2022: El resumen del año
2022 ha sido un año de turbulencias y desgracias. La pandemia de Covid-19 siguió haciendo estragos en gran parte del mundo, causando más enfermedades, muertes y aislamiento entre las sociedades; la invasión de Ucrania ha sacudido el suministro mundial de energía y alimentos en Europa y otras regiones. Las interrupciones en las fábricas, la mano de obra y las cadenas de suministro mundiales, junto con las políticas a menudo adversarias de la política y la economía, han roto los equilibrios de la oferta y la demanda en casi todos los sectores económicos, provocando escasez de materiales y mano de obra, costes más elevados, inflaciones y recesiones económicas.
Desde que se produjo el COVID-19, las empresas también han modificado sus operaciones y políticas para hacer frente a los efectos de la pandemia. Por un lado, las organizaciones han pasado rápidamente del trabajo presencial al remoto y, paralelamente, han acelerado la migración a la nube de más aplicaciones y operaciones empresariales. Según Gartner, el gasto en aplicaciones SaaS ha aumentado aproximadamente un 35% durante 2020-2022 y la tendencia continuará en 2023 y más allá.
Trabajar a distancia en múltiples regiones geográficas amplía los límites de seguridad de la red corporativa, y migrar a una plataforma de computación en nube difumina aún más los límites de seguridad o incluso los hace desaparecer. Esto se traduce en un aumento drástico de las superficies de ataque de amenazas y expone más vulnerabilidades de seguridad.
En 2022, los ciberdelitos y los ciberataques también aumentaron significativamente. Estos ataques se utilizan a menudo como armas para ayudar en campañas políticas y militares. Según diversos informes de investigación y datos, los ataques de phishing se dispararon un 61% durante el primer trimestre de 2021; los ataques de ransomware también aumentaron un 72% durante la pandemia y las vulnerabilidades móviles crecieron un 50%. Al mismo tiempo, observamos ciberataques o campañas más sofisticados y selectivos, a menudo patrocinados por el Estado, que tienen como objetivo infraestructuras críticas, activos empresariales críticos o datos valiosos de los usuarios, y estos ataques también se realizan a menudo a mayor escala que antes, causando más interrupciones a las empresas, así como daños.
En estas circunstancias, los proveedores y profesionales de la ciberseguridad necesitan avanzar continuamente en sus técnicas de detección, prevención y mitigación de la seguridad para proteger mejor las aplicaciones empresariales y los activos críticos. También necesitan hacerlo de una forma más ágil, eficaz, escalable y rentable.
Aunque las técnicas de detección y protección de amenazas en un único punto, como NGFW, IPS, WAF, DLP, AV, sandbox, endpoint, siguen mejorando y pueden resultar aún más eficaces, cada una de ellas tiene sus deficiencias, principalmente porque cada una de estas técnicas solo analiza un tipo o clase específica de fuente de datos, por ejemplo, metadatos de tráfico, URL, archivos, nombres de dominio, etc., por lo que todas tienen sus «puntos ciegos». Esto puede hacer que se pasen por alto verdaderos ataques o que se introduzcan falsos positivos. A medida que los ataques y los adversarios se vuelven cada vez más sofisticados y selectivos, cada vez es más difícil para cualquier técnica de detección de amenazas de un solo punto defenderse eficazmente de estos ataques.
¿Qué hace que una plataforma XDR sea eficaz?
Aunque la técnica de detección de amenazas en un solo punto puede ser eficaz para defender tipos específicos de ataques, el sector de la seguridad necesita un arma que utilice todas estas herramientas de seguridad de forma conjunta para proporcionar una solución más integrada y completa que permita detectar, prevenir y mitigar las amenazas de forma precisa y eficaz.
Extended Detection and Response (XDR) es una tecnología emergente que usa múltiples fuentes de datos, utilizando diferentes técnicas y herramientas de detección, correlaciona resultados de detección de amenazas, eventos e inteligencia de amenazas y proporciona un enfoque unificado y eficiente para detectar, prevenir y mitigar ataques de amenazas, especialmente ciberataques sofisticados como APTs.
