La industria de la seguridad cibernética debería contar con un glosario para cubrir todos los acrónimos que utiliza. Hemos hablado sobre algunos de los términos más comunes en el pasado, pero hoy estamos analizando más de cerca tres grandes: MDR, XDR y EDR.
¿Qué significan exactamente estas tres siglas? La respuesta corta es bastante fácil:
- MDR se refiere a detección y respuesta gestionadas.
- XDR se refiere a detección y respuesta extendidas.
- EDR se refiere a la detección y respuesta de punto final.
En pocas palabras, estos tres enfoques de las tecnologías de detección y respuesta son temas candentes en el sector de la seguridad y dominan muchas conversaciones.
Si bien están estrechamente relacionados, existen varias diferencias importantes sin mencionar los matices más sutiles que distinguen sus enfoques de seguridad. El desafío consiste en entender cómo los proveedores utilizan estos términos. Sin una comprensión más clara de los resultados reales que proporciona cada uno las empresas pueden tener dificultades para tomar una decisión informada sobre las soluciones que necesitan para defender sus operaciones y datos.
MDR, XDR y EDR comparten mucho ADN pero la forma en que abordan la seguridad puede variar enormemente. Echemos un vistazo más de cerca a estas tres soluciones para comprender mejor sus capacidades y beneficios potenciales.
En este blog, aprenderás:
- Qué MDR, XDR y EDR están diseñados para proteger
- Los beneficios de cada solución de detección y respuesta
- Qué enfoque es mejor para su negocio
¿Qué es la detección y respuesta de punto final (EDR)?
La detección y respuesta de puntos finales (EDR) se enfoca en proteger los dispositivos de puntos finales cualquier dispositivo con conexiones hacia y desde una red. Los puntos finales incluyen computadoras portátiles y de escritorio, teléfonos inteligentes, tabletas, dispositivos de Internet de las cosas (IoT), servidores y más.
EDR puede verse como una evolución de la protección de punto final tradicional (EPP) una forma de detección de amenazas basada en la clasificación. Las soluciones EDR que se basan en la detección basada en la clasificación solo pueden identificar realmente las amenazas conocidas consultando una base de datos existente para comparar la actividad detectada con las amenazas conocidas y tomar una acción automatizada cuando coincidan.
EDR puede incorporar detección basada en firmas para defenderse de amenazas conocidas, pero se distingue por su mayor enfoque en el monitoreo activo. Esto hace que EDR sea más adecuado para detectar e identificar amenazas desconocidas como amenazas persistentes avanzadas (APT) . Las APT son como sugiere su nombre, amenazas cibernéticas más sofisticadas que pueden pasar desapercibidas durante largos períodos de tiempo.
EDR tiene que ver con la visibilidad, brindando a los equipos más información sobre lo que sucede en un punto final para que puedan resolver rápidamente las amenazas a medida que surgen.
¿Cuáles son los beneficios de EDR?
EDR tiene una serie de beneficios que lo convierten en una herramienta de seguridad atractiva. Ofrece visibilidad del estado de sus endpoints y, dado que el 70 % de todas las infracciones comienzan en los endpoints este enfoque es muy valioso para los profesionales de la seguridad.
EDR revisa un amplio conjunto de información y, como tal, puede detectar amenazas que evaden las plataformas EPP heredadas, como ataques de malware sin archivos y realizar actividades de respuesta a incidentes (IR) . Y al igual que otras herramientas, EDR puede integrarse con una solución más grande como una plataforma de gestión de eventos e información de seguridad (SIEM) .
Sin embargo, el enfoque limitado en la telemetría de punto final limita la cantidad de datos disponibles para el análisis. Aislada de otras fuentes, la actividad anormal de los puntos finales pinta una imagen incompleta. Sin contexto de lo que sucede en la red o en la nube por ejemploces más difícil determinar qué es una amenaza genuina y qué es simplemente un falso positivo.
