Blog de WatchGuard

¿Cuál es la diferencia entre XDR y SIEM?

En los últimos veinte años, las plataformas de gestión de eventos e información (SIEM) han sido de las soluciones más esenciales para el manejo de la ciberseguridad, ya que son capaces de ayudar a los equipos de seguridad a centralizar sus actividades de identificación de ataques y amenazas. Ahora, la industria de la ciberseguridad está experimentando un cambio hacia una nueva tipología de soluciones conocidas como detección y respuesta extendida (XDR).

Ambas tecnologías son consideradas similares y muchos todavía no reconocen la diferencia entre ellas puesto que tienen capacidades que se solapan. Sin embargo, elegir la solución adecuada es fundamental para construir una arquitectura de seguridad eficaz y sostenible que respalde las necesidades que los clientes demandan de sus proveedores de servicios gestionados (MSP).

Principales diferencias entre XDR y SIEM

La diferencia más esencial entre XDR y SIEM es que el segundo tiene un enfoque más generalista que hace que sea menos efectivo que las plataformas XDR, que son altamente especializadas en correlacionar información de seguridad para identificar ataques y amenazas con un esfuerzo mucho menor. Las herramientas SIEM permiten a las organizaciones recopilar registros y alertas de múltiples soluciones. Sin embargo, no incluye ningún análisis o automatización, a diferencia de XDR que, al incorporar EDR y elementos de MDR, forma una solución integral para una mayor detección y respuesta. En este sentido, XDR podría verse como un complemento perfecto a un sistema SIEM utilizando los datos recopilados de esta solución para proporcionar un nivel más manejable de alertas e información.

Además, se podría decir que XDR es un sistema que ofrece una alternativa a los enfoques reactivos   tradicionales que brindan visibilidad en capas de los ataques, como el EDR, el NDR y el análisis de comportamiento del usuario (UBA) o, incluso, el propio SIEM. Esta tecnología es capaz de implementar acciones de respuesta al obtener datos de diferentes fuentes, correlacionarlos y clasificarlos automáticamente para generar una detección a la que otorga una nota de criticidad sobre la que es posible realizar una determinada acción, que también puede ser programada para llevarse a cabo posteriormente, o en un futuro cuando se produzca una situación similar que cumpla esos mismos criterios.  En comparación, SIEM es pasivo e informa a través de la generación de alertas que deben ser gestionadas por personal cualificado.

Sin embargo, con las siguientes cuatro claves es posible entender las principales diferencias entre ambas soluciones:

Objetivo:

Las soluciones SIEM ofrecen, en su mayoría, capacidades centralizadas de gestión y análisis de registros para una organización. Esta solución genera alertas, realiza correlación entre datos de varias soluciones seleccionadas y permite realizar un análisis posterior al evento. SIEM, a su vez, puede utilizarse para la supervisión del cumplimiento, contención y la elaboración de informes más completos.

XDR se centra en el uso de los datos que recopila para mejorar la detección y respuesta a las amenazas. Su objetivo es identificar, investigar y tomar las medidas adecuadas para resolver los incidentes de forma rápida y eficiente.

Complejidad de gestión:

Las soluciones SIEM, por su naturaleza más abierta, suelen requerir un importante esfuerzo de gestión para conectarlas a las fuentes de datos, correlacionar los eventos, configurar sus alertas. Debido a la cantidad de información que manejan para obtener visibilidad centralizada, producen un gran volumen de alertas individuales que son difíciles de ponderar y clasificar para distinguir cuál es la que necesita más atención.

Por su parte, las soluciones XDR están pensadas para integrarse de forma más sencilla en la arquitectura de seguridad de una empresa. Tiene la ventaja de reducir las alertas importantes, que de otra forma pueden ser pasadas por alto, gracias a la correlación automática de datos provenientes de distintas capas de seguridad que le permite confirmarlas de forma automática y reducir el tiempo que los analistas de seguridad necesitan para evaluar alertas y riesgos relevantes y decidir qué necesita atención y requiere mayor investigación. Además, la configuración centralizada, que genera una ponderación de la alerta, ayuda a priorizar las acciones a tomar. XDR también requiere un menor tiempo de formación y presenta una experiencia unificada de gestión y flujo de trabajo a través de múltiples componentes de seguridad.

Almacenamiento de datos:

Las soluciones SIEM actúan también como almacén central de datos para una empresa de seguridad como los MSP y permite el almacenamiento a largo plazo, mientras que normalmente XDR accede a los datos de otras fuentes, que almacena de forma temporal únicamente para su análisis.

Capacidad de respuesta:

A pesar de que los SIEM más actuales también tienen alguna capacidad de respuesta, son, en principio, una herramienta de análisis de datos que puede proporcionar a los MSP los datos y alertas necesarias para identificar las amenazas que asedian a una organización. XDR, por su parte, amplía estas capacidades con la posibilidad de apoyar y coordinar los esfuerzos de respuesta dentro de la misma solución.

¿Cómo pueden los MSP orientar a sus clientes para que elijan la que más se adecúa a sus necesidades?

Los MSP necesitan contar con todas las ventajas posibles, ya que compiten para satisfacer los requisitos de seguridad cambiantes de sus clientes. Si añaden soluciones como XDR y SIEM a su oferta pueden ayudar a las organizaciones a reforzar su seguridad y, al mismo tiempo, mejorar su propia eficiencia operativa. Sin embargo, para poder agregar valor con estas soluciones, deben poder orientar a sus clientes y recomendarles la que mejor se ajusta a sus necesidades.

Un SIEM puede ser una herramienta útil si el cliente dispone del tiempo y los recursos para dedicarle. Si, por ejemplo, se trata de una empresa que tiene requisitos de cumplimiento y gestión de riesgos operativos, además de la detección de amenazas, pueden requerir SIEM para cumplir con esas demandas más amplias de informes y recopilación de datos.

Por otra parte, si se trata de un cliente que ya utiliza una solución de este tipo, es recomendable incorporar una solución XDR para complementar y amplificar las capacidades de respuesta de su equipo.

El principal reto de los SIEM radica en la fatiga de alertas. Estas soluciones generan una gran cantidad de alertas, entre las que hay falsos positivos, por lo que, si se trata de un cliente que tiene un equipo pequeño, quizás puedan verse sobrepasados a la hora de clasificar e investigar cada una. Además, al ser una solución más amplia y compleja, también presenta costes más elevados que quizás empresas de tamaño más moderado no puedan asumir.

XDR es ideal para empresas medianas o pequeñas, ya que les permite ahorrar recursos, tiempo y costes. Sin embargo, es importante recalcar que se trata de una solución más especializada, mientras que SIEM es más amplia y puede correlacionar datos más dispares incluyendo otras soluciones más allá del cortafuegos y los endpoints como son los logs de proxy o de aplicaciones. Aun así, su automatización elimina gran parte del trabajo que requiere una solución SIEM y no necesita de una especialización tan elevada de los miembros del equipo, algo que se agradece frente a la situación actual de escasez de talento especializado en ciberseguridad. En cierta medida, una solución XDR como la de ThreatSync de WatchGuard resuelve algunos de los principales retos que presentan las soluciones SIEM, pero al final, todo se reducirá a las capacidades y la situación particular de cada cliente.

Si quieres conocer más sobre esta tecnología, accede al mundo de XDR de WatchGuard y descubre como ThreatSync puede ayudarte a liberar el poder de la seguridad unificada. Si aun tienes curiosidad sobre que otras ventajas ofrecen XDR y una solución SIEM, no dudes en consultar estos contenidos de nuestro blog: