Skip to content Skip to navigation Skip to footer

¿Qué es XDR?

XDR significa detección y respuesta de capas cruzadas. XDR recopila y luego correlaciona datos en una diversidad de capas de seguridad, incluidos los endpoints, el correo electrónico, los servidores, las cargas de trabajo en la nube y la red general. XDR es un nuevo enfoque alternativo para la detección tradicional y la respuesta a incidentes, que integra procedimientos de detección y respuesta en múltiples entornos.

Cómo funciona la XDR

Las amenazas bien diseñadas pueden ser difíciles de detectar porque funcionan entre los silos de seguridad, que son múltiples enfoques de seguridad que funcionan en paralelo, pero no necesariamente juntos. Debido a su capacidad para acechar entre los silos de seguridad, pueden extenderse o multiplicarse a través del tiempo. Como resultado, podrían evadir la atención de un centro de operaciones de seguridad (SOC) y terminar causando más daños.

XDR aísla y disecciona estas amenazas. Recopila y luego correlaciona cada detección de acuerdo con las capas de seguridad individuales. Cada “capa” representa una superficie de ataque diferente: endpoints, correo electrónico, red, servidores y cargas de trabajo en la nube. Las formas específicas en las que una solución XDR protege cada superficie de ataque se describen en el white paper de su proveedor de XDR.

Punto final

La administración de la actividad de los endpoints es esencial para entender cómo una amenaza se afianzó y extendió de un endpoint a otro. Con XDR, puede utilizar el barrido de endpoints para buscar Indicators of Compromise (IOC) y luego cazarlos con la información que se recopila de los Indicadores de ataque (IOA).

Un sistema XDR puede decirle qué sucedió en un endpoint, así como de dónde vino una amenaza y cómo logró extenderse a través de varios endpoints. A continuación, XDR  puede aislar la amenaza, detener los procesos necesarios y eliminar o restaurar archivos.

Correo electrónico

El correo electrónico es una de las superficies de ataque más grandes y utilizadas. Esto lo convierte en un objetivo fácil y las soluciones XDR podrían ayudar a limitar los riesgos que provienen de un sistema de correo electrónico. Aunque la seguridad del correo electrónico también se puede manejar con un sistema de detección y respuesta administrada (MDR), XDR identifica la seguridad del correo electrónico específicamente.

Como parte del proceso de clasificación, XDR puede detectar amenazas de correo electrónico e identificar cuentas comprometidas. También puede detectar usuarios a los que atacan con frecuencia, así como patrones de ataque. XDR puede investigar quién es el responsable de la amenaza que detectan los protocolos de seguridad, además de quién más podría haber recibido el correo electrónico en cuestión.

Para responder al ataque, XDR puede poner en cuarentena el correo electrónico, restablecer cuentas y también bloquear a los remitentes responsables.

Red

Analizar la red en busca de ataques y oportunidades de ataque es un paso importante para abordar agresivamente los problemas de seguridad. Con el análisis de red, los eventos se pueden filtrar, lo que ayuda a identificar puntos de vulnerabilidad, como dispositivos no administrados y del Internet de las cosas (IoT). Ya sea que las amenazas tiendan a provenir de las búsquedas de Google, el correo electrónico o ataques bien orquestados, el análisis de la red puede identificar la vulnerabilidad subyacente.

XDR puede detectar el comportamiento problemático dentro de la red y luego investigar los detalles sobre la amenaza, lo que incluye cómo se comunica y cómo viaja por la empresa. Esto se puede hacer independientemente de la posición de la amenaza en la red, desde una puerta de enlace (gateway) de servicios de borde (ESG) hasta un servidor central. Luego, XDR puede informar a los administradores sobre el alcance del ataque, para que puedan encontrar una solución rápidamente.

Servidores y cargas de trabajo en la nube

La protección de los servidores y la infraestructura en la nube implica pasos que, en un alto nivel, son similares a los que se utilizan para proteger los endpoints. La amenaza se debe examinar para descubrir cómo llegó a la red y cómo pudo propagarse.

XDR le brinda la capacidad de aislar amenazas que están diseñadas a medida para enfocarse en servidores, contenedores y cargas de trabajo en la nube. Luego, XDR investiga el impacto de la amenaza sobre la carga de trabajo y examina cómo se propaga por el sistema. A continuación, aísla el servidor y detiene los procesos necesarios para contener la amenaza. El aislamiento de las amenazas es un componente clave para reducir el tiempo medio para recuperarse de los ataques.

Por ejemplo, si una amenaza obtuvo acceso a su red en la nube a través de un endpoint del IoT, XDR puede determinar de dónde vino. Luego, puede abordar las razones detrás de la brecha de seguridad y utilizar esa información para elaborar un plan de ataque. 

XDR también puede ser una adición eficaz a un conjunto de productos de seguridad porque ayuda a descubrir cómo la amenaza afectó la carga de trabajo del servidor. Si ralentizó el procesamiento o corrompió los datos, XDR puede decirle hasta qué punto sucedió esto. Luego, XDR puede detener cualquier proceso que pueda facilitar la propagación de la amenaza. En un entorno de nube que admite una amplia gama de puntos de conexión, detener los procesos podría evitar grandes pérdidas de datos o la suspensión completa de segmentos cruciales de sus operaciones.