Además cuando se utilizan como parte de un SIEM las soluciones EDR también pueden contribuir a un volumen de alerta significativo. La actividad en los puntos finales generaría un conjunto de notificaciones, mientras que la actividad en la nube (potencialmente de la misma amenaza) crea otro. El desafío de la correlación significa que lidiar con las alertas puede dejar a los equipos exhaustos, exacerbando la fatiga de las alertas y aumentando potencialmente la rotación de empleados.
¿Qué es la detección y respuesta extendidas (XDR)?
Los orígenes de XDR provienen del hecho de que mirar a través de una sola lente a la infraestructura de una organización simplemente no brinda la cobertura necesaria para minimizar la superficie de amenaza. Los compromisos pueden ocurrir en el punto final, la red y la nube, y a través de los propios empleados.
EDR y algunas ofertas tradicionales de MDR se ven con frecuencia como soluciones puntuales limitadas, que abordan un solo aspecto dentro de una red. XDR es una respuesta directa a esas limitaciones, reuniendo capacidades de detección y respuesta para puntos finales, redes y servicios en la nube en una sola plataforma. XDR a menudo se ofrece como software como servicio (SaaS), lo que facilita que las empresas accedan a esta tecnología.
A la luz de los entornos de trabajo híbridos, la infraestructura de TI compleja y las amenazas cada vez más sofisticadas, las soluciones XDR prometen brindar información relevante y datos sobre amenazas para que las organizaciones puedan proteger mejor sus datos y operaciones.
¿Cuáles son los beneficios de XDR?
Las soluciones XDR reconocen que la detección de puntos finales por sí sola no es suficiente para proteger la infraestructura de TI moderna. Los indicadores de compromiso no se muestran únicamente en los puntos finales; el tráfico anómalo y los patrones de tráfico a través de la red, y la actividad anómala de la nube también pueden indicar problemas.
Más allá de esto, XDR proporciona una variedad de beneficios para las organizaciones:
- Detección y respuesta mejoradas: como hemos comentado, debido a su enfoque en toda la superficie de amenazas, XDR puede ayudar a las empresas a identificar y abordar las amenazas dirigidas a cualquier aspecto de su infraestructura de TI.
- Interfaz de usuario centralizada: uno de los principales puntos de venta de las soluciones XDR es el hecho de que centralizan todos los datos de amenazas en un solo tablero, lo que facilita que los equipos prioricen su respuesta.
- Menor costo total de propiedad: las soluciones XDR pueden simplificar los conjuntos de herramientas de seguridad, lo que a menudo ayuda a las organizaciones a encontrar eficiencias y maximizar sus recursos.
- Análisis automatizado: tener una solución que identifique, clasifique y priorice las amenazas en su nombre mientras analiza simultáneamente grandes cantidades de datos es un gran beneficio para los equipos de seguridad en todas partes.
XDR adopta su enfoque amplio para el monitoreo de amenazas cibernéticas al reunir múltiples piezas de tecnología para brindar una mayor comprensión de un entorno de TI. Pero ese enfoque tiene sus inconvenientes.
Las soluciones XDR a menudo se construyen de manera dispar es decir cada componente no se ha desarrollado de manera coherente desde cero para garantizar una interoperabilidad perfecta. Como resultado es posible que cada pieza de la plataforma solo brinde una instantánea del panorama general. Además la huella y el uso de la CPU debido a las diferentes piezas de tecnología pueden ser significativos.
Esto también genera un ruido considerable. Cada herramienta en una solución XDR puede proporcionar múltiples alertas para el mismo problema. Como se mencionó anteriormente, la actividad sospechosa en un servicio en la nube y la actividad sospechosa en un punto final pueden estar vinculadas, pero las soluciones XDR no siempre brindan ese contexto, lo que podría significar la diferencia entre prevenir un ataque o ser víctima de uno.
¿Qué es la detección y respuesta gestionadas (MDR)?
