MDR es un servicio avanzado de gestión de incidentes de ciberseguridad que proporciona inteligencia, cacería de amenazas y respuestas automatizadas. Descubre lo que puede hacer por tu negocio.
Escrito por: Francis Parra
MDR o Managed Detection and Response cada día se vuelve más popular e importante dentro del catálogo de servicios en el mercado para la gestión de incidentes de ciberseguridad.
Se trata de un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red.
Existen muchas empresas que ofrecen diferentes herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, contar con una herramienta no es suficiente, para esto se requiere de un equipo especializado que no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó.
Para una respuesta más rápida, el servicio de MDR también utiliza IA y aprendizaje automático para investigar, auto contener amenazas y orquestar la respuesta.
Si lo que buscas para tu empresa es mejorar tus tiempos de detección de amenazas y la capacidad de respuesta a incidentes y de monitoreo continuo, a continuación, te explicaré por qué tu mejor solución es un servicio de MDR, cómo te ayudará frente a la gestión de incidentes de ciberseguridad y cuáles son sus fortalezas frente a los servicios tradicionales de seguridad administrada o MSSP.
Los centros de operaciones de seguridad como servicio (SOCaaS), son comúnmente utilizados por los MSSP y gestionados a través de un SIEM. Tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar, pero tienen presupuestos limitados.
Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que puede llegar a tener:
Criterios |
Capacidades |
|
SOCaaS |
MDR (Full Telemetría) |
|
Visibilidad |
|
|
Precisión de Señal |
|
|
Capacidad de Detección |
|
|
Respuesta |
|
|
Tabla 1. Comparativo SOC vs MDR
El desarrollo y constante evolución de la transformación digital es uno de los agravantes que ha causado la expansión sustancial de la superficie de ataque en el ciberespacio. Esto conlleva a una constante carrera de alto riesgo contra el tiempo para detectar y responder oportunamente las amenazas cibernéticas.
Lo que antes era un perímetro definido ahora es un entorno muy amplio y sin fronteras, y esto ha ocasionado que los equipos de seguridad busquen un centro de operaciones de seguridad (SOC) con servicios para reforzar las capacidades internas y mejoras de detección y respuesta.
Todos los días encontramos nuevas amenazas cibernéticas, estas van aumentando constantemente en cantidad y a nivel de complejidad o sofisticación.
Por lo tanto, los equipos de defensa siempre se encuentran en desventaja o un paso detrás de los ciberdelincuentes, ya que es muy difícil proteger una superficie de ataque tan grande, con nuevas técnicas, las 24 horas del día y que es humanamente imposible tener la capacidad de analizar la cantidad de eventos de seguridad y alertas que puede llegar a generar una red de TI promedio en tamaño.
Los servicios de MDR ofrecen capacidades de próxima generación que son difíciles de obtener a través de un MSSP tradicional y difíciles de mantener para la mayoría de las organizaciones; además que disminuyen el riesgo de errores por la interacción humana combinando automatización con habilidades de personas y eliminando los altos costos que pueda acarrear implementar una operación de seguridad de próxima generación.
<<Conoce más: ¿Cómo saber si mi empresa necesita el servicio de ciberseguridad MDR? >>
En la siguiente imagen, podrás observar los criterios técnicos que han sido evaluados para determinar la eficacia y eficiencia de los servicios MDR y lograr su objetivo principal que es minimizar el tiempo de permanencia de los atacantes en tu entorno antes de ser detectados:
Partiendo del ciclo de vida de IR (Incident Response), podemos hacer una evaluación por cada fase de la gestión de incidentes y observar los beneficios de aplicar esta gestión bajo los lineamientos de un servicio de MDR:
En esta fase se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad. Hay muchas formas de obtener visibilidad de lo que sucede ~en términos de seguridad~ dentro de tu organización.
Los servicios de MDR suelen depender de fuentes de telemetría de:
En la siguiente tabla, se puede observar la información que puede proveer cada tipo de telemetría:
Imagen 2. Profundidad a la que las diferentes fuentes de telemetría proporcionan información
Para minimizar los tiempos de detección y contar con herramientas que logren brindar un contexto y enriquecimiento robusto para analizar a profundidad las amenazas e incidentes de ciberseguridad, los servicios de MDR optan por herramientas y tecnologías avanzadas en términos de seguridad, como:
Los servicios de MDR buscan identificar y comprender de qué van las actividades realizadas en los endpoints o en la red para prevenir y bloquear de forma automática futuras amenazas o comportamientos anómalos.
Al igual que buscar síntomas de actividad maliciosa y activar respuestas rápidas automatizadas mediante el análisis de datos contextualizados y enriquecidos por las herramientas.
Estas respuestas rápidas se traducen en actividades de contención y erradicación de amenazas que se pueden ejecutar remotamente con el fin de reducir el tiempo de detección y respuesta al menor posible.
Mediante los servicios de MDR se pueden orquestar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.
Con nuestros servicios de MDR extendemos a tu organización nuestro estilo de defensa avanzada contra amenazas, junto con análisis robustos de seguridad difíciles de obtener mediante un MSSP tradicional y que además son difíciles de mantener para muchas organizaciones si no se tienen expertos a cargo.
<< Te invitamos a conocer más: Beneficios y diferenciales del MDR de Sentria by NETDATA>>
SENTRIA es un servicio de gestión, detección y respuesta totalmente integrado con tecnologías líderes de Palo Alto Networks para potenciar tu equipo de SecOps 24/7 y ayudarlos a anticipar ciberataques en tus entornos de nube, híbridos y en premisas. Combinando la experiencia de Netdata, el partner de Palo Alto Networks más capacitado en todo el mundo, redefinímos la forma en que se prestan los servicios de seguridad.
Todos los derechos reservados © Netdata 2022