XDR es el acrónimo más reciente en la industria de la ciberseguridad. Pero, ¿Resuelve el problema de las crecientes violaciones de datos?
XDR es una evolución lógica de las soluciones de detección y respuesta de puntos finales EDR pero con un suministro de telemetría extendido, así como el propio EDR evolucionó como una respuesta a falta de capacidades operativas de la seguridad los terminales para las operaciones de ciberseguridad competentes.
Siempre hay muchos acrónimos involucrados, con algunas de las palabras de moda más modernas como "próxima generación" o "híbrido". De alguna manera, seguimos desarrollando nuevos nombres para la solución, pero el problema que deben abordar sigue siendo el mismo. Todo se suma a más ruido en el espacio de la ciberseguridad.
¿Por qué SIEM, NDR y EDR tuvieron que evolucionar (hacia XDR)?
Los SIEM comenzaron como un ejercicio de recopilación de registros (una tarea en la que aún se destaca). Con el tiempo, los administradores comenzaron a usarlo para crear reglas para identificar actividades anómalas y se convirtió en una herramienta de seguridad. Lamentablemente, los SIEM no eran muy buenos para recopilar datos de terminales, por lo que obtuvimos EDR.
Esto funcionó bien durante un tiempo hasta que nos dimos cuenta de que la calidad de las alertas podría aumentarse correlacionando la EDR con la telemetría de otras fuentes. Desafortunadamente, EDR solo era bueno para terminales, por lo que necesitábamos la siguiente evolución y obtuvimos XDR.
El problema con este enfoque reactivo para crear soluciones de seguridad es que diagnostica erróneamente el problema y garantiza que su solución heredará las debilidades y el ADN heredado de sus predecesores.
Por ejemplo, XDR y EDR a veces todavía dependen de conjuntos de reglas que deben ser mantenidos por personal de seguridad especialmente capacitado. NDR intenta ver demasiados datos. Cuando esas reglas no se establecen correctamente, se alertan montones de anomalías falsas positivas. Un estudio del Ponemon Institute descubrió que "el 25 por ciento del tiempo de un analista de seguridad se dedica a perseguir falsos positivos, examinando alertas de seguridad erróneas o falsos indicadores de confianza, antes de poder abordar hallazgos reales".
¿Cómo podemos proporcionar la mejor solución para el problema correcto?
"El pensamiento de primeros principios es un modelo mental que le permite innovar a saltos, en lugar de incrementos (pensamiento defendido por Elon Musk)".
El primer paso es concentrarse en su problema y en que realmente está resolviendo el problema correcto. A menudo desperdiciamos energía al tratar de resolver el problema equivocado.
Es más fácil, para nosotros pensar en términos de analogías, basando los problemas en cosas con las que estamos familiarizados o suposiciones con las que nos sentimos cómodos. Tanto el EDR como el XDR se desarrollaron teniendo en cuenta las debilidades de sus predecesores. Es por eso que generalmente se definen como una analogía: "es como X, pero mejor". En cambio, desafiamos nuestras suposiciones e hicimos las preguntas difíciles que conducen a una mejor innovación.
Los proveedores también son propensos a aplicar mal las nuevas tecnologías debido a este diagnóstico erróneo. Hemos visto cómo se desarrollan nuevas y poderosas técnicas de inteligencia artificial que solo se aplican incorrectamente.Como señaló Joseph Blankenship de Forrester en una discusión reciente, los proveedores comenzaron a decirse a sí mismos "Ahora somos bastante buenos en big data, así que convierta la seguridad en un problema de big data", con resultados desastrosos.
Entonces, ¿cuál es el problema "correcto"?
No es que SIEM no esté haciendo lo suficiente. El problema no es EDR, NDR, XDR o cualquier otro acrónimo, para el caso.
El problema es que los compromisos catastróficos ocurren con una frecuencia inaceptable porque el adversario permanece sin ser detectado en la red durante demasiado tiempo. Este problema no ha cambiado mucho, aparte de empeorar, a través de varias iteraciones de herramientas de seguridad construidas sobre sus fundamentos defectuosos.
Desarrollamos Continuous Compromise Assessment® en respuesta directa a esta causa raíz. Es por eso que pudimos aplicar con elegancia las tecnologías emergentes a sus mejores fortalezas.
¿Cómo Lumu se distingue?
SIEM, EDR, NDR y XDR cubren diferentes casos de uso. Como tal, cuando pregunta cuál necesita, la respuesta tiende a ser "un poco de cada uno". Son un conjunto de soluciones para la ingesta de soluciones de seguridad de telemetría. A diferencia de XDR, Lumu es una solución independiente que puede funcionar en conjunto con un SIEM, pero no depende de él. En términos de calidad de vida, recursos requeridos y resiliencia, la Evaluación de Compromiso Continua supera a SIEM, EDR, NDR y XDR, al tiempo que ayuda a las empresas a controlar el impacto del ciberdelito.
La Evaluación Continua de Compromisos se diseñó para poner en práctica el concepto de "asumir que está comprometido y demostrar lo contrario". Para ello, recopilamos los metadatos de red más pertinentes que luego se estandarizan y correlacionan en la nube mediante Illumination Process®.
El resultado es una experiencia que detecta incidentes de compromiso confirmado en tiempo real y elimina el ruido de alertas interminables de baja calidad.
XDR y Continuous Compromise Assessment terminan marcando muchas de las mismas casillas, a pesar de sus diferentes senderos evolutivos. Elegimos un camino que evitaba el equipaje que viene con una larga lista de productos de ciberseguridad defectuosos. Lumu no fue diseñado para ser “más de lo mismo, pero mejor”, sino más bien para ser un avance real que aborde un problema crucial.
Si necesitas más información puedes visitar nuestra página https://www.pircas.ec/lumu
y solicitar un demostración con un especialista experto que podrá resolver todas tus dudas.
En Pircas Technologies podemos ayudarlos a evaluar la plataforma de iluminación de compromisos de Lumu
Comments