El auge de la detección y respuesta ampliadas (XDR) es a la vez una validación y una acusación a la tecnología de gestión de eventos e información de seguridad (SIEM), la categoría dominante del mercado asociada a la detección, investigación y respuesta a amenazas agregadas.
Es una validación porque subraya la tesis central de que la agregación de múltiples señales a lo largo del ciclo de vida del ataque es fundamentalmente correcta. Pero es una acusación porque la aparición de una segunda categoría de mercado que resuelve el mismo problema nos da una pista sobre la ineficacia del enfoque actual.
Está claro que el mercado ha mostrado un gran interés, pero ¿hasta qué punto las promesas de la XDR no son más que exageraciones?
A los compradores que quieran saber a qué se enfrentan antes de invitar a un socio al baile de la XDR les vendrá bien reconocer que casi todos los proveedores del espacio de la XDR llegaron de un mercado adyacente, y se llevarán ese mercado adyacente con ellos cuando planten su bandera de la XDR.
Los compradores deben ser conscientes de que en realidad hay cuatro espacios principales de los que proceden los vendedores de XDR.
SIEM y XDR: ¿Transformación o cambio cosmético?
Hay muchos incentivos para que los proveedores de SIEM cambien de marca y se conviertan en proveedores de XDR. En el caso obvio de los más pequeños, que carecen de la cuota de mercado de los grandes, es una oportunidad para pivotar hacia la nueva moda y volver a intentarlo.
Pero incluso para los actores dominantes, el cambio de marca de la solución tradicional empieza a tener mucho sentido cuando uno se da cuenta de que muchas implantaciones de SIEM no son más que costosos colectores de registros, no detectores de amenazas.
El incumplimiento de las promesas de detección de amenazas correlacionadas crea una especie de albatros para la reputación, y el auge de la XDR presenta una oportunidad para una nueva oportunidad, especialmente si el proveedor ha realizado algunas mejoras materiales en la tecnología subyacente.
Los compradores que se planteen una solución XDR basada en SIEM deben considerar si algo ha cambiado fundamentalmente o si sólo se trata de una nueva capa de pintura. Hay una fuerte tendencia a construir en lugar de comprar cuando se sigue el camino XDR con un proveedor SIEM.
En el caso de los compradores con recursos suficientes que puedan permitirse los elevados costes indirectos de la puesta en marcha de esta tecnología o que tengan casos de uso a medida que queden sin cubrir por soluciones más específicas, esto todavía puede tener mérito.
La influencia de la EDR en la XDR: expansión más allá de las fronteras tradicionales
Teniendo en cuenta los incentivos en juego con los proveedores de detección y respuesta de puntos finales (EDR) y los analistas del sector, es comprensible que la definición de XDR como EDR++ tenga tracción.
Las propias empresas de EDR siguen necesitando encontrar crecimiento para apaciguar a los accionistas y descalificar a la competencia en la fase de requisitos facilita la división de ese nuevo pastel. Mientras tanto, los analistas del sector tienen que apaciguar los nervios de los vendedores de SIEM y la creación de una categoría XDR puede ser un medio temporal de mantener la paz entre los bandos de EDR y SIEM.
Aunque EDR proporciona una señal útil para muchas detecciones de amenazas tradicionales, el problema de sobreponderar EDR en cualquier enfoque XDR se hace evidente cuando se considera que aproximadamente el 70% de los activos y servicios empresariales no ejecutarán un agente EDR. Si una empresa híbrida moderna se enfrenta a amenazas contra cloud, la identidad, las aplicaciones SaaS e incluso las redes OT/IoT, pretender que todas las brechas implican el compromiso de un punto final habilitado para EDR es llegar tarde a la fiesta, con una década de retraso.
Los compradores que busquen una solución XDR basada en EDR deben tener en cuenta dos cosas: El rendimiento del EDR en sí, y la agregación y correlación de otras señales. Debe darse prioridad a un buen rendimiento EDR, pero sin excluir un tratamiento convincente de todo el ecosistema de señales.
Si la imagen que empieza a emerger es que un EDR y algo parecido a un SIEM acaban de ser atornillados juntos, su sentido arácnido debe estar hormigueando y toda la orientación anterior a los compradores de XDR basados en SIEM se aplica.
