Leonardo Aguilar
Escrito por Leonardo Aguilar el 23 marzo, 2021

¿Qué es MDR? Detección y respuestas gestionadas en ciberseguridad

MDR

La adopción de una postura de ciberseguridad se ha convertido en  algo vital para el normal desarrollo de las organizaciones y pensar que es tarea únicamente del área de tecnología es un error garrafal.

No podría estar más de acuerdo con lo que expone Malcolm Marshall, responsable global de Ciberseguridad de KPMG: “Toda compañía es ahora una ciber empresa, y cada una de ellas debe permanecer vigilante”.

Con la expansión del perímetro debido a la movilidad de los colaboradores, la ida a la nube, y demás proyectos de innovación dentro de nuestras organizaciones,  las superficies de ataques y vulnerabilidades han incrementado en tal cantidad,  que hace un par de años nos parecerían inimaginables.

<<< Beneficios de las soluciones de ciberseguridad para mitigar amenazas >>>

En el 2016 se registraron 600 Millones de programas maliciosos, estamos hablando de 925 Millones más que en la actualidad. Es así como los Centros de Operaciones de la Seguridad (SOC) se volvieron urgentes más que importantes.

Ahora bien, la enorme inversión para poder tener un SOC de clase mundial, es algo que muy pocas organizaciones pueden permitirse, adicional a la realidad que implica poder tener personal experto en todas y cada una de los diferentes componentes de la plataforma tecnológica.

Es allí cuando algunas empresas tuvieron la brillante idea de convertir esto en un servicio, con un pago anual o muchas veces mensual, para poder entregar una estrategia comercial viable para muchas organizaciones.

<<< Qué hacer y qué no ante una respuesta a incidentes de ciberseguridad >>>

De este modo, el Proveedor de Servicios de Seguridad Gestiona (MSSP) se encargaría de monitorear los eventos de seguridad en la red, enviar alertas cuando se identificaran anomalías, informes de auditoría, cumplimientos  y,  todo un trabajo forense tras algún evento.

Por mucho tiempo este modelo de servicio funcionó, pero en algún punto, para muchas organizaciones alertar se convirtió en algo insuficiente, dicho sea de paso está comprobado que de cada 10.000 alertas 1 sola es real, las otras 9.999 son falsos positivos, que genera una fatiga de alarmas en los equipos de ciberseguridad. Adicionalmente requiere mucho trabajo manual y repetitivo.

De esta realidad surge la necesidad de ser más proactivos. Las organizaciones no solo necesitaban un aliado que enviara informes de posibles alertas, necesitaban a un equipo de trabajo al lado que les ayudará también a detectar y responder ante amenazas. Y eso es lo que trae a la mesa el MDR, la detección y respuesta gestionada ante amenazas de ciberataques.

Todo un stack tecnológico, procesos y personas capacitadas con gran pericia, que están 24/7 trabajando en detectar y ante cualquier evento, responder. Ese es el compromiso que debe adquirir un buen proveedor de MDR, dijo el  General Sun Tzu:

“Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla”

Entonces, debemos conocer al enemigo y debemos estar en capacidad de responder ante el enemigo. ¿Cómo logramos eso?

      1. Con prevención: monitoreo, manejo de políticas de seguridad a lo largo de la red y endpoints.
      2. Con detección automática: inteligencia de amenazas y análisis de comportamiento basados en machine learning, con data enriquecida.
      3. Con investigación: análisis de la causa raíz y análisis de la línea de tiempo.
      4. Con respuesta: construcción y uso de playbooks , automatizaciones en herramientas,  plataformas interconectadas y profesionales expertos en el stack tecnológico.

No es el propósito de este artículo hacer una matriz comparativa, mi objetivo es contextualizar y mostrar la evolución de los centros de operación de seguridad y sus distintas formas de atención desde una perspectiva “como un servicio”. El mercado nos está llevando a que todo se maneje bajo un modelo de servicio y creo que en un futuro cercano, el MSSP y el MDR serán una misma solución.

<<< 5 Herramientas de ciberseguridad indispensables >>>

Hoy por hoy, lo ideal sería poder contar con lo mejor de los dos mundos, todo ese análisis forense y detalle que puede dar el MSSP y toda esa capacidad de respuesta del MDR, pero si te toca escoger ten en cuenta esto: la máxima seguridad es tu comprensión de la realidad y la realidad es que a todos nos han atacados o nos van a atacar, cuál es tu postura ante esto?Nueva llamada a la acción

Escrito por Leonardo Aguilar 23 marzo, 2021
Leonardo Aguilar