Si está confundido acerca de las herramientas de ciberseguridad y las categorías de productos, únase al club. La confusión en el mercado de la seguridad es un efecto secundario importante de años de amenazas a la seguridad cada vez más sofisticadas y de innovación de proveedores diseñada para prevenirlas y responder a ellas. Si a eso le sumamos el creciente uso de la IA y el aprendizaje automático tanto por parte de atacantes como de defensores, tendremos lo que puede parecer un enfrentamiento entre proveedores. Cuando todo se calma, las organizaciones siguen teniendo las mismas preguntas:
- ¿Qué herramientas necesitamos para protegernos contra amenazas que aún no se han inventado?
- ¿Qué herramientas podemos reemplazar?
La dispersión de categorías dificulta la evaluación de nuevas soluciones. Al evaluar soluciones, especialmente en los mercados emergentes, conviene comparar manzanas con manzanas. Pero cada vez más, las soluciones cibernéticas se parecen a papples, pluots y otros híbridos de frutas.
Caso en cuestión: el mercado de soluciones de detección y respuesta extendidas (XDR). He aquí un vistazo a algunas dualidades falsas que actualmente nublan la comprensión de qué es o no es un XDR, y si eso importa.
XDR frente a SIEM de próxima generación
Es irónico que el mercado de soluciones XDR sea ruidoso. Un atractivo principal de un XDR es su capacidad para reducir el ruido causado por el aluvión de alertas molestas y falsos positivos que surgen de los sistemas de gestión de eventos e información de seguridad (SIEM) heredados con los que debe lidiar el equipo promedio del centro de operaciones de seguridad (SOC). Cuando se introdujo en 2018, el XDR se definió como una extensión de las capacidades de las soluciones de detección y respuesta de endpoints (EDR) a las comunicaciones en la nube. Pero la tecnología ha evolucionado rápidamente desde entonces, y la «X» en XDR ya no significa únicamente la extensión EDR.
Para satisfacer las necesidades de las empresas modernas, los EDR también deben abordar la tecnología operativa (OT), el Internet de las cosas (IoT), el Internet de las cosas médicas (IoMT) y otros dispositivos no administrados que no pueden ser gestionados por agentes. Los SIEM heredados no fueron diseñados para manejar las redes heterogéneas actuales.
A menudo, la modernización de SIEM es el caso de uso convincente para comprar un XDR, que en este caso puede presentarse como un SIEM de próxima generación. Si su problema implica demasiadas alertas, configuraciones complejas y altos costos de almacenamiento de registros, ¿importa si compra algo llamado XDR o SIEM de próxima generación?
XDR cerrado versus abierto
Los XDR suelen dividirse en dos categorías:
- Los sistemas cerrados o nativos requieren el uso de la pila tecnológica del proveedor (incluido EDR, red y nube) para recopilar la telemetría utilizada para detectar y correlacionar amenazas para analizarlas y responder, según sea necesario.
- Las soluciones XDR abiertas o híbridas se basan en integraciones con terceros para recopilar telemetría en toda la superficie de ataque y ejecutar acciones de respuesta basadas en su síntesis.
Esta dualidad se reduce a la estrategia: se está sopesando la consolidación de proveedores (bloqueo) con la capacidad de aprovechar lo que ya se tiene, incluidas las mejores soluciones. Lo que no está claro, sin embargo, es por qué algunos evaluadores todavía sugieren que los XDR abiertos son de alguna manera inferiores a los XDR cerrados que se derivan de los EDR. ¿No es la cantidad de telemetría recopilada y cómo la solución la reduce a amenazas verdaderas y procesables lo que importa? ¿Y no es más probable que un XDR abierto sea capaz de absorber más telemetría de más fuentes?
Como toda la plataforma Forescout, Forescout XDR es independiente del proveedor. Además de integrarse con una docena de EDR líderes, puede ingerir datos desde cualquier dispositivo conectado administrado o no administrado y admite más de 180 fuentes de datos de proveedores. Una vez que se detecta una amenaza real, la plataforma puede orquestar una respuesta automatizada en todos los activos administrados y no administrados utilizando sus herramientas de seguridad existentes.
Forescout XDR clasificado como innovador en 2023 GigaOm Radar para XDR
El radar GigaOm 2023 para XDR evalúa XDR tanto abiertos como cerrados. Forescout se posiciona como uno de los dos únicos de rápido movimiento en el cuadrante Innovación/Juego de plataforma y se encuentra justo fuera del círculo de líderes. (El radar GigaOm es único porque sintetiza el análisis de criterios clave y traza las soluciones de los proveedores a través de una serie de anillos concéntricos, y los que se encuentran más cerca del centro se consideran de mayor valor general).
El informe destaca el enfoque XDR abierto de Forescout que se centra en unificar los datos ingeridos de cada fuente y aprovechar las herramientas de seguridad que ya tiene, incluido EDR:
Esta solución adopta una postura neutral respecto de los proveedores en EDR, integrándose perfectamente con una amplia gama de soluciones de los principales proveedores de EDR, incluidos SentinelOne, CrowdStrike, Microsoft, VMware Carbon Black, Trend Micro, Cisco, McAfee, Sophos, Symantec y ESET. Esta es una tendencia que se está volviendo más común en el espacio XDR a medida que los proveedores se centran en la unificación de datos en lugar de desarrollar sus propias soluciones EDR. 1
GigaOm también califica a Forescout XDR como Excepcional (+++) por su modelo de implementación en la nube; capacidades de descubrimiento de dispositivos, gestión de casos e ingesta de datos; y escalabilidad, extensibilidad y profundidad de la telemetría de terminales.
Si camina como un XDR y habla como un XDR…
La prueba del pato es una forma de razonamiento abductivo que se invoca con frecuencia. Si camina como un pato y habla como un pato, entonces probablemente sea un pato. Esta es una buena prueba para evaluar qué capacidades de respuesta y detección de amenazas necesita. Empiece por definir qué problemas está intentando resolver y elija la solución que mejor se adapte a su entorno.
Por ejemplo:
- Fatiga de alertas: sus analistas de SOC no pueden seguir el ritmo del volumen de alertas que reciben todos los días.
- Falsos positivos: su SIEM genera demasiados falsos positivos o alertas de baja fidelidad y no puede centrarse en amenazas/ataques reales.
- Velocidad: Su tiempo medio para detectar (MTTD), investigar (MTTI) o responder (MTTR) es demasiado largo porque las herramientas que utiliza no están integradas, no son intuitivas ni efectivas en la detección, investigación y respuesta).
- Eficiencia: sus analistas L1 dedican demasiado tiempo a identificar e investigar amenazas, utilizando demasiados productos puntuales que no están integrados y con muy poca automatización en todo el proceso de un extremo a otro.
- Dispositivos no administrados y no gestionables: su enfoque actual no ingiere datos de OT, IoT, IoMT, nube u otras fuentes de datos que necesita.
- Costo: desde la incorporación de nuevas fuentes de datos hasta la creación y ajuste de reglas para el almacenamiento de registros, su enfoque actual es demasiado costoso.
Si se siente perturbado por el ruido del mercado, tráenos sus principales casos de uso de detección de amenazas y respuesta a incidentes y lo llevaremos a probar.
Para leer la noticia completa , pinche aquí.