MDR o Managed Detection and Response cada día se vuelven más populares e importantes dentro del catálogo de servicios en el mercado para la gestión de incidentes de ciberseguridad.
MDR es un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red.
Existen muchas empresas que ofrecen diferentes herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, contar con una herramienta no es suficiente, para esto se requiere de un equipo especializado que no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó. Para una respuesta más rápida, MDR también utiliza IA y aprendizaje automático para investigar, auto contener amenazas y orquestar la respuesta.
Si lo que buscas para tu empresa es mejorar tus tiempos de detección de amenazas y la capacidad de respuesta a incidentes y de monitoreo continuo, a continuación, te explicaré por qué tu mejor solución es un servicio de MDR, cómo te ayudará frente a la gestión de incidentes de ciberseguridad y cuáles son sus fortalezas frente a los servicios tradicionales de seguridad administrada o MSSP.
SOC Tradicional vs. MDR
Los centros de operaciones de seguridad como servicio (SOCaaS), son comúnmente utilizados por los MSSP y gestionados a través de un SIEM. Tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar, pero tienen presupuestos limitados.
Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que puede llegar a tener:
Criterios |
Capacidades |
|
SOCaaS |
MDR (Full Telemetría) |
|
|
|
|
|
|
|
|
|
|
|
|
Tabla 1. Comparativo SOC vs MDR
El desarrollo y constante evolución de la transformación digital, es uno de los agravantes que ha causado la expansión sustancial de la superficie de ataque en el ciberespacio. Esto conlleva a una constante carrera de alto riesgo contra el tiempo para detectar y responder oportunamente las amenazas cibernéticas.
Lo que antes era un perímetro definido ahora es un entorno muy amplio y sin fronteras, y esto ha ocasionado que los equipos de seguridad busquen un centro de operaciones de seguridad (SOC) con servicios para reforzar las capacidades internas y mejoras de detección y respuesta.
¿Por qué necesitas un servicio de MDR?
Todos los días encontramos nuevas amenazas cibernéticas, estas van aumentando constantemente en cantidad y a nivel de complejidad o sofisticación. Por lo tanto, los equipos de defensa siempre se encuentran en desventaja o un paso detrás de los ciberdelincuentes, ya que es muy difícil proteger una superficie de ataque tan grande, con nuevas técnicas, las 24 horas del día y que es humanamente imposible tener la capacidad de analizar la cantidad de eventos de seguridad y alertas que puede llegar a generar una red de TI promedio en tamaño.
Los servicios de MDR ofrecen capacidades de próxima generación que son difíciles de obtener a través de un MSSP tradicional y difíciles de mantener para la mayoría de las organizaciones, además que disminuyen el riesgo de errores por la interacción humana combinando automatización con habilidades de personas y eliminando los altos costos que pueda acarrear implementar una operación de seguridad de próxima generación.
<<< ¿Cómo elaborar un plan de ciberseguridad para mi empresa? >>>
En la siguiente imagen, podrás observar los criterios técnicos que han sido evaluados para determinar la eficacia y eficiencia de los servicios MDR y lograr su objetivo principal que es minimizar el tiempo de permanencia de los atacantes en tu entorno antes de ser detectados:
¿Cómo te ayudará un MDR frente a la gestión de incidentes de ciberseguridad?
Partiendo del ciclo de vida de IR (Incident Response), podemos hacer una evaluación por cada fase de la gestión de incidentes y observar los beneficios de aplicar esta gestión bajo los lineamientos de un servicio de MDR:
1- Planificación y Preparación
En esta fase se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad. Hay muchas formas de obtener visibilidad de lo que sucede ~en términos de seguridad~ dentro de tu organización.
Los servicios de MDR suelen depender de fuentes de telemetría de:
-
-
- Endpoints: Datos de procesos y eventos en los dispositivos de punto final.
- Redes: NetFlow, registros de metadatos, capturas de paquetes completos (por ejemplo, PCAP).
- Datos de registros: Logs o eventos de inicio de sesión, eventos de detección, etc.
- Nube: Datos fuera de logs, endpoints y datos de vulnerabilidades, por ejemplo, de agentes de seguridad de acceso a la nube (CASB) o registros de carga de trabajo en la nube.
- Datos de vulnerabilidades: Vulnerabilidades comunes expuestas, datos de puertos expuestos, etc.
-
En la siguiente tabla, se puede observar la información que puede proveer cada tipo de telemetría:
Imagen 2. Profundidad a la que las diferentes fuentes de telemetría proporcionan información.
2- Detección y Análisis
Para minimizar los tiempos de detección y contar con herramientas que logren brindar un contexto y enriquecimiento robusto para analizar a profundidad las amenazas e incidentes de ciberseguridad, los servicios de MDR optan por herramientas y tecnologías avanzadas en términos de seguridad, como:
-
-
- XDR (Extended Detection and Response)
- EDR (EndPoint Detection and Response).
-
-
-
-
- NTA (Network Traffic Analysis) para detectar anomalías en tiempo real de los paquetes de red.
-
-
-
-
- UEBA (User Entity Behaviour Analysis)
-
-
-
- Plataformas de inteligencia de amenazas (TIP)
-
-
-
-
- Cyber Threat Hunting (CTI)
-
-
-
-
- Aprendizaje automático (Machine Learning)
-
-
-
- Correlación de eventos.
-
-
-
- Investigaciones de alertas de seguridad y amenazas 24x7.
- Detección y categorización de amenazas basada en MITRE ATT&CK Framework.
-
3- Respuesta: Contención y Erradicación
Los servicios de MDR buscan identificar y comprender de qué van las actividades realizadas en los endpoints o en la red para prevenir y bloquear de forma automática futuras amenazas o comportamientos anómalos. Al igual que buscar síntomas de actividad maliciosa y activar respuestas rápidas automatizadas mediante el análisis de datos contextualizados y enriquecidos por las herramientas.
Estas respuestas rápidas se traducen en actividades de contención y erradicación de amenazas que se pueden ejecutar remotamente con el fin de reducir el tiempo de detección y respuesta al menor posible.
Mediante los servicios de MDR se pueden orquestar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.
Con nuestros servicios de MDR extendemos a tu organización nuestro estilo de defensa avanzada contra amenazas, junto con análisis robustos de seguridad difíciles de obtener mediante un MSSP tradicional y que además son difíciles de mantener para muchas organizaciones si no se tienen expertos a cargo.