Presentación de IBM Security QRadar XDR

Cuando se les pidió que nombraran las prioridades comerciales que impulsarían el gasto en TI durante los próximos 12 meses, más de la mitad (47 %) de los encuestados en la Encuesta de intenciones de gasto en tecnología de 2021 de ESG mencionaron la ciberseguridad. 1 Se trata de una constatación importante. Las organizaciones necesitan procedimientos y controles sólidos de ciberseguridad como base para la salud y la rentabilidad corporativas en la era de la computación en la nube, la transformación digital y el apoyo a los trabajadores remotos.

Dado el vínculo inextricable entre las empresas, la tecnología de la información y la seguridad, es razonable suponer que las empresas han actualizado sus centros de operaciones de seguridad (SOC) para identificar y reaccionar ante las amenazas cibernéticas en tiempo real. Sin embargo, esta suposición sería incorrecta: muchos equipos de SOC no logran mantenerse al día con las nuevas amenazas. ¿Cuál es el estado actual de la detección y respuesta a las amenazas? ¿Hay avances prometedores en el futuro cercano? Este informe técnico concluye diciendo:

• Las organizaciones tienen diversos objetivos de detección y respuesta ante amenazas. Los objetivos de detección y respuesta ante amenazas para los equipos del SOC incluyen mejorar la detección de amenazas avanzadas, impulsar la automatización de procesos en torno a las actividades de remediación y mejorar el tiempo de respuesta ante incidentes (IR). Estos objetivos indican que las tácticas actuales son ineficaces.
• Existen varias amenazas que se deben identificar y a las que se debe dar respuesta. Los profesionales de detección y respuesta ante amenazas reconocen una serie de obstáculos, entre ellos, una mayor complejidad de las operaciones de seguridad, limitaciones de recursos, una superficie de ataque creciente y cambiante, dependencia de productos de soluciones puntuales no conectados y dificultades con el análisis de datos y la toma de decisiones. Estos desafíos influyen en la eficacia, la eficiencia y la productividad de los analistas de operaciones de seguridad.
• La recuperación ante desastres puede ayudar a identificar y responder a las amenazas. Al igual que la arquitectura de la plataforma de operaciones de seguridad y análisis (SOAPA) de ESG, la detección y respuesta extendidas (XDR) se ha desarrollado como una arquitectura de operaciones de seguridad comercial. La XDR tiene el potencial de aumentar la detección y la respuesta ante amenazas y, al mismo tiempo, actualizar los SOC, incluso si todavía se encuentra en sus primeras etapas.
• Los mejores sistemas XDR deben ofrecer capacidades a nivel empresarial. ESG cree que los sistemas XDR deben ofrecer cobertura de respuesta a incidentes en infraestructuras de TI heterogéneas, análisis potentes y manuales automatizados. XDR debe estar basado en la nube y diseñado utilizando estándares de la industria, API abiertas y formatos de datos comunes para cumplir con los requisitos de escalabilidad e integración. Los principales proveedores de XDR también promoverán la integración a través de asociaciones y servicios de soporte para desarrolladores.

Detección y respuesta ante amenazas en Estados Unidos

La mayoría de las empresas priorizan la detección y respuesta ante amenazas porque los ciberataques como el ransomware y las violaciones de la cadena de suministro pueden interrumpir o incluso interrumpir las operaciones comerciales. Como consecuencia, el 83 % de las empresas prevén aumentar el gasto en tecnología, servicios y personal de detección y respuesta ante amenazas durante los próximos 12 a 18 meses. Las organizaciones tienen diversos objetivos de detección y respuesta ante amenazas para combatir las ciberamenazas, entre ellos:

• Mejora de la detección de amenazas sofisticadas. Las organizaciones buscan mejorar las reglas de detección y los análisis para acelerar la detección de amenazas conocidas y no descubiertas. Los enfoques de mejora de la detección incluyen una mayor detección de anomalías, advertencias de seguridad de mayor fidelidad, "cronogramas" de ataques más detallados a lo largo de la cadena de ataque y compatibilidad con consultas complejas para una búsqueda de amenazas más avanzada.
• Aumento de la automatización de las tareas de remediación. Las tareas de operaciones de seguridad para la mitigación de amenazas y la respuesta a incidentes suelen depender de procedimientos manuales y del "conocimiento tribal" del equipo del SOC. Esta práctica puede haber sido adecuada en 2010, pero los métodos manuales no pueden crecer para satisfacer la cantidad de alertas de seguridad o requisitos de análisis en una infraestructura de TI heterogénea. Los equipos del SOC reconocen la necesidad de automatizar las operaciones repetitivas y orquestar acciones de reacción para la clasificación de alertas, las investigaciones de seguridad y la prevención de amenazas. La automatización puede ayudar a simplificar las operaciones, aumentar la productividad de los analistas y mantener al equipo del SOC centrado en la mejora continua.
• Reducción del tiempo medio de reacción ante amenazas. Una vez identificadas las amenazas, la respuesta a incidentes debe comenzar rápidamente para reducir los períodos de permanencia del adversario y limitar los daños. Esto incluye detener los ciberataques activos, determinar el radio de explosión de los ataques y, por último, reparar las vulnerabilidades residuales o los restos de los ataques. Los CISO comprenden la necesidad de acelerar este proceso.

¿Al rescate, XDR?

Reconociendo la necesidad de contar con tecnologías de operaciones de seguridad estrechamente integradas, ESG introdujo por primera vez en 2016 la idea de "arquitectura de plataforma de operaciones y análisis de seguridad". Esta forma de integración está ganando impulso gradualmente. En un reciente proyecto de estudio de ESG, se preguntó a los profesionales de seguridad si sus empresas priorizaban la integración de análisis de seguridad y tecnología operativa. La integración de análisis de seguridad y tecnología operativa fue la mayor prioridad para el 37% de los encuestados, mientras que el 56% afirmó que era uno de sus cinco objetivos principales.

Descargue el documento técnico de ESG para obtener más información sobre la presentación de IBM Security QRadar XDR solo en Whitepapers Online.