¿Qué es XDR?

¿Cómo funciona XDR?

XDR recopila telemetría de lo que de otro modo serían múltiples silos de datos, utilizando un agente local que sirve efectivamente como solución de gestión de eventos e información de seguridad (SIEM), entre otras funciones. XDR identifica malware y amenazas avanzadas y luego toma varias medidas para priorizarlas, contenerlas y eliminarlas utilizando el poder del aprendizaje automático (ML) y la automatización.

Para lograr esto, XDR realiza continuamente tres funciones principales:

1. Análisis

La solución recopila datos en servidores, puntos finales, nubes y otras partes del ecosistema, correlaciona esos datos y envía solo las alertas relevantes e importantes al equipo de seguridad de la organización, lo que ayuda a minimizar la fatiga por alertas.

2. Detección

Aprovechando su amplia y profunda visibilidad, XDR utiliza ML para establecer una línea de base del comportamiento normal de usuarios y entidades. En combinación con otros mecanismos de detección, esto permite a la solución XDR investigar anomalías que podrían indicar amenazas a la seguridad.

3. Respuesta

La XDR aísla y elimina una amenaza y luego, actualiza las políticas de seguridad para detener esa amenaza en el futuro. El punto en el que va más allá del EDR es en la consolidación de los recursos del centro de operaciones de seguridad (SOC) en los entornos de red, puntos finales y nube en una sola consola.

Ventajas de la seguridad XDR

La XDR unifica las capacidades de detección y respuesta en todo un entorno de datos, lo que le permite superar los productos de seguridad tradicionales y las soluciones puntuales para ofrecer una mayor cobertura y una visión más completa de los incidentes de seguridad. Una plataforma XDR eficaz ofrece:

• Visibilidad y perspectivas amplias y profundas: con una perspectiva que va más allá del punto final, una solución XDR puede identificar las amenazas sofisticadas (incluyendo el punto de entrada, los activos y entornos afectados y los métodos) en cualquier puerto, protocolo o capa de su ecosistema, lo que le proporciona una ventaja en la remediación y el análisis de la causa raíz.
• Correlación y triaje automatizados: la automatización impulsada por ML correlaciona los datos y prioriza las alertas, optimizando los flujos de trabajo de corrección de su equipo de seguridad al ayudarles a evitar falsos positivos y detectar verdaderas amenazas en volúmenes de datos que nunca podrían analizar con un sistema manual:
• Operaciones más rápidas y eficaces: con una visión integral y centralizada de las amenazas, menos herramientas de seguridad que gestionar y supervisar, y análisis automatizados, XDR reduce la complejidad operativa y permite a sus expertos que se centren en la caza proactiva de amenazas y otras tareas valiosas.

Casos de uso de XDR

XDR admite tres casos de uso principales:

Triaje

Con el enorme volumen de amenazas que se ciernen sobre las redes empresariales actuales, ni siquiera los profesionales de la seguridad más cualificados pueden seguir el ritmo de las alertas, y mucho menos clasificar con rapidez y precisión los falsos positivos, priorizar las amenazas más críticas y responder. XDR utiliza aprendizaje automático y análisis avanzados para refinar los datos sobre amenazas de todo el ecosistema y convertirlos en un número manejable de alertas de alta calidad.

Caza de amenazas

Las sofisticadas amenazas de la actualidad son extremadamente buenas a la hora de ocultarse, lo que hace que la caza de amenazas sea más importante y más difícil que nunca. Dado que la XDR ofrece visibilidad de todo su ecosistema junto con detección y correlación potenciadas por ML, puede detectar amenazas que las soluciones SIEM tradicionales por sí solas pasarían por alto.

Investigación

Las soluciones XDR brindan un contexto enriquecido para respaldar el análisis de la causa raíz, incluidos datos históricos y en tiempo real, lo que ayuda a su equipo de seguridad a comprender qué sucedió en un ataque y qué se necesita para detener ataques similares en el futuro.

XDR vs. Otras tecnologías de detección y respuesta

Con tecnologías de detección y respuesta automatizada, las empresas pueden supervisar continuamente los sistemas para detectar, investigar y contener amenazas en el tráfico de la red y de las aplicaciones a medida que surgen. Utilizando tecnologías de aprendizaje automático y automatización, XDR puede priorizar, contener y eliminar esas amenazas en tiempo real.

Otras tecnologías de detección y respuesta incluyen:

Detección y respuesta de puntos finales (EDR), que puede identificar, priorizar y responder al malware y las amenazas avanzadas en los puntos finales y en las cargas de trabajo, pero carece de visibilidad en el resto del ecosistema.