A pesar de lo útiles que pueden ser estas herramientas para una organización, ambas pueden generar una avalancha de datos que necesitan análisis en algún momento. Revisar los datos de telemetría requiere experiencia en seguridad cibernética, pero incluso con esta experiencia, es un proceso tedioso y que requiere mucho tiempo. Este es el desafío que la detección y la respuesta administradas buscan abordar.
MDR no es una tecnología específica, sino un servicio administrado que reúne los beneficios de EDR y/o XDR en una oferta conveniente lo que ayuda a superar algunos de los desafíos de contratar profesionales de seguridad cibernética que tienen la experiencia necesaria para crear un programa de seguridad interno.
Como hemos mencionado, EDR y XDR generan cantidades significativas de información, lo que requiere que los equipos analicen mayores volúmenes de datos de alerta y determinen qué es un falso positivo y qué es una amenaza real. MDR elimina esto del plato del cliente poniendo las responsabilidades de detección y respuesta en manos de un proveedor de seguridad externo experimentado.
En muchos casos MDR simplemente ofrece un enfoque de servicios para las actividades tradicionales de detección y respuesta. A veces se empaqueta junto con una variedad de otras herramientas de seguridad, como un firewall de DNS, sensores de red o monitoreo en la nube para proteger mejor la infraestructura de TI moderna.
¿Cuáles son los beneficios de MDR?
El mayor beneficio de MDR es la tranquilidad que ofrece a las empresas. Como servicio administrado, MDR libera tiempo para que los equipos de TI y seguridad se concentren en iniciativas estratégicas que respalden los objetivos comerciales.
Además, un servicio administrado puede ser más rentable y más accesible que crear un equipo de seguridad interno. Al tomar las capacidades de EDR y entregarlas como un servicio administrado, los proveedores de MDR pueden ofrecer beneficios adicionales a sus clientes:
- Análisis de eventos: manejar el arduo trabajo de analizar los miles de millones de eventos de seguridad, ayudar a eliminar los falsos positivos de las amenazas genuinas, a menudo mediante el aumento del aprendizaje automático con análisis y soporte humanos.
- Clasificación de alertas: alertas de clasificación que permiten a las empresas priorizar mejor sus actividades de seguridad cibernética y centrarse primero en los problemas más críticos.
Gestión de vulnerabilidades: abordar de forma proactiva las vulnerabilidades para minimizar la superficie de amenazas de una organización - Remediación: ofrecido como un servicio adicional o incluido en el acuerdo de servicio, los proveedores de MDR pueden ayudar a reparar, restaurar y remediar después de un incidente de seguridad cibernética, minimizando el daño y el tiempo de recuperación.
- Caza de amenazas: los proveedores de MDR pueden monitorear la red de una organización y buscar incidentes activos, lo que ayuda a las empresas a detectar amenazas de manera temprana y minimizar los daños potenciales.
A pesar de lo útiles que pueden ser los productos y servicios de MDR, no todos los proveedores ofrecen la defensa integral que requiere una empresa moderna. Algunas soluciones de MDR no tienen en cuenta las amenazas basadas en la red o en la nube y solo ofrecen visibilidad de un único conjunto de datos.
Qué buscar en una solución de ciberseguridad
La prevalencia de estos tres términos significa con frecuencia que las empresas que buscan una solución a menudo se quedan atrapadas tratando de averiguar qué protección proporcionarán los proveedores. También contribuyen a la creencia de que una sola tecnología resolverá todos los desafíos de seguridad. Pero no vas a encontrar la solución perfecta en un acrónimo.
En su lugar, concéntrese en los resultados que necesita para su negocio. Esto incluye cosas como el alcance de la cobertura que brinda cada solución, junto con la experiencia, las calificaciones y los servicios ofrecidos por el proveedor de la solución. Necesita una protección que se extienda a todos los aspectos de su infraestructura de TI, que brinde información relevante y oportuna junto con el contexto necesario para tomar decisiones informadas sobre su postura de seguridad.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.
