- Versión reducida del post de George McTaggart, «Introducing Forescout XDR: Putting the X, D and R Back in XDR»
Forescout Technologies ha lanzado la solución Forescout eXtended detection and response (XDR) para ayudar a los MSSP y otras organizaciones a «detectar, investigar y responder mejor a la más amplia gama de amenazas avanzadas».
XDR surgió en 2018 para abordar las muchas debilidades de las herramientas y enfoques de ciberseguridad existentes. Esta tecnología promete consolidar productos aislados y mejorar la eficiencia de los SOC acelerando la detección de amenazas y la respuesta a incidentes.
Sin embargo, hasta la fecha, las soluciones XDR no tocan la tecnología operativa (OT), IoT, Internet of Medical Things (IoMT) y otros dispositivos no gestionados a los que no se les puede poner un agente por diversas razones.
Forescout aborda estas limitaciones con el lanzamiento de Forescout® XDR, que convierte la telemetría y los registros en amenazas probables de alta fidelidad y accionables por el SOC. La solución SaaS automatiza la detección, investigación, búsqueda y respuesta a las amenazas avanzadas en todos los activos conectados -IT, OT, IoT e IoMT- desde el campus a la nube y desde el centro de datos al perímetro. Combina tecnologías y funciones SOC esenciales en una plataforma unificada y nativa de la nube, visible y accionable desde una única consola.
La integración con otras soluciones de Forescout reduce la superficie de ataque y el riesgo de que un dispositivo comprometido o no conforme se conecte a su red en primer lugar. Además, le permite automatizar las respuestas en toda la empresa.
Forescout XDR es un XDR abierto que funciona con las soluciones de seguridad en las que ya ha invertido para aumentar su valor. Puede ingerir datos de cualquier dispositivo conectado gestionado o no gestionado y admite más de 170 fuentes de datos de proveedores y 12 soluciones EDR (incluidas las de Crowdstrike, VMware Carbon Black, SentinelOne, Microsoft y Trend Micro), junto con otras fuentes líderes de seguridad, infraestructura, enriquecimiento, aplicaciones y nube, así como las soluciones de Forescout.
La detección de amenazas se basa casi exclusivamente en datos y reglas. Más datos no significa necesariamente mejor detección. Pero mejores datos y ciencia de datos sí. La amplitud de los datos -procedentes de los tipos de dispositivos que caracterizan a su empresa extendida- y la forma en que se procesan y gestionan estas fuentes determinan la amplitud de las amenazas que pueden detectarse y el tiempo medio para investigarlas y responder a ellas.
La mayoría de los XDR normalizan los datos para permitir el análisis, pero se detienen ahí
Por el contrario, frente a la mayoría de los XDR, Forescout XDR aplica un modelo de información común (CIM) para normalizar los datos recibidos, pero eso es sólo el punto de partida. Esos datos normalizados se enriquecen automáticamente a la velocidad de la línea con información de usuario, atribución de IP, geolocalización, información de activos críticos y mucho más. Esto aumenta significativamente el valor de los datos a efectos de correlación, detección, investigación y caza de amenazas. A continuación, el motor de detección de amenazas en dos fases utiliza una combinación de cinco técnicas -información cibernética, firmas y TTP, UEBA, estadísticas y valores atípicos, y AI/ML sensible al contexto- para eliminar los falsos positivos y generar amenazas de alta fidelidad y alta confianza que justifiquen una investigación más profunda.
La amplitud y la profundidad de las reglas son igualmente importantes. Forescout XDR incluye más de 1.500 reglas y modelos de detección verificados y listos para usar para esas fuentes. Estas reglas se actualizan periódicamente, y también puede crear reglas personalizadas basadas en su entorno. Las reglas aplicadas en la primera etapa del motor crean «indicadores» que se asocian a un usuario, dispositivo o bucket (en el caso de la nube). Los indicadores sugieren una amenaza, pero necesitan más correlación.
Se pasa así a una segunda etapa, durante la cual el motor busca patrones o secuencias de indicadores que se generaron en la etapa anterior y que, en conjunto, son más probablemente una amenaza real. Es este resultado del «cerebro de la máquina» lo que los analistas (humanos) tienen que investigar. ¿Cuál es el resultado? Por cada 50 millones de registros ingeridos por hora, Forescout XDR suele generar una detección de alta fidelidad (amenaza probable) que justifica la investigación del analista.
Forescout XDR incorpora potentes funciones de inteligencia sobre amenazas, aprovechando los datos IOC de 70 fuentes globales de inteligencia sobre amenazas. Esta información se correlaciona en una base de datos de modelo gráfico de dominios, URL y direcciones IPv4 e IPv6 «malos conocidos» en la que se pueden realizar búsquedas. A cada IOC se le asigna dinámicamente una puntuación de confianza basada en una evaluación de la calidad de la fuente. El motor de detección de amenazas y los equipos SOC de los clientes aprovechan esta información de los IOC con una puntuación de confianza para acelerar y mejorar el proceso de detección e investigación de amenazas.
Al igual que la reparación de activos, la respuesta a incidentes requiere una estrecha orquestación entre productos de múltiples proveedores. Los XDR cerrados normalmente no pueden automatizar y orquestar con eficacia los flujos de trabajo de respuesta adecuados en todos los activos y entornos conectados. Forescout XDR se integra con Forescout® eyeSight y Forescout® eyeControl y los aprovecha para automatizar respuestas que pueden afectar a todos los dispositivos conectados gestionados y no gestionados de su empresa. Basado en el ciclo de vida de respuesta a incidentes del NIST, Forescout XDR también admite integraciones con sistemas comunes de gestión de casos, incluidos ServiceNow y Jira Software. Y por último, las amenazas reales identificadas por Forescout XDR también se pueden alimentar a un SIEM existente para la orquestación centralizada y la respuesta a incidentes.
Mejor detección y respuesta a las amenazas reales.
¿Por qué Forescout entra en el mercado de XDR? Para atender mejor las crecientes necesidades de riesgo y cumplimiento de nuestros clientes empresariales. La visibilidad completa es el reto principal: ver el estado de todos los dispositivos conectados en toda la empresa, no sólo los dispositivos de TI tradicionales. Esta es la base de todo lo que hace Forescout. Con la adquisición de Cysiv el año pasado, han mejorado las capacidades de Forescout con análisis de datos nativos de la nube y un motor de detección de amenazas de clase mundial para proporcionar detección de amenazas de bucle cerrado y respuesta a través de activos gestionados y no gestionados.
La aparición de XDR como categoría fue un gran paso en la dirección correcta para la eficiencia de los SOC, pero no el gran salto que merecen los analistas de SOC, en particular. La entrada de Forescout en este mercado continúa la evolución. Puede que XDR tenga sus raíces en EDR, pero la visibilidad lleva la categoría a un nivel completamente nuevo.
Si quiere leer el post completo, acceda a la versión original en inglés pinchando aquí