3 claves para diferenciar XDR de EDR
Carlos Arnal Cardenal, Product Marketing Manager en WatchGuard, habla sobre la comparacion de la detección y respuesta de endpoints (EDR) y la detección y respuesta extendida (XDR), destacando cómo la integración de datos de múltiples fuentes y el análisis avanzado están redefiniendo la protección en tiempo real.
Las soluciones de ciberseguridad han evolucionado desde una tecnología básica de investigación y descubrimiento, a una solución de análisis de comportamiento que permite la detección y respuesta en tiempo real.
Sin embargo, si se quiere ser realmente efectivos, es necesario que, además, brinde la protección necesaria frente a comportamientos anómalos que por sí solos parecen inofensivos, pero que vistos en conjunto y gracias a la correlación y contextualización de las detecciones, son identificados como un incidente ante el que hay que responder lo antes posible.
El término “detección y respuesta” o como comúnmente se conoce “detection & response”, engloba tecnologías que buscan aportar una mayor visibilidad, una mayor capacidad de identificación y una respuesta más eficiente a las amenazas en una superficie amplia de ataque. Sin embargo, éstas suenan muy parecidas y pueden resultar confusas.
EDR vs XDR
La principal diferencia es que XDR es la evolución natural de EDR, por lo que amplía sus capacidades. Sin embargo, a continuación, veremos en detalle las claves que separan ambas soluciones:
1- Recopilación de datos:
EDR recopila telemetría que puede incluir tipos y volumen de actividades específicas que ocurren en un endpoint y en aquellos, tanto dentro como fuera de su organización, con los que se comunica. Así como los tipos de datos y archivos que transitan hacia y desde ese endpoint. XDR, en cambio, recopila datos de más fuentes. Complementa la telemetría de la solución EDR, cruzándola con otras fuentes como tráfico de red o actividad de identidades, creando una correlación entre esos datos y presentando un contexto más amplio.
2- Análisis de los datos:
En el caso de EDR, los datos de los endpoints se envían a un motor de análisis EDR que detecta comportamientos anómalos y realiza un mapeo con Indicadores de Ataque (IoAs) que indican la probable presencia de algún tipo conocido de actividad maliciosa. Por otra parte, XDR, al recopilar otros datos del entorno, es capaz de identificar con un alto nivel de confianza la naturaleza y el origen de cualquier actividad maliciosa que detecte, de esta forma, se reducen los falsos positivos y aumenta la fiabilidad y la precisión.
3- Detección y respuesta a amenazas:
La tecnología EDR utiliza inteligencia artificial (IA), aprendizaje automático (ML) y análisis avanzado de archivos, para analizar el comportamiento de los dispositivos e identificar amenazas avanzadas y malware. También cuenta con mecanismos de respuesta automática con acciones como alertas de seguridad, aislamiento de la máquina de la red y eliminación o terminación de amenazas potenciales. Mientras tanto, la tecnología XDR, mediante el uso de dominios cruzados y la correlación de actividades supervisadas desde diferentes productos de seguridad, aporta contexto de la amenaza, puntúa y detecta escenarios maliciosos que podrían ser indicadores de compromiso (IoC), lo que permite reducir el tiempo medio de detección (MTTD) y contener rápidamente el impacto, la gravedad y el alcance de la amenaza. Asimismo, XDR habilita una respuesta orquestada entre dominios distintos de forma nativa, como la respuesta conjunta en endpoint y red, aislar endpoints y bloquear la dirección IP externa asociada al incidente.
EDR o XDR: ¿cuál se ajusta más a las necesidades de tus clientes?
Es cierto que EDR y XDR cubren casos de uso comunes, aun así, son distintos y atienden a necesidades específicas. En el momento de considerar la adopción o la recomendación de una de estas soluciones para sus clientes, los MSP deben evaluar la situación y las capacidades actuales que éstos tienen para ofrecer aquella que mejor se adapte a sus necesidades. Los puntos para evaluar incluyen:
- Infraestructura de TI:
Lo primero es determinar qué activos deben protegerse. La solución XDR es perfecta para las medianas empresas que cuentan con un personal limitado y carencia de herramientas automatizadas, por lo que tienen que dedicar mucho tiempo a la clasificación manual de las detecciones, gestión de las alertas y acceso a múltiples consolas para poder recabar esta información y contextualizarla, y así saber cómo actuar frente a una amenaza.
- Conocimientos de seguridad necesarios:
Las soluciones EDR y XDR requieren de un cierto expertise para desplegarlas y administrarlas con eficacia, además de experiencia en la seguridad y caza de amenazas. Si la empresa utiliza servicios gestionados puede que este apartado no sea tan relevante, ya que cuentan con el personal cualificado para poner en marcha cualquiera de estas tecnologías. Sin embargo, los MSP que estén asesorando a las compañías sobre las soluciones que deben incorporar, pueden hacer su recomendación basándose en las necesidades del cliente, concienciación frente a los ciberataques y qué personal e infraestructura poseen.
Basándose en estos criterios clave, los MSP pueden guiar a las organizaciones en la implementación de soluciones y servicios.
WatchGuard brinda a sus partners las herramientas de detección y respuesta de endpoints (EDR) y XDR con ThreatSync de WatchGuard tanto para su uso ofreciendo servicios de valor añadido como para su recomendación de uso por parte del cliente final, ya que si bien ambas aportan una alto grado de automatización en la detección y respuesta, ThreatSync va un paso más allá ampliando estas capacidades, orquestando la detección y la respuesta entre varias soluciones de seguridad.
Por Carlos Arnal Cardenal, Product Marketing Manager en WatchGuard.