El daño causado por exploits avanzados, como Log4Shell y Spring4Shell, ha sido ampliamente documentado. Estos surgieron de la nada y aparentemente paralizaron a muchas organizaciones. Esto sucedió a pesar de los presupuestos récord de la industria de la ciberseguridad que eliminarán $146 mil millones en 2022. Esta publicación de Palo Alto Networks destaca que, según la telemetría, la compañía observó más de 125 millones de visitas que tenían la captura de paquetes asociada que activó la firma. Sin duda, surge la pregunta de por qué las infracciones se están volviendo más comunes y más dañinas a pesar de que el gasto en seguridad está en su punto más alto.
La respuesta a esto radica en el enfoque que muchas empresas han adoptado para la protección contra amenazas. La seguridad tradicional se basa en la percepción de que los mejores productos se utilizan para funciones específicas. Por ejemplo, los firewalls protegen la red, EDR protege los puntos finales, CASB protege la nube, etc. La mayoría de estas herramientas hacen un gran trabajo dentro de sus dominios, pero la realidad es que los exploits no se limitan a un dominio específico, por lo que la naturaleza de seguridad tipo silo crea muchos puntos ciegos.
Los productos puntuales no pueden ver el panorama de amenazas de extremo a extremo
Por ejemplo, las herramientas de EDR están diseñadas para encontrar amenazas en los puntos finales y son efectivas en esa tarea específica pero no tienen visibilidad fuera del punto final. Entonces, si la brecha ocurrió en otro lugar, no hay forma de saber dónde y cuándo. Esta es la razón por la que tantas herramientas de EDR son excelentes en la detección pero deficientes en la respuesta. Lo mismo puede decirse de los firewalls que, por lo general, saben todo lo que sucede en una red, pero no tienen información sobre un punto final o muchos servicios en la nube.
Resolver este problema radica en adoptar el concepto de XDR. Por definición, quiero dejar claro que la X en XDR significa «todo» versus «eXtendido», el último de los cuales ha sido promovido por muchos de los proveedores de productos puntuales. Los profesionales de la seguridad deben comprender que una herramienta EDR o SIEM actualizada no es XDR; es simplemente una herramienta heredada con un poco más de visibilidad.
XDR es el camino a seguir para la seguridad
True XDR se trata de tomar datos a través de la infraestructura de extremo a extremo y correlacionar la información para encontrar vulnerabilidades y amenazas. Esto permitiría identificar y rastrear rápidamente un exploit en toda la infraestructura para que se puedan identificar todos los dispositivos infectados. Si bien no es práctico suponer que una organización compraría toda su infraestructura de un solo proveedor, creo que las organizaciones deberían buscar consolidar un mínimo de seguridad de red, endpoint y nube de un solo proveedor y tratarlo como la plataforma fundamental para XDR. Esto garantizaría que el proveedor interactúe con otros proveedores de seguridad para ingerir los datos necesarios.
Otro beneficio de XDR es que proporciona una única fuente de verdad en todas las funciones de seguridad, lo cual es muy diferente de la seguridad tradicional, donde el equipo de seguridad tiene múltiples herramientas, cada una con su propio conjunto de datos e información. La única forma en que se podría correlacionar la información es hacerlo manualmente, lo que es imposible hoy en día, dada la enorme cantidad de datos de seguridad que se recopilan. Las personas no pueden trabajar lo suficientemente rápido, pero una solución XDR, impulsada por inteligencia artificial, puede brindar información a una variedad de analistas de seguridad.
XDR satisface las necesidades de diferentes roles de seguridad
Una buena visualización del valor de XDR se muestra en la página de simulación de respuesta a incidentes de Log4j de Palo Alto Networks. Presenta tres roles diferentes de SOC y cómo XDR puede ayudarlos en sus trabajos. Específicamente, el sitio profundiza en las siguientes funciones:
-
Guy, el Cazador de amenazas: su trabajo consiste en buscar ataques sofisticados y aquellas amenazas bajas y lentas difíciles de encontrar que pasan desapercibidas para las herramientas de seguridad tradicionales. Su trabajo es encontrar actividades inusuales y otras anomalías que sean indicadores de compromiso. Cortex XDR facilita la búsqueda de amenazas, ya que correlaciona los datos entre los puntos finales, la red, la nube y la identidad. Luego, Guy puede usar un lenguaje de consulta XQL avanzado para agregar, visualizar y filtrar resultados que pueden identificar rápidamente los activos afectados.
-
Peter, Analista SOC Tier 2: Su función es monitorear, priorizar e investigar alertas. Su trabajo se utiliza para resolver incidentes y remediar amenazas. El problema es que la mayoría de las herramientas SOC proporcionan demasiados falsos positivos, lo que hace que la información sea inútil. Es por eso que creo que el SIEM tradicional necesita una revisión importante. XDR utiliza aprendizaje automático y análisis de comportamiento para descubrir amenazas avanzadas de día cero. Muchos SIEMS afirman hacer esto, pero la mayoría son solo motores básicos basados en reglas que necesitan una actualización continua. Con XDR, la investigación de las amenazas se acelera al agrupar las alertas relacionadas en incidentes, y luego se revela la causa raíz a través de información de datos cruzados.
-
Kasey, Directora de Gestión de Vulnerabilidades: Su trabajo es descubrir, analizar la aplicación, el sistema, la red y otras vulnerabilidades de TI, y luego evaluar y priorizar el riesgo. Una vez que se realiza ese análisis, se pueden realizar parches y resolver vulnerabilidades. Esto es difícil, si no imposible, de hacer con productos puntuales porque no hay forma de comprender el impacto de una amenaza en los sistemas. XDR se puede combinar con otras herramientas, como la gestión de superficie de ataque (ASM), para encontrar y mitigar el software vulnerable a Log4J y otras vulnerabilidades en toda la organización.
En resumen, volveré a una conversación que tuve con un CISO hace unos meses, quien me dijo que finalmente entendió que lo mejor de su clase en todas partes no conduce a la mejor protección contra amenazas de su clase. De hecho, el promedio de más de 30 proveedores de seguridad que utilizan las empresas en la actualidad crea un desorden de gestión y conduce a una protección subóptima. El camino a seguir debe ser XDR, porque es la única forma de correlacionar datos históricamente aislados para encontrar amenazas y remediarlas rápidamente antes de que paralicen el negocio.
Un buen recurso para los profesionales de seguridad, en particular para los clientes de Palo Alto Networks, es el próximo Palo Alto Networks Symphony 2022, el 18 y 19 de mayo. Si bien este es un evento de proveedores, está lleno de información sobre cómo renovar las operaciones de seguridad para mantenerlas en línea. con las tendencias actuales.
