Cada vez es más difícil para los equipos de ciberseguridad desarrollar sus capacidades de detección y respuesta de forma lo suficientemente rápida como para defenderse de las últimas tácticas de los actores de ciberamenazas.
Un número creciente de empresas y organizaciones recurren a los servicios gestionados de detección y respuesta para potenciar sus capacidades internas.
Managed Extended Detection and Response (MXDR) es un servicio MDR totalmente gestionado con operación 24 x 7, que proporciona una protección holística y sólida contra las amenazas cibernéticas internas y externas.
Cada vez son más las empresas y organizaciones que recurren a los servicios gestionados de detección y respuesta para potenciar sus capacidades internas.
Cada vez es más difícil para los equipos de ciberseguridad desarrollar sus capacidades de detección y respuesta lo suficientemente rápido como para defenderse de las últimas tácticas de los actores de amenazas. Cada vez son más las organizaciones que recurren a los servicios gestionados de detección y respuesta para potenciar sus capacidades internas. Managed Extended Detection and Response (MXDR) es un servicio MDR totalmente gestionado las 24 horas del día, los 7 días de la semana, que proporciona una protección holística y sólida contra las amenazas cibernéticas internas y externas.
MXDR
Los servicios gestionados MXDR se basan en plataformas XDR que van más allá de la detección y respuesta de endpoints (EDR) tradicionales, en este caso, integran y correlacionan datos de múltiples dominios, (incluidos endpoints), el perímetro y el núcleo de la red, las aplicaciones y los sistemas de identidad, tanto en entornos locales como en la nube. Un MXDR proporciona capacidades XDR.
Las organizaciones que están considerando implementar un MXDR se enfrentan a la posibilidad de elegir entre varias propuestas de MXDR que son relativamente distintas en capacidades, a pesar de formar parte de la misma categoría o etiqueta de servicio.
¿Cuáles son las preguntas que las organizaciones deben hacerse al evaluar los servicios de MXDR para asegurarse de que implementan el servicio que mejor se adapta a sus necesidades?
1. ¿Cubrirá toda mi infraestructura?, y ¿Desde el principio?
Un MXDR proporciona intrínsecamente una visión más amplia de la red que un servicio de detección y respuesta basado en EDR. Sin embargo, incluso para un servicio MXDR, la cobertura de red completa no es un hecho, ya que depende de la capacidad del XDR asociado para integrarse con los sistemas de defensa cibernética existentes del cliente y la infraestructura de TI y OT.
Si la integración y la consiguiente cobertura de red es solo parcial, habrá puntos ciegos que un atacante puede explotar. Esto es un hecho.
2. ¿Es conocido el MXDR por su fiabilidad y eficacia en escenarios del mundo real?
Los mejores XDR han sido implementados ampliamente por los equipos de IR (Incident Response) para permitir una respuesta rápida a una amplia gama de incidentes en una amplia gama de industrias. Las demandas de la plataforma de los equipos de RI son amplias, y cuando un equipo de RI está respondiendo a un incidente importante, el tiempo es esencial. Cualquier XDR que utilicen debe ser fácil de implementar, facilitar el triaje e impulsar la contención, todo a gran velocidad. El XDR debe proporcionar una detección avanzada que evite los intentos de reentrada de los atacantes, y proporcionar las capacidades forenses y de generación de informes avanzadas que requieren los equipos de IR y sus clientes. Por todas estas razones, los IR alimentan a los XDRs que son plataformas óptimas para un servicio MXDR.
Un MXDR eficaz está impulsado por un IR eficaz.
Forrester Research, febrero de 2023
3. ¿Eliminará la fatiga y saturación de eventos de nuestra organización?
La precisión de la detección es primordial. Demasiados falsos positivos enviados al cliente por el equipo de MXDR anularán una de las principales razones por las que la mayoría de los clientes adoptan MXDR: la eliminación de la fatiga de eventos. Los falsos positivos también pueden aumentar las probabilidades de pasar por alto amenazas genuinas, lo que aumenta el riesgo de tener una brecha. Para lograr una precisión de decisión suficiente, el MXDR debe supervisar la misma entidad desde varios orígenes de datos. Por ejemplo, para supervisar un punto final en la nube, el XDR debe recopilar información del EDR, el sistema de identidad y el SIEM pertinentes.
4. ¿Cuál debe ser el nivel de experiencia del equipo de MXDR?
Los analistas de MXDR tienen un papel fundamental, incluso cuando están respaldados por una detección avanzada impulsada por IA. Los analistas de MXDR aprovechan su experiencia para agregar una capa crítica de validación y toma de decisiones al aislamiento, la clasificación, la contención y la corrección de amenazas. Estos analistas deben asegurarse de que las acciones que se tomen estén totalmente alineadas con las políticas de TI del cliente.
5. ¿El equipo de MXDR cuenta con el apoyo de otros equipos que aportan capas concéntricas de experiencia?
