De las SIEM a los XDR, ciberseguridad integral basada en IA

Stellar Cyber presenta Open XDR como alternativa de evolución a los conocidos SIEM que buscan identificar los puntos ciegos, reducir la fatiga de las alertas, simplificar la detección y la respuesta a ciberataques complejos. Lo cierto es que las SIEM no han cumplido estas promesas bien a bien los últimos años. Hoy se habla de las plataformas de XDR que en realidad no sustituyen a las SIEM, más bien las incluyen. La misión de las XDR es maximizar la visibilidad, el análisis y la respuesta a incidentes de seguridad de forma automática.

  • Según Accenture, el 68% de los líderes empresariales sintieron que sus riesgos de ciberseguridad aumentaron en 2020.
  • Risk Based informó que las violaciones de datos expusieron 36 k millones de registros durante la primera mitad de 2020.
  • Proofpoint descubrió que el 88% de las organizaciones de todo el mundo experimentaron ataques de spear phishing durante 2019.

Además, los ataques son cada vez más complejos. Los piratas informáticos alguna vez apuntaron a un solo vector, como un puerto de firewall, pero hoy, apuntan a múltiples vectores. Por ejemplo, un atacante puede iniciar sesión en la red desde una ubicación no reconocida, acceder al sistema de Active Directory, cambiar los privilegios de un usuario, y luego comenzar a descargar datos de un servidor. Por sí mismos, cada uno de estos indicadores puede ser visto como falso positivo por los sistemas que los rastrean, pero en realidad, todos son parte de un solo ataque.

En este entorno, las empresas luchan por identificar y remediar los ataques. El enfoque tradicional de recopilar un grupo de herramientas en silos (como EDR, NTA, SIEM y UEBA) para analizar el tráfico en redes, servidores, puntos finales, nube y otras partes de la infraestructura de seguridad simplemente no funciona. En una encuesta de 2020, Grupo de Estrategia Empresarial (ESG, por sus siglas en inglés) descubrió que al 75% de las empresas les resulta difícil sintetizar los resultados de diferentes herramientas de seguridad para determinar los ataques. Además, la encuesta muestra que el 75% de las empresas han implementado una o más herramientas de seguridad que no han cumplido su promesa.

Finalmente, hay una brecha en las habilidades interpersonales. La encuesta de ESG mostró que el 75% de las empresas tienen una brecha en las habilidades de las personas: ya que no pueden contratar suficientes analistas experimentados para respaldar los análisis y las operaciones de seguridad.

No es de extrañar que incluso con SIEM funcionando, muchas empresas tardan semanas o meses en identificar ataques complejos: el tiempo medio para identificar una infracción compleja es de más de 200 días. Los analistas de seguridad están inundados de falsos positivos, por lo que no pueden ver a los caimanes en el pantano porque están metidos hasta el cuello en el agua y solo intentan respirar.

XDR es una plataforma de operaciones de seguridad cohesiva con una estrecha integración de muchas aplicaciones de seguridad en una plataforma para correlacionar eventos con incidentes significativos en toda la superficie de ataque. Una Plataforma XDR extrae datos desde SIEM, NDR, EDR, CASB, análisis del comportamiento de la entidad de usuario (UEBA) y otras herramientas y, a diferencia de un SIEM, normaliza este conjunto de datos dispares en un formato común. El grupo de datos común se puede buscar fácilmente para que los analistas sean capaces de profundizar en las alertas e identificar las causas originales de los ataques. XDR también utiliza Inteligencia Artificial y Machine Learning para correlacionar automáticamente las detecciones y emitir alertas de alta fidelidad, lo que reduce significativamente los falsos positivos.

A diferencia de los humanos, las computadoras pueden correlacionar un número ilimitado de puntos de datos, por lo que al usar datos normalizados y Herramientas de IA, XDR puede identificar automáticamente ataques complejos en muchos casos, a menudo en minutos u horas en lugar de semanas o meses. Además, la estrecha integración con las herramientas de seguridad permite que XDR active automáticamente las respuestas a las alertas, como el bloqueo de una IP en el firewall.

Open XDR es una variante de XDR compatible con todas las herramientas de ciberseguridad, cualquier EDR o firewall. Por lo tanto, permite a los usuarios aprovechar sus inversiones previas en ciberseguridad, mientras las optimiza agregando sus datos, detectando ataques, presentando alertas de alta fidelidad de la infraestructura bajo una sola interfaz y respondiendo automáticamente en muchos casos para entregar una mejora inmediata.

Además, la plataforma Open XDR integra sus propios módulos SIEM, NDR, UEBA y otras herramientas. Esto permite a los usuarios prescindir de algunas de sus herramientas previas con el tiempo, reduciendo gradualmente los costos de licenciamiento y la complejidad operativa.

Al ofrecer detecciones claras y rápidas en las herramientas previas a Open XDR con respuestas automatizadas, se acelera la identificación y corrección de ataques al tiempo que reduce la carga de los equipos de analistas, generando una mejor seguridad general, empleados más felices, menos interrupciones con menos inversión.

Open XDR es el Centro de Operaciones de Seguridad de última generación.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.