XDR como evolución del EDR
Las siglas significan Extended Detection and Response y es la evolución del EDR (Endpoint Detection and Respose). Mientras que el EDR obtenía telemetría de las maquinas finales como puestos cliente y servidores, XDR recoge telemetría de los endpoint, la red, email, nubes… Es decir, recoge la mayor información posible y por tanto posibilita una mayor capacidad de detección.
EL XDR se diferencia de otras herramientas de seguridad en que se centra en casos de uso de detección de amenazas y respuesta a incidentes a través del mayor número de elementos de TI. Centraliza, recopila y analiza datos de múltiples fuentes y permite una visibilidad completa. Estas soluciones proveen de alertas de mayor calidad con lo que ayudan a reducir la cantidad de tiempo que los equipos de SOC invierten en descartar falsos positivos.
Una combinación de EDR y SIEM puede lograr resultados similares, realizando una definición de casos de detección en el SIEM. Sin embargo, XDR recopila datos de fuentes específicas, mientras que las soluciones SIEM recopilan datos genéricos de muchas fuentes y los casos de detección.
Principales ventajas
Se eliminan los silos de detección en la que disponemos de una herramienta de detección por cada tipo de elemento TI, es decir, podemos con ello pasar de un modelo en que tenemos un EDR para los endpoint, Network Detection and Response o un Email Detection and Response a pasar a tener una única herramienta.
Esto hace también que tengamos mayor poder detección. Al disponer de mayor información se incrementan los casos de detección y se pueden detectar las amenazas más complejas.
Reducimos las integraciones entre herramientas. Por ejemplo, para ampliar la detección entre herramientas teníamos que hacer que nuestro EDR se integrará con otras soluciones. Al estar ahora todas las capacidades en un único lugar no tenemos que realizar más integraciones.
Simplifica el número de alertas a tratar por parte del SOC. Al reducir todo a un único punto de detección se obtendrá un evento con alta fiabilidad en vez de varios eventos de baja calidad. De esta manera será más sencillo priorizar y gestionar los eventos.
El futuro del EDR y XDR
EDR, en su forma actual, es una solución reactiva, pero proporciona un único punto de vista de los ataques. XDR ofrece una visibilidad más amplia en endpoint, redes y la nube. Combinado con análisis e integración de aprendizaje automático más efectivos, XDR va a cambiar el panorama de detección y respuesta de amenazas.
Iremos viendo como en organizaciones complejas con muchos elementos de TI se irán moviendo de soluciones de EDR a soluciones de XDR. Sin embargo, para empresas con poco tamaño y con los Endpoint como principal herramienta de trabajo los EDR seguirá predominando puesto que es su principal vector de riesgo y el XDR es más aprovechable en entornos TI complejos y grandes.
Veremos una gran evolución en el XDR al ir incorporando un número mayor de elementos sobre los que obtener telemetría, hasta el punto de converger con sistemas OT.
Por último, debido a que esta tecnología es de última generación no encontraras el Cuadrante Mágico de Gartner de XDR, puesto que se espera que esta primera publicación se realice en 2023.