Blog de WatchGuard

XDR: ¿Qué es, cómo funciona y de qué manera lo utiliza un MSP?

Desde hace algunos años hemos estado hablando de eXtended Detection and Response (XDR), pero a pesar de ser un concepto de moda en la industria, sigue habiendo una pregunta fundamental: ¿qué es XDR realmente? Según Gartner, que definió este término por primera vez en 2020, se trata de una herramienta de detección de amenazas y respuesta a incidentes, específica de un proveedor, que unifica varios productos de seguridad en un mismo sistema de operaciones.

En la actualidad, un 62% de los expertos en seguridad afirma estar "muy familiarizado" con el término XDR, un incremento notable frente al 24% de 2020. Si bien esto podría considerarse una mejora, todavía el 29% afirma estar solo “algo familiarizado”, “no muy familiarizado” o “nada familiarizado” con la tecnología XDR, de acuerdo con un estudio reciente de ESG.

Ante esta cuestión, hemos decidido profundizar en su concepto para dejar claro lo que significa XDR. En concreto, la detección y respuesta extendida atiende la necesidad de nuevos niveles de agregación, correlación y análisis de telemetría de seguridad para hacer frente a una superficie de ataque cada vez más diversificada y un panorama de amenazas en constante evolución y más complejo de detectar. Esto quiere decir que al integrar capacidades XDR en la infraestructura de una organización, los eventos de seguridad procedentes de fuentes y activos diversos son analizados y correlacionados para determinar las actividades que se están produciendo. De esta forma, el XDR comparte conocimientos desde una única plataforma de seguridad para obtener respuestas rápidas y automatizadas que, y reducen la carga de trabajo del personal de seguridad.

En WatchGuard la correlación ya estaba presente en la primera versión de ThreatSync: un motor basado en la nube que analizaba los datos de eventos de los Host Sensors y Fireboxes para identificar comportamientos maliciosos. Sin embargo, la antigua solución de Threat Detection and Response (TDR) solo utilizaba telemetría de endpoint para detectar archivos maliciosos y responder a acciones iniciadas en la nube, correlacionando los eventos de red con archivos y procesos individuales en el endpoint. Ahora, ThreatSync ha evolucionado para convertirse en una solución de XDR al integrar las soluciones de seguridad endpoint y de red en una única plataforma, permitiendo correlacionar la información de las detecciones de amenazas procedentes de las diferentes capas de protección y permitir orquestar la respuesta de las herramientas.

¿Cómo funciona el XDR?

El enfoque XDR potencia la seguridad al combinar diferentes tecnologías que generan detecciones más precisas de las que mostrarían si operasen solas. De este modo, XDR recopila y muestra de forma unificada las detecciones de productos cruzados en ordenadores, servidores y cortafuegos para ofrecer a los expertos en seguridad el contexto de las detecciones brindándoles la capacidad de responder y detener las amenazas avanzadas en menos tiempo, reduciendo drásticamente el riesgo producido por amenazas de seguridad. Al incluir estos datos en una única consola en la nube, además, se elimina la necesidad de aprender a utilizar varias consolas. Así, es posible detectar amenazas en dispositivos protegidos y desprotegidos al utilizar los datos entre dominios para frustrar las amenazas avanzadas que no son visibles en el perímetro o en los endpoint.

Además, el uso de dominios cruzados y la correlación de los eventos, permite la monitorización de actividades en diferentes productos de seguridad, lo que facilita calificar y detectar escenarios maliciosos que podrían parecer inofensivos por sí solos, pero que bajo una visión de contexto unificada, se convierten en indicadores de compromiso (IoCs), permitiendo la reducción del tiempo medio de detección (MTTD) y la rápida contención del impacto, evitando así una mayor gravedad y alcance del incidente.

Por otra parte, la automatización y programación de la respuesta, permite liberar a los analistas de tareas repetitivas o manuales actuando sobre las detecciones que coincidan con los criterios definidos previamente. Así es posible terminar de procesos, eliminar archivos, aislar un endpoint o bloquear una IP pública sin la necesidad de la intervención de un analista.

