EDR vs XDR vs MDR: ¿Cuál necesita su empresa?

Recopilación de análisis de comportamiento con EDR y XDR

El análisis de amenazas conductuales, también conocido como análisis de comportamiento de usuarios y entidades (UEBA), se basa en recopilar información relevante y examinarla en busca de comportamientos anómalos o malos conocidos. Los malos comportamientos conocidos son tareas que una empresa identificó como una entidad que no debería realizar, como una PC de oficina que intenta escanear el puerto de un servidor en el centro de datos, o la PC de un corredor de bolsa que intenta operar un servidor comunitario de Discord.

Los comportamientos anómalos son acciones que no están categóricamente prohibidas por la política, pero son inusuales y merecen una mayor investigación — tal acción podría resultar en una violación de seguridad. Los ejemplos incluyen un asistente administrativo que descarga cientos de gigabytes de información de contacto del CRM, o una cuenta de usuario que inicia sesión desde Vladivostok en lugar de Pittsburgh.

Cómo maneja EDR el análisis de amenazas

Las herramientas EDR convierten los endpoints en piezas de una arquitectura de análisis de amenazas y las utilizan para recopilar datos sobre el estado del punto final y lo que está haciendo. Una herramienta EDR podría registrar qué usuario ha iniciado sesión en la máquina, qué programas se están ejecutando en ella en un momento dado y qué están haciendo esos programas en la red o en servicios específicos.

Los equipos de TI pueden ofrecer EDR a través de un cliente independiente, o la funcionalidad EDR se puede integrar con herramientas estándar de protección de endpoints que realizan antimalware, firewall, prevención de intrusiones, etc. La integración o el uso de las mismas herramientas que el sistema de protección de endpoints (EPP) amplifica la parte de respuesta de EDR. Amplía las opciones disponibles para que el sistema actúe en respuesta a las amenazas cuando se detectan. Las respuestas pueden variar desde un registro mejorado hasta eliminar un usuario o apagar un dispositivo.

El estudio de investigación Secure Cloud Access and Policy Enforcement 2021-22 de Nemertes encontró que las organizaciones que tienen más éxito en ciberseguridad tienen más probabilidades de utilizar un agente combinado EPP-EDR.

Cómo maneja XDR el análisis de amenazas

Los sistemas XDR realizan el análisis de amenazas de comportamiento real. Aplican métodos que van desde la simple comparación de patrones hasta el aprendizaje automático y el análisis del lenguaje natural para detectar amenazas y riesgos. Los sistemas XDR funcionan con flujos de datos desde plataformas de servidores, aplicaciones, servicios en la nube y dispositivos de red físicos o virtuales.

Con la incorporación de EDR, las plataformas XDR también extraen datos de los endpoints. XDR es básicamente un cambio de marca de UEBA. La parte "extendida" puede interpretarse como una extensión del análisis a más flujos de datos, especialmente de los sistemas EDR, pero no indica un cambio en la función o propósito fundamental.

¿EDR, XDR o ambos? ¿Y qué sucede con el MDR?

En pocas palabras, EDR sin XDR es útil y XDR sin EDR es útil. Pero en una implementación ideal, EDR alimenta y es dirigido por un sistema XDR.

Los equipos de ciberseguridad tienen —y lo han estado haciendo desde hace mucho tiempo— una escasez crónica de personal y un exceso de trabajo. Los riesgos proliferan y el posible impacto empresarial de una infracción grave sigue aumentando. La expansión de las operaciones de seguridad estándar para incluir EDR y XDR inevitablemente provocará otra ronda de "hágalo usted mismo o compre" en el liderazgo en ciberseguridad.

Ahí es donde entran en juego los servicios administrados de detección y respuesta (MDR). MDR puede ser una extensión de un contrato de subcontratación de SOC existente o realizarse como una oferta más enfocada comprada además de o en lugar de un servicio SOC. En general, las organizaciones más pequeñas no tienen los recursos para dotar de personal y financiar adecuadamente un SOC y harían bien en incluir MDR en cualquier acuerdo de subcontratación de SOC que exploren. Es probable que las grandes organizaciones puedan gestionar la detección y respuesta a amenazas internamente si ya cuentan con su propio SOC.

Las organizaciones que subcontratan un SOC pueden decidir contratar internamente este tipo de respuesta a amenazas porque es probable que los eventos que surjan a través de EDR y XDR se refieran a una amenaza interna o a una infracción que ya se ha arraigado en algún lugar dentro de la organización. En cualquiera de estas situaciones, el servicio SOC puede tener un alcance limitado de respuesta disponible.

Las organizaciones que buscan EDR deben buscar productos que:

• incorporen funciones de EPP o se integren estrechamente con un cliente de EPP;
• se integren desde el primer momento con sus sistemas SIEM o XDR;
• proporcionen agentes para todos los sistemas operativos relevantes;
• proporcionen funciones idénticas en todas las plataformas y dispositivos, incluidos equipos de escritorio, portátiles y móviles; y
• ofrezcan un amplio conjunto de posibles opciones de respuesta.

Las organizaciones que buscan XDR deberían, entre otras cosas, considerar:

• amplitud de fuentes de datos entendidas e integración inmediata;
• gama de opciones de respuesta;
• disponibilidad de una rica biblioteca de plantillas o runbooks para respuestas; e
• incorporación significativa de técnicas de IA en el análisis.

La investigación de Nemertes ha demostrado que las organizaciones que tienen más éxito en ciberseguridad también tienen más probabilidades de integrar EDR con implementaciones de servicio de acceso seguro, agente de seguridad de acceso a la nube (CASB) y puerta de enlace web segura como servicio (SWGaaS), y XDR con su perímetro definido por software, CASB y servicios SWGaaS.