Soluciones XDR basadas en servicios: El elemento humano
Estos tipos se fijaron en los resultados que la XDR se proponía conseguir y afirmaron que, si el precio es correcto, que estos resultados se consigan con tecnología o con personas es secundario.
Francamente, esto tiene mucho sentido y es una de las razones por las que para muchos compradores una solución XDR puede ofrecerse como un servicio gestionado. El problema está en la ejecución, no en la tesis.
Muchos compradores recordarán la época en que se incentivaba a sus proveedores de soluciones de seguridad gestionadas (MSSP) para que se convirtieran en proveedores de detección y respuesta gestionadas (MDR) de la noche a la mañana, sin ninguna mejora material en la calidad de sus servicios.
Los compradores que busquen una solución XDR basada en servicios con un proveedor competente a un coste atractivo pueden tener muchas ventajas por delante: los proveedores de servicios pueden hacer cosas a una escala que no siempre son factibles para una organización por sí sola.
Por desgracia, encontrar un proveedor de servicios competente no es tan sencillo como consultar un cuadrante mágico y algunos de los compradores que encuentran atractivas las capacidades de un proveedor de servicios, carecen de la madurez necesaria para medir eficazmente la calidad de los resultados.
En este caso, los compradores deberían pasar a la ofensiva y exigir a sus proveedores que definan claramente cómo se mitigarán los riesgos en términos cuantificables y que pongan en marcha equipos rojos periódicos sin previo aviso como comprobación cruzada.
Enfoque de red, identidad y Cloud para XDR
Por último, hay una clase de vendedores cuyas carteras de plataformas incluían múltiples señales de detección de amenazas y reconocían que el todo era mayor que la suma de sus partes.
Network Detection and Response (NDR), Cloud Detection and Response (CDR), Identity Threat Detection and Response (ITDR) e incluso las empresas de cortafuegos de nueva generación (NGFW) que utilizan tecnología de sistemas de detección de intrusiones (IDS) pueden aportar señales de detección de amenazas.
Esta categoría tiende a contrastar más marcadamente con el enfoque basado en SIEM heredado, ya que estos proveedores tienden a tener una detección de amenazas creada a propósito en la que los datos subyacentes y los análisis de flujo están estrechamente acoplados.
Los compradores que optan por una solución XDR Cloud red, la identidad y la nube tienden a acumular beneficios asociados a una amplia visibilidad, facilidad de uso y rentabilidad.
Esto contrasta con el SIEM tradicional, pero hay que tener en cuenta una contrapartida: mientras que los casos de uso más comunes estarán cubiertos, puede haber casos de uso a medida o de cola larga que queden fuera del alcance. Si es su caso, puede que tenga que desarrollar algunos de ellos usted mismo.
Para algunos compradores, esto significa que la sustitución completa del SIEM no es viable, aunque muchos de los casos de uso que antes se perseguían en el SIEM puedan descargarse en el XDR. Además, existe una diferenciación real entre ecosistemas cerrados y abiertos.
Los compradores deben buscar una XDR cooperativa y abierta: exigir todo el ecosistema de un proveedor junto con un agente EDR de segunda categoría para disfrutar de las ventajas de la XDR probablemente debería ser un factor disuasorio para cualquiera.
Conclusiones: El lugar de la XDR en el futuro de la ciberseguridad
Aunque lo anterior puede ofrecer una idea de lo que cabe esperar en un viaje XDR, aún queda mucho terreno por recorrer antes de que los árbitros definitivos -los propios compradores- aclaren el tema.
No obstante, a pesar de la posible confusión y desacuerdo en el ínterin, hay un punto que es una victoria para todos los que se preocupan por detener las amenazas: el auge de la XDR como categoría de mercado indica un importante punto de madurez en la búsqueda de la resiliencia a través de la ciberseguridad.
Indica que se ha generalizado la idea de dejar atrás los costosos fracasos de la seguridad centrada en la prevención. A fin de cuentas, eso es algo que todo el mundo debería celebrar.
Explore cómo la plataforma Vectra AI puede revolucionar su estrategia XDR. Conéctese con nosotros para redefinir la resiliencia y mantenerse a la cabeza en el juego de la ciberseguridad.