In seguridad cibernética, Qué significa eso Detección y respuesta ampliadas (XDR)? ¿Qué características tiene un sistema XDR? ¿Cómo puede ayudar a alguien que ha sido golpeado por un ataque?
La seguridad cibernética requiere holismo
Una de mis creencias sobre el tema de seguridad cibernética es que los ataques se llevan a cabo en punto final; o, al menos, que el punto de contacto entre el mundo digital y el usuario es instrumental y fundamental para que se produzca un ataque.
De hecho es elpunto final el lugar donde el usuario, que siempre ha sido el eslabón más débil de la cadena de defensa, interactúa con el cyber-verso, está expuesto en línea, que se ve comprometido por un intento de ataque.
En estos tiempos modernos de remotoización digital y uso masivo de la nube, la propagación de los efectos de un ataque se caracteriza por una viralidad y omnipresencia impresionantes.
Todo ello pone una dura prueba a la capacidad de las empresas para detectar y responder en tiempos adecuados para mitigar el impacto, así como consecuencias muy perjudiciales en términos de reputación, continuidad financiera y de negocio.
Además de los ejemplos más inmediatos, la veracidad de lo expresado permanece incluso en los escenarios más complejos: un usuario accede a un entorno de desarrollo con una forma fuerte de autenticación, siendo responsable de la configuración de un sistema de recursos en la nube; durante el proceso de terraformación (término utilizado habitualmente para definir la fase de configuración) olvida una instrucción para reducir la lista de IP que pueden acceder a la instancia de almacenamiento configurada. Aquí se crean, nuevamente gracias a la interacción entre el usuario y el cyber-verso a través de un punto final - las condiciones ideales para un ataque de fuga de datos in cloud.
Otro ejemplo podría ser una arquitectura de Directorio Activo mal configurado, con sistemas pertenecientes al dominio no estandarizados y muchos de ellos sin soporte. En caso de un ataque, se vuelve importante apoyar la resiliencia del ecosistema, cuya postura de seguridad obviamente no es óptima, correlacionando los indicadores de anomalías con la información de la gestión de activos.
Por tanto, surgen dos cuestiones importantes:
- ¿Cómo detectar estos eventos anómalos de la manera más holística posible, uniendo todos los puntos para aumentar la comprensión del contexto y la urgencia para priorizar la intervención?
- ¿Cómo hacer esta detección lo más rápido posible para acelerar la respuesta y la remediación?
Il tiempo de permanencia
De manera más general, el antiguo problema está en la minimización del tiempo de permanencia: este es el nombre del tiempo que transcurre entre el compromiso de un ecosistema y el momento en que se detecta el compromiso.
Según un informe de Mandiant en 2021, el número medio de días de permanencia en 2020 en EMEA aumentó a 66 días, desde 54 en 2019. Esta cifra no solo es una señal de un empeoramiento medio, sino que al ampliar la cifra media nos encontramos con una situación muy preocupante1, que informo en la siguiente ilustración, extraída del informe.
Los datos que deben hacernos pensar se refieren al tiempo de permanencia relacionados con ataques externos, es decir, aquellos en los que la organización recibe notificación del compromiso desde el exterior, ya que es incapaz de detectar el compromiso a tiempo con sus propios recursos.
¡En 225 días, el planeta Venus completa un círculo completo alrededor del Sol! Imagine el nivel de daño que un atacante motivado podría hacerle a la organización que pudo comprometer. Para tener un panorama más preciso de los daños y costos que se derivan de estos ataques, en los que la permanencia le ofrece al atacante todo el tiempo para realizar cualquier tipo de acción en los ecosistemas comprometidos, es posible referirse a la Informe de investigación de violación de datos por Verizon.
Resuelva el problema: de EDR a XDR, a través de MDR
Para mitigar este problema mejorando las capacidades requeridas, las soluciones de Detección de punto final y respuesta.
La ayuda tangible de un EDR se encuentra en dos niveles:
- detección y bloqueo preventivo de un intento de compromiso, con acciones activas similares a las de un antivirus sofisticado.
- identificación del contexto post-compromiso, con el fin de simplificar la detección de anomalías escapadas de la prevención y permitir acciones de respuesta para mitigar el daño: por ejemplo, cuarentena de archivos, terminación de procesos en ejecución, aislamiento controlado de la máquina infectada en la red.
Estas herramientas tan poderosas y efectivas a menudo son infrautilizadas por las empresas debido a la escasez o incompetencia de los recursos internos. Esta situación ha estimulado la solicitud y el nacimiento de servicios específicos que harían economías de escala en las habilidades y recursos necesarios para ejercitar de manera efectiva los sistemas de detección y respuesta por parte de terceros.
Estos servicios se conocen con el nombre de Detección y respuesta gestionadas o MDR.
