Francis Parra
Escrito por Francis Parra el 09 marzo, 2021

¿Cómo ayuda MDR en la gestión de incidentes de ciberseguridad?

MDR o Managed Detection and Response cada día se vuelven más populares e importantes dentro del catálogo de servicios en el mercado para la gestión de incidentes de ciberseguridad.

MDR es un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red. 

Existen muchas empresas que ofrecen diferentes herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, contar con una herramienta no es suficiente, para esto se requiere de un equipo especializado que no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó. Para una respuesta más rápida, MDR también utiliza IA y aprendizaje automático para investigar, auto contener amenazas y orquestar la respuesta.

Si lo que buscas para tu empresa es mejorar tus tiempos de detección de amenazas y la capacidad de respuesta a incidentes y de monitoreo continuo, a continuación, te explicaré por qué tu mejor solución es un servicio de MDR, cómo te ayudará frente a la gestión de incidentes de ciberseguridad y cuáles son sus fortalezas frente a los servicios tradicionales de seguridad administrada o MSSP.

SOC Tradicional vs. MDR

Los centros de operaciones de seguridad como servicio (SOCaaS), son comúnmente utilizados por los MSSP y gestionados a través de un SIEM. Tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar, pero tienen presupuestos limitados.

Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que puede llegar a tener:

Criterios 
Técnicos

Capacidades

SOCaaS

MDR (Full Telemetría)

  • Única fuente de telemetría
  • Telemetría completa independientemente del modelo de implementación.

  • Nivel bajo (logs, NetFlow)
  • Nivel alto (endpoints, PCAP, logs, vulnerabilidades, etc.)


  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Aprendizaje automático limitado
  • Comportamiento limitado
  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Inteligencia de amenazas personalizada (varía)
  • Aprendizaje automático avanzado
  • Comportamiento avanzado
  • Caza activa de amenazas
  • Búsqueda proactiva de amenazas



  • Reenvío de alertas no discriminado
  • Validación
  • Validación (más fuerte)
  • Automatización de amenazas conocida
  • Soporte completo del ciclo de vida de IR
  • Capacidades forenses completas
  • Táctica remota de administración de endpoints - Contención
  • Táctica remota de administración de red - Contención

Tabla 1. Comparativo SOC vs MDR

 

El desarrollo y constante evolución de la transformación digital, es uno de los agravantes que ha causado la expansión sustancial de la superficie de ataque en el ciberespacio. Esto conlleva a una constante carrera de alto riesgo contra el tiempo para detectar y responder oportunamente las amenazas cibernéticas.

Lo que antes era un perímetro definido ahora es un entorno muy amplio y sin fronteras, y esto ha ocasionado que los equipos de seguridad busquen un centro de operaciones de seguridad (SOC) con servicios para reforzar las capacidades internas y mejoras de detección y respuesta.

¿Por qué necesitas un servicio de MDR?

Todos los días encontramos nuevas amenazas cibernéticas, estas van aumentando constantemente en cantidad y a nivel de complejidad o sofisticación. Por lo tanto, los equipos de defensa siempre se encuentran en desventaja o un paso detrás de los ciberdelincuentes, ya que es muy difícil proteger una superficie de ataque tan grande, con nuevas técnicas, las 24 horas del día y que es humanamente imposible tener la capacidad de analizar la cantidad de eventos de seguridad y alertas que puede llegar a generar una red de TI promedio en tamaño.

Los servicios de MDR ofrecen capacidades de próxima generación que son difíciles de obtener a través de un MSSP tradicional y difíciles de mantener para la mayoría de las organizaciones, además que disminuyen el riesgo de errores por la interacción humana combinando automatización con habilidades de personas y eliminando los altos costos que pueda acarrear implementar una operación de seguridad de próxima generación.

<<< ¿Cómo elaborar un plan de ciberseguridad para mi empresa? >>>

En la siguiente imagen, podrás observar los criterios técnicos que han sido evaluados para determinar la eficacia y eficiencia de los servicios MDR y lograr su objetivo principal que es minimizar el tiempo de permanencia de los atacantes en tu entorno antes de ser detectados:

Imagen 1. Marco mediante el cual las organizaciones pueden evaluar objetivamente a los proveedores de MDR.

 

¿Cómo te ayudará un MDR frente a la gestión de incidentes de ciberseguridad?

Partiendo del ciclo de vida de IR (Incident Response), podemos hacer una evaluación por cada fase de la gestión de incidentes y observar los beneficios de aplicar esta gestión bajo los lineamientos de un servicio de MDR:

1- Planificación y Preparación

En esta fase se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad.  Hay muchas formas de obtener visibilidad de lo que sucede ~en términos de seguridad~ dentro de tu organización. 

Los servicios de MDR suelen depender de fuentes de telemetría de:

      • Endpoints: Datos de procesos y eventos en los dispositivos de punto final.
      • Redes: NetFlow, registros de metadatos, capturas de paquetes completos (por ejemplo, PCAP).
      • Datos de registros: Logs o eventos de inicio de sesión, eventos de detección, etc.
      • Nube: Datos fuera de logs, endpoints y datos de vulnerabilidades, por ejemplo, de agentes de seguridad de acceso a la nube (CASB) o registros de carga de trabajo en la nube.
      • Datos de vulnerabilidades: Vulnerabilidades comunes expuestas, datos de puertos expuestos, etc.

En la siguiente tabla, se puede observar la información que puede proveer cada tipo de telemetría:

Imagen 2. Profundidad a la que las diferentes fuentes de telemetría proporcionan información.

2- Detección y Análisis

Para minimizar los tiempos de detección y contar con herramientas que logren brindar un contexto y enriquecimiento robusto para analizar a profundidad las amenazas e incidentes de ciberseguridad, los servicios de MDR optan por herramientas y tecnologías avanzadas en términos de seguridad, como:

      • XDR (Extended Detection and Response) 
      • EDR (EndPoint Detection and Response).
        • NTA (Network Traffic Analysis) para detectar anomalías en tiempo real de los paquetes de red.
      • UEBA (User Entity Behaviour Analysis)
      • Plataformas de inteligencia de amenazas (TIP)
        • Cyber Threat Hunting (CTI)
      • Aprendizaje automático (Machine Learning)
      • Correlación de eventos.
      • Investigaciones de alertas de seguridad y amenazas 24x7.
      • Detección y categorización de amenazas basada en MITRE ATT&CK Framework.

3- Respuesta: Contención y Erradicación

Los servicios de MDR buscan identificar y comprender de qué van las actividades realizadas en los endpoints o en la red para prevenir y bloquear de forma automática futuras amenazas o comportamientos anómalos. Al igual que buscar síntomas de actividad maliciosa y activar respuestas rápidas automatizadas mediante el análisis de datos contextualizados y enriquecidos por las herramientas.

Estas respuestas rápidas se traducen en actividades de contención y erradicación de amenazas que se pueden ejecutar remotamente con el fin de reducir el tiempo de detección y respuesta al menor posible.

Mediante los servicios de MDR se pueden orquestar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.

Con nuestros servicios de MDR extendemos a tu organización nuestro estilo de defensa avanzada contra amenazas, junto con análisis robustos de seguridad difíciles de obtener mediante un MSSP tradicional y que además son difíciles de mantener para muchas organizaciones si no se tienen expertos a cargo.

Nueva llamada a la acción

Escrito por Francis Parra 9 marzo, 2021
Francis Parra