Blog | Sentria by NETDATA

¿Cómo ayuda el MDR en la gestión de incidentes de ciberseguridad?

Escrito por Netdata Cybersecurity | Mar 9, 2021 6:00:00 PM

MDR es un servicio avanzado de gestión de incidentes de ciberseguridad que proporciona inteligencia, cacería de amenazas y respuestas automatizadas. Descubre lo que puede hacer por tu negocio.

El MDR cada día se vuelve más popular e importante en el mercado para la gestión de incidentes de ciberseguridad. En este artículo, se tratarán sus generalidades, sus diferencias con el SOC, de qué manera ayuda el MDR en la gestión de incidentes de ciberseguridad en las empresas del sector financiero y su importancia.

¿Qué es un MDR?

También conocido como Managed Detection and Response, se trata de un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red.

Existen muchas herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, como empresa, contar con una herramienta no es suficiente; se requiere un equipo especializado que, no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó. Para una respuesta más rápida, también se utilizan IA y aprendizaje automático a fin de investigar, autocontener amenazas y orquestar la respuesta.

Descubre sobre: 3 recomendaciones en ciberseguridad durante la transformación digital

¿Cómo funciona un MDR?

Como se ha venido mencionando, el objetivo principal del MDR es, no solo alertar, sino prevenir, detectar, investigar las causas y responder a incidentes de seguridad en un tiempo excepcional. Por ello, es posible que, a través de este servicio integral, se identifique un historial de lo que pasó, la causa, los equipos perpetradores del ataque, las máquinas infectadas, los usuarios involucrados y la resolución más adecuada y ágil. 

Todo el proceso se puede resumir también en cuatro etapas:

  • Prevención: Consiste en el monitoreo y manejo de políticas de seguridad a lo largo de la red y endpoints.
  • Detección automática: Involucra la inteligencia de amenazas y el análisis de comportamiento basados en Machine Learning y con data enriquecida.
  • Investigación: Se trata del análisis de la causa raíz y el análisis de la línea de tiempo.
  • Respuesta: Se refiere a la construcción y uso de playbooks, las automatizaciones en herramientas, las plataformas interconectadas y los profesionales expertos en el stack tecnológico. 

Diferencias técnicas entre SOC y MDR

Los Centros de Operaciones de Seguridad (SOC) tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar. Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que un SOC puede llegar a tener.

Tabla 1. Comparativo SOC vs MDR

 ¿Cómo ayuda un MDR en la gestión de incidentes de ciberseguridad del sector financiero?

A continuación, se tomará como referencia el ciclo de vida de Incident Response (IR) para evaluar esta clase de gestión según 3 fases principales:

1. Planificación y Preparación

Se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad. Hay muchas formas de obtener visibilidad de lo que sucede dentro de una organización y particularmente el MDR suele depender de fuentes de telemetría de:

  • Endpoints: Datos de procesos y eventos en los dispositivos de punto final.
  • Redes: NetFlow, registros de metadatos, capturas de paquetes completos (por ejemplo, PCAP).
  • Datos de registros: Logs o eventos de inicio de sesión, eventos de detección, etc.
  • Nube: Datos fuera de logs, endpoints y datos de vulnerabilidades, por ejemplo, de agentes de seguridad de acceso a la nube (CASB) o registros de carga de trabajo en la nube.
  • Datos de vulnerabilidades: Vulnerabilidades comunes expuestas, datos de puertos expuestos, etc.

2. Detección y Análisis

Para minimizar los tiempos de detección y tener un contexto robusto para el análisis profundo de las amenazas e incidentes de ciberseguridad, los MDR optan por tecnologías avanzadas como:

  • XDR (Extended Detection and Response).
  • EDR (EndPoint Detection and Response).
  • NTA (Network Traffic Analysis) para detectar anomalías en tiempo real de los paquetes de red.
  • UEBA (User Entity Behaviour Analysis).
  • Plataformas de inteligencia de amenazas (TIP).
  • Cyber Threat Hunting (CTI).
  • Aprendizaje automático (Machine Learning).
  • Correlación de eventos.
  • Investigaciones de alertas de seguridad y amenazas 24x7.
  • Detección y categorización de amenazas basada en MITRE ATT&CK Framework.

3. Respuesta, contención y erradicación

Este servicio busca identificar y comprender las actividades realizadas en los endpoints o en la red para prevenir y bloquear futuras amenazas o comportamientos sospechosos.

Además, activa respuestas rápidas mediante el análisis de datos contextualizados y enriquecidos por las herramientas, lo que se traduce en la contención y erradicación de amenazas remotas. También es posible generar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.

Conoce más: ¿Mi empresa necesita el servicio de ciberseguridad MDR?

¿Por qué un MDR es la mejor opción para una empresa financiera?

Las empresas del sector financiero son muy llamativas para los ciberdelincuentes, por lo que, para ellas, es indispensable proteger su información, equipos y redes. No obstante, a veces existe una superficie de ataque tan grande, con nuevas técnicas y activa las 24 horas del día, que se convierte en una tarea difícil hacerlo.

Aquí es donde entra el servicio MDR, el cual ofrece una opción asequible y experta para mantener la operatividad de la empresa fuera de amenazas cibernéticas. En ese sentido, es importante porque disminuye el riesgo de ocurrencia de ese tipo de incidentes y responde ante ellos en caso de que se presenten.

Si quieres conocer cómo acceder a este servicio, consulta aquí los Beneficios y diferenciales del MDR de Sentria.