La ciberseguridad es una mezcla de enfoques reactivos y proactivos. En el pasado, las empresas a menudo se limitaban al enfoque reactivo. Dado que las estrategias de cumplimiento y seguridad están ganando relevancia, el enfoque proactivo también está recibiendo atención. En comparación con otras industrias, la ciberseguridad es altamente dinámica. De esta forma, los equipos de ciberseguridad adoptan cualquier nueva tecnología que pueda ayudarles a optimizar.
Una de las principales razones de esto es que los atacantes están actualizando constantemente sus estrategias y los ataques cibernéticos están en constante evolución. Con el fin de seguirles el ritmo, los equipos de seguridad deben tener acceso a la última tecnología.
Dado que la detección y respuesta de amenazas siguen siendo la prioridad, comprender el marco de detección de amenazas y respuesta a incidentes (TDIR) es esencial para cualquier organización. Este artículo discute la evolución del marco de TDIR, los diferentes conceptos que entran en el ámbito de TDIR y sus características únicas.
La evolución de la TDIR
La TDIR siempre ha sido la máxima prioridad para los equipos de seguridad. Tradicionalmente, los agregadores de logs y las herramientas de gestión de logs se utilizaban para detectar amenazas de seguridad. Sin embargo, dado el aumento en el volumen de datos que se procesan y la evolución de las amenazas, las soluciones heredadas ya no están en condiciones de procesar, analizar, retener y buscar a través de logs.
Con la amplia adopción de la nube, la infraestructura de TI de las compañías ha evolucionado drásticamente. Esto requiere una solución de seguridad integral para detectar y defenderse contra los ataques.
Esta evolución ha llevado a las empresas a desarrollar soluciones internas para satisfacer sus requisitos de seguridad únicos. Aun así, las soluciones internas requieren muchos recursos y tienen sus propias limitaciones con respecto a la detección y resolución de amenazas.
Con el tiempo, esto abrió un nuevo espacio de mercado y las soluciones de TDIR comenzaron a surgir. En la actualidad, las TDIR vienen en distintas formas y tamaños. De esta forma, las compañías pueden elegir entre una gama de diversas soluciones de TDIR disponibles.
¿Qué papel desempeñan la EDR, XDR y NDR?
Los mecanismos de detección y mitigación de amenazas de un negocio varían según la industria en la que operan, además del tamaño y la relevancia de la organización. Por ejemplo, una empresa financiera de pequeña escala puede no requerir un complejo mecanismo de defensa cibernética. El caso de una entidad bancaria es diferente.
Los equipos de seguridad necesitan adoptar la tecnología que se adapte a su compañía en función de sus requisitos. Actualmente hay varias herramientas que entran en la categoría de detección y respuesta de amenazas. Entendamos cada una de ellas y cómo se diferencian.
Detección y respuesta de endpoint
Las soluciones de detección y respuesta de endpoint (EDR) ayudan a los negocios a monitorear sus endpoints frente a ciberamenazas. En comparación con los sistemas tradicionales de detección de amenazas, las soluciones de EDR se centran más en identificar y mitigar amenazas como ransomware, vulnerabilidades de día cero, malware sin archivos y ataques activos que se dirigen específicamente a soluciones de endpoint.
Debido a las amenazas cibernéticas en constante evolución y que las organizaciones adoptan el trabajo remoto —en el que los empleados trabajan desde cualquier lugar, a menudo en entornos BYOD—, las soluciones de EDR están ganando protagonismo en el ciberespacio.
Detección y respuesta ampliada
La mayoría de las compañías utilizan diversas herramientas para detectar y responder a las amenazas en su red. Sin embargo, gestionar múltiples soluciones puede ser problemático y llevar a que se pasen por alto ciertas alertas vitales. Aquí es donde entra en juego una solución de detección y respuesta extendida (XDR). Las soluciones de XDR se consideran la solución integral que ayuda a las empresas a detectar y responder a las amenazas en toda la red mediante la agregación de datos de amenazas de diferentes herramientas de seguridad.
Estas soluciones facilitan la detección y respuesta de amenazas al proporcionar una vista centralizada de los datos de amenazas y automatizar el mecanismo de respuesta.
Detección y respuesta de red
Según Gartner, los productos de detección y respuesta de red (NDR) detectan comportamientos anormales del sistema al aplicar el análisis de comportamiento a los datos de tráfico de red. Las soluciones de NDR monitorean continuamente el tráfico de red e identifican si hay amenazas en curso. Además, estas soluciones utilizan técnicas no basadas en firmas para detectar actividades anómalas en la red.
Similar a una solución de análisis del comportamiento de entidades y usuarios (UEBA), las soluciones de NDR identifican desviaciones de comportamiento con respecto a una línea base establecida.
Todas las soluciones mencionadas están bajo el ámbito de la categoría de TDIR. Ahora viene la pregunta más grande: ¿en qué categoría se encuentra la gestión de eventos e información de seguridad (SIEM)?
SIEM mantendrá su fortaleza
Mientras la EDR, XDR y NDR continúan desarrollándose, la SIEM seguirá desempeñando un papel vital en la estrategia de seguridad de red de una organización. Esto se debe al alcance de la SIEM.
Si bien las soluciones de TDIR ayudan a analizar los datos para la detección y respuesta de amenazas, es posible que no recopilen y analicen todos los eventos en una red dispar. La función de análisis de seguridad (correlación, análisis) de la SIEM es esencial para que las compañías realicen investigaciones de amenazas y análisis forenses.
En comparación con las soluciones TDIR, las soluciones SIEM son altamente personalizables. Esto significa que las empresas pueden optimizar la solución de tal manera que cumpla con los requisitos de seguridad específicos del negocio. Al igual que el UEBA, cualquier solución TDIR requerirá el soporte de una solución SIEM para operar a un nivel óptimo. Sin una solución SIEM, sería difícil monitorear los incidentes y eventos que ocurren continuamente en una red.
Integrar soluciones TDIR y SIEM puede ayudar a mejorar el mecanismo de detección, investigación y respuesta de amenazas de una organización. Además, el crecimiento de la SIEM en la nube parece prometedor y puede ayudar a monitorear y proteger las redes híbridas.
Conclusión
Si bien la detección y mitigación de amenazas seguirán siendo la prioridad para las compañías, es importante tener en cuenta que la gestión de logs y el análisis de seguridad deben ser la base de su estrategia. El monitoreo continuo de la red es vital para que las empresas comprendan su postura actual de seguridad y realicen los ajustes necesarios en sus sistemas para cumplir con los requisitos cambiantes. Para ello, es importante contar con una solución flexible y personalizable.
Esto se puede lograr con una solución SIEM. Si se complementa con una solución TDIR, la seguridad puede mejorarse aún más. Aunque las soluciones TDIR son convenientes, las soluciones SIEM son imprescindibles para todo negocio que quiera estar al tanto de su red.