Detección y respuesta de red (NDR), que centra sus capacidades de respuesta en los ataques que se ocultan en el tráfico de red e intentan evadir los firewalls de red.

Detección y respuesta gestionada (MDR), que se basa en los servicios prestados por un equipo de analistas de seguridad de terceros, en lugar de su propio personal.

NDR y EDR fueron revoluciones en los ámbitos de la seguridad de redes y puntos finales en su momento, pero los complejos ecosistemas de datos multicapa de la actualidad exigen una visibilidad y un análisis más coordinados, junto con una mayor precisión y velocidad, para mantenerse al día con el volumen y las técnicas sofisticadas de los ciberataques modernos.

Requisitos clave de XDR

Como ocurre con cualquier tecnología relativamente nueva, existen muchas perspectivas diferentes sobre lo que define la detección y respuesta extendidas. ¿En qué consiste exactamente la XDR? En esencia, XDR está:

• Basada en SaaS: básicamente, XDR se ofrece como un servicio en la nube. Esto ofrece fuertes retornos en términos del costo de alojamiento y mantenimiento, pero también es clave para que la XDR brinde protección efectiva, ya que las actualizaciones se pueden enviar instantáneamente a todos los clientes.
• Basada en agentes: aunque XDR se basa en la nube, sigue necesitando que se instale un agente en sus puntos finales físicos y virtuales para recopilar datos, realizando las funciones de un SIEM. Muchos agentes también realizan funciones antivirus y de protección de puntos finales que complementan la funcionalidad de SaaS.
• Unificada: esta es la esencia de XDR. Al recopilar telemetría de cualquier fuente de datos y utilizarla para alimentar el análisis del comportamiento y las técnicas de detección avanzadas, XDR ofrece protección contra el ransomware y otros programas maliciosos avanzados mucho más allá de lo que pueden hacer los productos puntuales desconectados.

¿Cómo la XDR apoya a Zero Trust?

Si su organización busca implementar Zero Trust(o perfeccionar su arquitectura Zero Trust existente), le conviene agregar XDR a su pila de seguridad en la nube para aprovechar al máximo:

• Seguridad en la nube optimizada: implementar Zero Trust en un entorno multinube puede presentar algunos desafíos. XDR agiliza gran parte del proceso al consolidar las cargas de trabajo de la nube en todos los entornos y permitir una supervisión exhaustiva.
• Mejor visibilidad: XDR realiza análisis en tiempo real y análisis de seguridad centralizados en todo su entorno, lo que facilita que su organización implemente y aplique controles de seguridad Zero Trust.
• Automatización: XDR automatiza tareas clave de identificación, clasificación, búsqueda y respuesta, lo que reduce la carga de su equipo de seguridad. El análisis basado en IA y ML del comportamiento del usuario y de la red ayuda a brindar una seguridad más rápida y eficiente.
• Priorización: Zero Trust supone que cualquier cosa podría ser una amenaza hasta que se demuestre lo contrario. XDR encaja perfectamente aquí: al utilizar la correlación automatizada y los análisis impulsados por ML para evitar abrumar a los equipos de seguridad con alertas, ayuda a optimizar los flujos de trabajo y a reducir los tiempos de respuesta.

¿Cómo puede ayudar Zscaler?

Zscaler se integra con socios líderes de la industria para combinar la plataforma nativa de la nube Zscaler Zero Trust Exchange™ con el poder de XDR. Mediante el uso de IA/ML avanzada, nuestras alianzas de XDR proporcionan inteligencia sobre amenazas de alta fidelidad y contexto para una detección y respuesta más rápidas y eficaces en todas las plataformas, lo que permite una visibilidad de extremo a extremo.

Obtenga más información sobre Zscaler y CrowdStrike Falcon XDR.

Obtenga más información sobre Zscaler y SentinelOne Singularity XDR.

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ es una plataforma nativa de la nube construida sobre Zero Trust. Se basa en el principio de privilegios mínimos, por lo que establece la confianza a través del contexto, como la ubicación de un usuario, la postura de seguridad de su dispositivo, el contenido que se intercambia y la aplicación que se solicita. Una vez que se establece la confianza, sus empleados obtienen conexiones rápidas y confiables, dondequiera que estén, sin tener que estar ubicados directamente en su red. Zero Trust Exchange opera en 150 centros de datos en todo el mundo, lo que garantiza que el servicio esté cerca de sus usuarios, situado junto con los proveedores de nube y las aplicaciones a las que acceden.