¿Qué son estas tecnologías y servicios?
Estas tecnologías y servicios tienen en común varias características: la detección y la respuesta rápida, eficiente y eficaz a ciberamenazas.
¿Qué es un sistema EDR?
Los EDR son sistemas de detección y respuesta frente a malware, que pueden considerarse la evolución de los sistemas tradicionales basados en firmas o análisis heurísticos.
Estos sistemas tienen un carácter proactivo, es decir, intentan adelantarse a los incidentes de seguridad, para lo cual, analizan los usos que se hacen de los terminales monitorizados, habitualmente mediante el análisis de comportamiento. Esto permite reconocer comportamientos que se desvían de un estándar, después de una fase de aprendizaje.
La ventaja de una solución EDR es que permite protegerse tanto contra ataques conocidos como malware, como contra ataques desconocidos como vulnerabilidades zero-day. Cada dispositivo que se conecta a una red es un posible vector de entrada para amenazas digitales. Teniendo en cuenta la tendencia del BYOD (Bring Your Own Device, en inglés) que implica que los empleados utilizan sus dispositivos personales para acceder a información y aplicaciones de su empresa), los riesgos no han hecho más que aumentar. Las soluciones EDR ayudan a proteger las redes monitorizando los dispositivos en busca de amenazas que un antivirus no puede detectar.
¿Qué es un sistema XDR?
Aunque los endpoints son una parte crítica dentro de la defensa de una empresa, representan únicamente un pequeño fragmento de la superficie de exposición. Las redes actúales tienen dispositivos IoT, aplicaciones en la nube, firewalls, y otros componentes que hay que considerar dentro de la estrategia de ciberseguridad de una organización. Una solución XDR es una evolución de la tecnología EDR, pero sin ser excluyentes ya que ambas se complementan. Ambas dan conocimiento sobre qué está pasando en una red, que de otra forma sería complicado de conseguir de forma manual. XDR ayuda a los equipos de seguridad a resolver ciertos problemas de visibilidad de amenazas al centralizar, estandarizar y correlacionar los datos de seguridad de múltiples fuentes como correos electrónicos, terminales, servidores, redes, flujos en la nube, etcétera. Este enfoque aumenta las capacidades de detección sobre las herramientas específicas de detección y respuesta de endpoints (EDR).
La tecnología XDR proporciona una visibilidad más completa, por ejemplo, utilizando datos de red para monitorizar endpoints vulnerables que las herramientas EDR no pueden ver, analizando para ello datos de múltiples fuentes para validar alertas, reduciendo falsos positivos y reduciendo el volumen general de alertas. Esta correlación de métricas de múltiples fuentes permite que XDR mejore la efectividad de los equipos de ciberseguridad.
Por otra parte, donde EDR mejora la detección de malware sobre las posibilidades de un antivirus, XDR amplía el rango que tiene EDR para abarcar más soluciones de seguridad. Utilizando tecnologías actuales para recopilar y comparar información sobre amenazas, al tiempo que emplea análisis y automatización para ayudar a detectar ataques actuales y futuros.
¿Qué es un servicio MDR?
MDR se puede definir como un servicio de monitorización, detección proactiva y respuesta frente a ciberamenazas. El punto principal de calidad de los servicios MDR dependen de la habilidad para integrar la tecnología XDR en cuanto a su alcance de detección y respuesta ante incidentes, el análisis de redes, el análisis del tráfico de red y análisis de logs, o registros de actividad dentro de un sistema. La realidad es que muchas empresas no tienen el personal necesario o la experiencia para gestionar herramientas EDR o XDR por ellas mismas, con lo que se recurre a proveedores que ofrecen soluciones MDR con mucha frecuencia.
Se pueden distinguir tres segmentos de aplicación de este servicio desde el punto de vista de los proveedores:
- Un nivel básico, que se caracteriza por una investigación proactiva de las amenazas y la respuesta a estas.
- Gestión de EDR, en donde el proveedor del servicio MDR gestiona el cliente EDR y proporciona servicios de nivel básico.
- Servicio avanzado, que se compondría del servicio MDR más personal para asistir en los incidentes de seguridad de los clientes.
Son operados por un SOC (Centros de Operaciones de Seguridad que se encargan de monitorizar los activos de una empresa, buscando actividades sospechosas que puedan ser indicativas de un incidente de seguridad), interno o subcontratado, y permiten abordar las amenazas digitales de un extremo a otro.
Comparativa EDR, XDR y MDR
| EDR | XDR | MDR |
|---|---|---|
| Ayuda a proteger las redes de manera proactiva monitorizando los dispositivos mediante el análisis de comportamiento, intentando adelantarse a los incidentes de seguridad. | Es una evolución de la tecnología EDR y ayuda a los equipos de seguridad centralizando, estandarizando y correlando los datos de seguridad de múltiples fuentes (emails, terminales, servidores, redes, flujos en la nube, ...) para detectar ataques actuales y futuros. | Es un servicio gestionado de monitorización, detección proactiva y respuesta frente a ciberamenazas, que integra la tecnología XDR en cuanto a su alcance de detección y respuesta ante incidentes, el análisis de redes y el análisis de logs. |
| La ventaja es que permite proteger tanto contra ataques conocidos como malware, como contra ataques desconocidos como vulnerabilidades zero-day. | La ventaja es que proporciona una visibilidad más completa de la infraestructura, analizando datos de múltiples fuentes y reduciendo los falsos positivos. | La ventaja es que aporta además de la capacidad de detección, la gestión de los sistemas de detección y el personal para actuar en caso de un incidente de seguridad. |
¿Dónde recibir asesoramiento o contratar estas tecnologías?
Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.
Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