Blog-in- ThreatSync

Casos de uso y beneficios del XDR para los MSP

El uso de XDR trae grandes ventajas para los managed service providers (MSP) al momento de proteger la seguridad de sus clientes. Por ejemplo, ante un caso de amenazas avanzadas persistentes (APT), contar con la correlación entre la seguridad de red y el endpoint puede marcar la diferencia. Hoy en día existe la expectativa de que los archivos se descarguen de forma casi instantánea, por ello, el cortafuegos debe permitir que se descarguen archivos desconocidos mientras los envía para su análisis en el sandbox. Si el archivo, después de su análisis, es catalogado como malicioso, el XDR lo correlaciona con un endpoint para eliminarlo del dispositivo.

Del mismo modo, ante los procesos ejecutados en un ordenador que no son dañinos per se, pero que pueden realizar conexiones maliciosas, como los navegadores o los clientes de correo electrónico, es donde las funcionalidades XDR pueden tomar los datos de las conexiones bloqueadas en el cortafuegos para vincularlos con aplicaciones individuales en el endpoint. Así, puede encontrar nuevas aplicaciones maliciosas o simplemente descubrir goodware con un comportamiento sospechoso y que requiere de un análisis más detallado.

Los anteriores casos de uso ponen en valor la idoneidad de esta herramienta para que los MSP puedan proteger las redes de sus clientes. Sin embargo, existen otros beneficios del uso de la XDR que los MSP pueden obtener:

  • Visibilidad unificada de amenazas: XDR ofrece una mayor precisión, así como acelera la detección al unificar los datos de amenazas en una única interfaz. La recopilación y visualización de las detecciones cruzadas con diferentes productos aportan agilidad a los MSP, ya que obtienen un contexto de detención que les brinda la información necesaria para responder y detener las amenazas avanzadas de forma más eficiente.
  • Reducción del mean time to detect (MTTD): según datos de IBM, en el 2022 las empresas tardaron una media de 207 días en identificar un incidente de seguridad. Sin embargo, las organizaciones con tecnologías XDR vieron considerables ventajas en los tiempos de identificación y respuesta. Las organizaciones que implantaron XDR acortaron el ciclo de vida del incidente en aproximadamente un mes (29 días), de media, en comparación con las organizaciones que no implantaron XDR.
  • Orquestación unificada de la respuesta a las amenazas: XDR permite a los MSP ser más eficientes, ya que ofrece un amplio rango de acciones de respuesta, pudiendo además, programar y automatizar la respuesta ante las amenazas en toda la red desde una única consola de forma más rápida, reduciendo el riesgo y ofreciendo una mayor precisión y rapidez en la respuesta recudiendo el mean to time to respond (MTTR). Para cualquier empresa, poder reducir los tiempos de detección y disponer de agilidad en las acciones de respuesta, puede marcar la diferencia entre responder a tiempo ante una amenaza evitando que cause un mayor daño o que el ataque se propague tomando el control de los sistemas de la organización.
  • No hace falta configuración: algunas soluciones XDR requieren conocimientos avanzados para instalación, configuración y configuración de la herramienta. La solución XDR, WatchGuard ThreatSync, forma parte del marco de la Plataforma de Seguridad Unificada, ofreciendo una experiencia de usuario unificada e intuitiva que simplifica su adaptación y aprendizaje, y al ser multiproducto y estar completamente integrada, reduce los costes asociados a la configuración e integración de las soluciones.

XDR es el complemento perfecto para los MSP que gestionan pequeñas y medianas empresas, ya que les permite aumentar las capacidades de seguridad de forma automatizada y sin necesidad de expertos en ciberseguridad. Mejora la visibilidad, aumenta las capacidades de detección en algunos escenarios específicos y permite responder y remediar los ataques de una forma muy sencilla. Descubre cómo WatchGuard te puede ayudar a adoptar una postura de seguridad basada en XDR a través de nuestra solución ThreatSync.