Es importante comprobar hasta qué punto el equipo de MXDR está respaldado por otros dedicados a:
- Respuesta a incidentes
- Tácticas adversarias
- Búsqueda de amenazas
- Seguridad empresarial
- Forense
- Nube
- OT
Un equipo de MXDR debe ser capaz de manejar, por sí mismo, la mayoría de los eventos de seguridad detectados y, cuando surgen situaciones particulares que requieren experiencia específica en el asunto, los equipos de soporte interno con la experiencia adecuada ayudan a garantizar que la clasificación de eventos sea precisa y que la transición de la detección a la respuesta sea rápida y eficaz.
6. ¿Está la inteligencia de amenazas más reciente integrada en el MXDR?
Es importante comprender cómo y en qué medida se recopila e incorpora la inteligencia de amenazas en el MXDR. La recopilación de inteligencia de calidad implica el procesamiento y análisis constante de datos de todo el panorama global de amenazas para comprender las últimas tácticas, técnicas y procedimientos (TTP) de los actores de amenazas y los indicadores de compromiso que se utilizan en todos los sectores, tecnologías y regiones clave. Los proveedores de MXDR que tienen una gran práctica interna de IR, así como un equipo interno de investigación de amenazas, tener acceso a la inteligencia de campo dotará al MXDR de un mayor nivel de capacidades de detección y respuesta.
7. Cuando se detecta un evento real, ¿necesitaremos encontrar un proveedor de IR nosotros mismos?
Algunos proveedores de MXDR tienen equipos de IR experimentados internamente, otros no.
La necesidad de un tiempo de retraso cero entre la detección de un evento y el lanzamiento de una respuesta exige que el proveedor tenga un equipo interno de IR para garantizar que los incidentes de seguridad se contengan y remedien rápidamente.
8. Cuando se detecta un evento real, ¿necesitaremos encontrar un proveedor de IR nosotros mismos?
Si la casilla de IR interna está “marcada”, entonces se debe sondear el nivel de experiencia de ese equipo. El equipo de IR debe ser capaz y tener experiencia en responder a todo tipo de ataques que puedan lanzarse contra el cliente. Con un número cada vez mayor de ataques lanzados por actores de amenazas a nivel de estado-nación, los equipos de IR con experiencia en guerra cibernética a nivel de estado-nación tienen la mejor oportunidad de contener y erradicar este tipo de ataques y facilitar la recuperación en el menor tiempo posible.
9. ¿El servicio MXDR incluye un anticipo de respuesta a incidentes?
Los mecanismos de contención y de respuesta a incidentes (IRR) proporciona una hoja de ruta, con parámetros de interacción críticos predeterminados, que acelerarán la respuesta a un incidente cibernético. Las sesiones de descubrimiento de IRR incluyen una revisión de alto nivel de la red y la arquitectura de TI del cliente, los sistemas críticos, el intercambio seguro de datos y los procesos de acceso. Un IRR es un componente natural de una implementación de MXDR y debe considerarse una característica obligatoria de un servicio MXDR.
10. ¿Se debe integrar el MXDR con nuestra pila de seguridad existente?
La eficacia de una solución MXDR depende de su capacidad para integrarse a la perfección con una amplia gama de herramientas de seguridad preexistentes dentro de la pila de seguridad de una organización. Las capacidades de integración "listas para usar" mejoran en gran medida la velocidad y la eficacia de la implementación de MXDR. Algunos proveedores reclamarán neutralidad, pero al mismo tiempo recomendarán encarecidamente que el cliente implemente productos específicos en su pila de seguridad para garantizar una detección óptima. Esa no es la verdadera neutralidad del proveedor.
11. ¿El proveedor de MXDR ofrece un enfoque particularizado para caso?
Las organizaciones operan en contextos distintos, con amenazas únicas, políticas internas específicas, procesos de gobernanza y requisitos de cumplimiento. Un proveedor de MXDR debe ser capaz de proporcionar un servicio personalizado que se alinee con el contexto operativo y la topología de red del cliente. Un servicio personalizado puede incluir escenarios de detección únicos para la vertical de la industria del cliente y manuales de jugadas de respuesta que definen el grado de autonomía de respuesta.
12. ¿Se utiliza la IA para optimizar la detección y garantizar la escalabilidad?
La XDR debe utilizar algoritmos avanzados de aprendizaje automático o aprendizaje profundo para analizar los grandes volúmenes de datos y detectar anomalías, patrones e indicadores de amenazas potenciales. Además, el servicio debe ser capaz de supervisar los patrones de comportamiento de los usuarios para detectar comportamientos sospechosos, normalmente mediante herramientas como el análisis del comportamiento de usuarios y entidades (UEBA). La IA permite escalar en la dinámica de obtener una detección más rápida, un triaje mejorado y una respuesta más precisa.
Optar por un MXDR puede ser un salto estratégico que mejore la ciberseguridad de una organización. Al hacer las preguntas correctas, las organizaciones tienen más posibilidades de seleccionar un proveedor que se adapte bien a su negocio y al panorama de amenazas.
¿Está interesado en profundizar en el tema de ciberseguridad?
Pídanos una reunión al respecto y podremos mostrarle nuestras capacidades y propuestas.