El mercado y las tecnologías XDR estaban aún en su fase de formación en 2022 y seguirán viendo nuevos avances en 2023 y años posteriores. EL XDR no es una tecnología nueva, sino una integración de las herramientas y técnicas de seguridad existentes en una plataforma única y unificada. Muchas de sus fuentes de datos proceden de productos o implantaciones de seguridad de punto único ya existentes. Lo que convierte al XDR en una potente plataforma que recopila estos datos, los analiza mediante análisis convencionales, de aprendizaje automático o de aprendizaje profundo, proporcionando una visión completa de los ataques con análisis forenses y de búsqueda de amenazas y, a continuación, automatiza el proceso de mitigación.
Una plataforma XDR eficaz debe seguir centrándose en las siguientes áreas fundamentales para que sea más eficaz y adaptable.
Fuentes de datos heterogéneas
Una plataforma XDR eficaz debe ser capaz de analizar información de múltiples fuentes de datos, como registros de dispositivos de seguridad, eventos de amenazas, datos de flujo de red o metadatos, correos electrónicos, servidores, eventos EDR, inteligencia de amenazas, datos de usuario, así como fuentes de datos de terceros. Estos datos son de naturaleza heterogénea: pueden ser estructurados, semiestructurados o no estructurados; el alcance de los datos también varía drásticamente, desde datos estáticos de dispositivos o usuarios hasta procesos dinámicos en tiempo de ejecución, aplicaciones. Los datos se recopilan y almacenan en diferentes tipos de bases de datos a través del lago de datos, que es esencialmente un gran repositorio de datos centralizado, durante determinados periodos de tiempo. La plataforma XDR lleva a cabo la normalización, clasificación, contextualización y otros preprocesamientos de los datos a diferentes niveles.
Analítica impulsada por IA
La analítica mediante la técnica de IA es una herramienta importante para permitir a una plataforma XDR realizar continuamente tareas analíticas sobre enormes cantidades de datos y durante largos periodos de tiempo, es útil para detectar comportamientos anómalos o infiltraciones y ataques de amenazas. Por otra parte, si se despliega en la nube, múltiples motores analíticos de IA pueden ejecutarse continuamente en la nube en paralelo, correlacionando los resultados analíticos en la nube y actualizando los modelos de IA y las cachés o bases de datos de detección locales en los dispositivos de seguridad.
Automatización de la seguridad
La automatización de la seguridad siempre ha sido el objetivo importante de cualquier SOC. También es uno de los requisitos clave del XDR. Hay muchos componentes en el XDR que pueden automatizarse: por ejemplo, el descubrimiento de activos, la exploración y evaluación de vulnerabilidades y riesgos de seguridad, la búsqueda de amenazas, el análisis forense, la mitigación de amenazas y la gestión de tickets, etc. Las plataformas XDR también pueden integrarse con la técnica de automatización mediante playbooks en una solución SOAR y proporcionar una detección completa de amenazas y operaciones de seguridad en el SOC.
La automatización de la seguridad ayuda a las empresas de seguridad a mejorar la eficiencia operativa y reducir los costes operativos, lo que es especialmente importante en la realidad económica actual.
Arquitectura abierta
Una plataforma XDR con arquitectura abierta puede aprovechar las técnicas de seguridad de las técnicas de detección y prevención de amenazas, y los despliegues de productos existentes. También puede aprovechar las técnicas y herramientas de seguridad más avanzadas de otros proveedores. La arquitectura abierta requiere un nivel diferente de normalización de datos en origen, interfaces de datos unificadas y API estándar.
Al integrarse con las técnicas y soluciones de seguridad existentes de distintos proveedores, las plataformas XDR pueden mejorar rápidamente las capacidades de defensa de la seguridad o de operaciones de seguridad. También ayuda a la plataforma XDR a establecer un ecosistema que beneficie a todas las partes interesadas.
El futuro es el XDR
Según un informe reciente de Gartner, aunque menos del 5% de las organizaciones utilizan XDR en la actualidad, se espera que esta cifra ascienda al 40% en 2027. Con la integración tecnológica adecuada, el XDR se convertirá en una herramienta de seguridad completa y eficaz para defenderse de los ciberataques.