Servidores y cargas de trabajo en la nube

Un sistema de XDR puede introducir la información en un data lake (un depósito centralizado de datos sin procesar) y esterilizarlo. Primero inicia el barrido entre capas para detectar amenazas, luego las busca, investiga y elimina.

 

XDR versus la detección de amenazas tradicional

XDR se diferencia de la detección de amenazas tradicional porque se enfoca específicamente en resolver los problemas que crea el enfoque de silo. Una forma en que XDR “elimina los silos” de un sistema es segmentar las superficies de ataque en sus categorías principales. De esta manera, usted obtiene una solución relativamente integral para correo electrónico, redes, servidores y cargas de trabajo en la nube. 

XDR es diferente en la forma en que busca no solo detectar e identificar amenazas, sino también responder a ellas. Algunos sistemas de detección de amenazas solo detectan la amenaza sin realizar acciones decisivas para eliminarla. Dependiendo de sus necesidades, este aspecto de XDR puede no ser útil, especialmente si desea tener más libertad de acción en cuanto a cómo responder a las amenazas.

XDR también puede ser una herramienta útil para la administración de alertas. Un sistema de seguridad podría estar inundado con una diversidad de alertas y administrarlas algunas veces puede requerir tanto trabajo como abordar las amenazas en sí. Un sistema XDR puede consolidar alertas que, aunque deseables, pueden no contener información procesable. Esto ayuda a los administradores a concentrarse en las alertas que requieren acciones definitivas.

Debido a que XDR no solo detecta, sino que también responde a las amenazas, un equipo de seguridad podría ahorrar tiempo y recursos con la implementación de XDR. Por ejemplo, si el equipo de TI conoce cómo quiere responder a cada amenaza y la solución XDR tiene esa capacidad, pueden cubrir varias bases a la vez con XDR para identificar y aislar amenazas, así como cerrar los procesos problemáticos involucrados.

XDR versus a la detección y respuesta de endpoint (EDR)

EDR se diferencia de XDR en que la “E” se refiere específicamente a los endpoints, mientras que la “X” en XDR indica que también maneja datos de red y de nube.

Si ya tiene una solución de seguridad para su red y una infraestructura en la nube, es mejor que utilice una solución EDR como FortiEDR. Un sistema XDR puede ser difícil de interconectar con su solución de seguridad de red actual, además, la redundancia puede generar más obstáculos que oportunidades.

XDR versus Análisis del tráfico de red (NTA)

Tanto XDR como NTA pueden detectar amenazas. NTA se enfoca en el reconocimiento de patrones y, por lo tanto, puede proporcionar una respuesta instantánea a los paquetes de datos que violan el patrón esperado. Por ejemplo, si un servidor generalmente recibe tráfico de EE. UU., Canadá y Brasil, pero de repente comienza a recibir tráfico de Rusia, se puede utilizar un sistema NTA para eliminar la amenaza potencial. 

Por lo tanto, NTA podría ser una mejor solución que XDR si las amenazas que enfrenta su organización pueden aislarse mediante este tipo de detección de patrones.

XDR versus la Información de seguridad y Administración de eventos (SIEM)

XDR se diferencia de SIEM porque incluye soluciones de respuesta. Aunque SIEM puede trabajar con una solución de respuesta, se enfoca en detectar amenazas, no en responder a ellas. Si desea personalizar la forma en que responde a las amenazas, entonces una solución SIEM como FortiSIEM podría ser una mejor opción que XDR.

En algunos casos, XDR podría detectar y responder a una amenaza automáticamente incluso cuando no representa un peligro real. Una respuesta prematura como esa puede perjudicar a su organización. Con SIEM, puede decidir cómo responder a cada amenaza, lo que puede evitar que detenga o pare las operaciones innecesariamente.

XDR versus la Orquestación de seguridad, automatización y respuesta (SOAR)

Aunque XDR hace un buen trabajo al enfocarse en detectar y responder a las amenazas dentro de su propio ecosistema, SOAR puede hacer mucho de lo mismo, pero también se puede utilizar para ayudar a orquestar las políticas de seguridad y los informes.

Si su respuesta inmediata a las amenazas es efectiva, pero requiere un sistema que ayude con la implementación general de las políticas de seguridad, una solución como FortiSOAR podría ser una mejor opción que XDR. La implementación de una solución XDR además del sistema de respuesta a amenazas eficaz existente podría requerir más tiempo del que tiene disponible, sin garantizar mejores resultados que su solución actual.

Obtenga visibilidad total del ataque

FortiClient le permite descubrir riesgos, monitorearlos y evaluar cuánta exposición provocan. Esto se puede hacer para una diversidad de endpoints, lo que le brinda la flexibilidad de adaptar su enfoque de seguridad a las necesidades de su organización.

Además, FortiClient ofrece una defensa contra amenazas avanzadas, además, como componente central de su telemetría, puede comunicar automáticamente información sobre las amenazas que elimina. Debido a que se integra perfectamente con el Fortinet Security Fabric, puede incorporar la automatización basada en políticas que puede contener amenazas y prevenir su propagación. Si ya tiene instalada una solución de seguridad Fabric-Ready, FortiClient puede trabajar con ella para fortalecer aún más la solución de seguridad de su empresa. Ya sea que las funciones se hayan ralentizado debido al COVID o estén comenzando a recuperarse, ahora es un buen momento para obtener detección y respuesta integradas con FortiClient.