Sin embargo, se dijo al principio de cómo la creciente complejidad de la biodiversidad digital, que caracteriza a toda organización moderna, conlleva un problema de visibilidad de todo el ecosistema de TI. Poca visibilidad que representa un enorme límite para las actividades de detección y respuesta tan importantes para una correcta postura de la seguridad cibernética.
Esta necesidad holística ha determinado la evolución del concepto de EDR hacia una detección y respuesta ampliadas para cubrir todo el panorama digital de una organización: de ahí el acrónimo XDR, Detección y respuesta ampliadas.
Un sistema XDR le permite enfocarse en el comportamiento anómalo típico de una estrategia de ataque, considerando las señales de todo el ecosistema adecuadamente normalizadas y correlacionadas para ser consumibles por humanos.
Por lo tanto, no solo la telemetría visible en elpunto final, compuesto por archivos, procesos y comunicaciones en red recibidas e iniciadas hacia el exterior; sino información del entorno circundante sobre la interacción quepunto final tenía con la misma y con entidades similares, por lo tanto, otras punto final, o dispositivos de IoT, enrutadores, firewalls, proxies, sistemas de administración de identidad, recursos en la nube y mucho más.
Esta lógica explica por qué XDR es considerado por muchos CISO como una solución a problemas de larga data que aún afectan la efectividad y eficiencia de seguridad cibernética defensivo.
Un XDR se caracteriza por tres importantes características distintivas:
- la capacidad de integrarse con los elementos circundantes de forma bidireccional: es decir, recibiendo flujos de información sobre los eventos rastreados, pero también enviando instrucciones sobre reacciones que solo pueden ser realizadas por estos elementos. Un ejemplo con un sistema proxy sería bloquear la navegación a un sitio web específico como fuente de descargas maliciosas.
- la capacidad de analizar la telemetría recibida y detectada: que consiste en normalizar y correlacionar enormes cantidades de datos prácticamente en tiempo real, utilizando formas de inteligencia artificial (IA) que permiten encontrar señales, caminos de migas de pan dejadas por el atacante, en medio de inmensas playas de muy similares granos de arena entre ellos. Esta operación ciertamente no estaría al alcance de ningún equipo de operaciones de seguridad y generalmente se delega a las infraestructuras en la nube debido a la alta capacidad computacional y de almacenamiento de datos que requiere.
Tenga en cuenta que la inteligencia artificial debe ser de tipología supervisados, es decir, beneficiarse de una preeducación que permita identificar lo malévolo de lo anómalo y lo normal. Para conocer más sobre los diferentes tipos de IA, me remito al interesante artículo que ha publicado Orazio Danilo Russo Julio pasado.
- La capacidad de responder de forma activa, utilizando interfaces de comunicación denominadas API (Application Programming Interface), a través de las tecnologías con las que se integra.. Normalmente esta acción se lleva a cabo siguiendo procedimientos precodificados denominados Playbooks, que describen las distintas secuencias de operaciones con el fin de acelerar y automatizar la respuesta tanto como sea posible.
No hace falta decir que la capacidad holística desplegada por un sistema XDR bien integrado con su ecosistema de TI mejora en gran medida los recursos especializados, tanto los de la organización como los que finalmente se activan a través de un servicio MDR.
Por tanto, la pregunta al final de este artículo podría ser: ¿cómo mido la eficacia de un sistema XDR?
La respuesta que me gustaría proponer se estructura en dos áreas: evaluación cualitativa y métricas.
Desde un punto de vista cualitativo, el XDR debería potenciar tres áreas:
- Análisis de seguridad, es decir, el conjunto de datos agregados, correlacionados y procesados que respaldan el proceso de monitoreo de la postura de seguridad y la detección oportuna de amenazas a esta postura.
- Búsqueda de amenazas proactiva, es decir, la actividad de identificar de forma proactiva las amenazas a partir de anomalías o de señales tenues, eliminando eficazmente el enorme ruido de fondo. ¿Cuánto más fácil se vuelve conectar los puntos para comprender, tal vez usando un identificador único para cada incidente, lo que sucedió retrospectivamente, a fin de planificar la continuación de las operaciones?
- Respuesta automatizada a incidentes, es decir, aumentar la velocidad de reacción en respuesta al incidente hasta su mitigación o reparación.
Desde un punto de vista cuantitativo, la adopción de una solución XDR debería permitir comenzar a desarrollar métricas sobre el tiempo medio de detección de ataques (MTD, desde Tiempo medio para detectar) y tiempo medio de respuesta / remediación (MTR, da Tiempo medio para responder / remediar).
O perfeccionar las medidas ya activadas a la luz de las nuevas capacidades, para verificar la solidez de la inversión y equilibrar mejor los modelos híbridos que implican el uso de servicios externos y recursos internos combinados.
1 Informe de Mandiant M-Trends 2021: https://www.mandiant.com/resources/m-trends-2021
Foto: web / Mandiant
