security Cloud.
• Mejorar el retorno de la inversión (ROI) de las inversiones en seguridad existentes. CrowdStrike Falcon® Insight XDR obtiene información práctica a partir de datos previamente aislados en productos de seguridad desconectados y dispares de toda la pila de TI.

Para obtener más información sobre los principales aspectos de CrowdStrike Falcon® Insight XDR, consulta nuestro producto CrowdStrike Falcon® Insight XDR y descarga la ficha técnica.