A fondo
El ecosistema de una buena herramienta de Managed Detection Response (MDR)
El aumento y perfeccionamiento de los ataques de ransomware contra empresas e instituciones ha provocado que estas comiencen a invertir en un servicio clave para monitorear los eventos de seguridad en la red. Hablamos del Managed Detection Response (MDR), un enfoque integral que ayudará a la empresa a comprender los riesgos potenciales a los que se encuentran expuestos.
El MDR aporta información valiosa sobre vulnerabilidades e incrementa las medidas de seguridad más eficientes a través de respuestas rápidas. Para ello, se sirve de la información recopilada en el endpoint (puesto de trabajo, servidores y red) a través de software EDR y XDR.
Según datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2022 se gestionaron un total de 118.820 incidentes de ciberseguridad en España, es decir, un 9% más con respecto al año anterior.
Un servicio eficiente de MDR se encuentra siempre en actualización constante de cuáles son los adversarios y las amenazas, por lo que sus analistas realizan investigaciones sobre el estado de la ciberseguridad para identificar nuevas reglas del Threat Hunting sobre los compromisos del entorno 24×7. Son investigaciones más profundas que las ofertadas por los MSSPs, cuya tecnología se basa en el perímetro.
Junto al Threat Hunting, otra herramienta de ciberseguridad relacionada con el MDR será el Incident response. Se trata de un servicio gestionado reactivo de respuesta ante incidentes que entra en funcionamiento para identificar y contener un actor malicioso, recuperando plenamente la actividad.
Cuando se habla de MDR se hace alusión a herramientas de seguridad de primera calidad, a un equipo completo de seguridad integrado por profesionales altamente capacitados y actualizados y a grupos de gestión de cuentas y atención al cliente, los cuales proporcionan servicios acordes a las demandas de cada cliente. A continuación te puedes descargar la propuesta de Sophos en este servicio y comprobar por qué es uno de los líderes de este sector.
La relación sustancial entre EDR, XDR y MDR
La tecnología EDR/XDR detecta y responde contra amenazas de forma independiente, sin necesidad de un contexto concreto. De ahí que se requiera de una correcta gestión para evitar una falsa sensación de seguridad.
La IA y el ML se ponen a disposición de estas soluciones para mejorar la velocidad de detección y respuesta, así como la automatización de las acciones. Las respuestas se basarán en la construcción y el uso de playbooks, automatizaciones en herramientas, plataformas interconectadas y profesionales expertos en el stack tecnológico.
Por su parte, el Endpoint Detection and Response (EDR) es un sistema que identifica, interrumpe y reacciona frente a amenazas a través de dispositivos terminales. Para ello, se instalan agentes de endpoints que se gestionan mediante un software en la infraestructura local o por medio de un portal cloud.
Son ideales para organizaciones que presentan dinámicas remotas o que precisan del monitoreo de endpoints distribuidos, detectando malwares creados para evadir la detección de los sistemas antivirus convencionales.
Por otro lado, el Extended Detection and Response (XDR) es una plataforma SaaS de detección de amenazas y respuestas a incidentes, capaces de realizar análisis y de aprovechar la automatización para detectar, ubicar y verificar amenazas en redes y sistemas. Se compone de varias aplicaciones y servicios de software de seguridad, acelerando la detección de amenazas y optimizando los tiempos de investigación y respuesta.
El MDR consiste en una solución cibernética, una forma de servicio de ciberseguridad proporcionado por un proveedor experto o MSSP, que se sirve de una gran variedad de herramientas para ofrecer una cobertura completa de red. Por tanto, actúa como una extensión del equipo interno de TI.
Beneficios de un MDR
Apostar por un MDR forma parte de la cultura preventiva empresarial. Permite que los equipos se enfoque en el core business. Ese proveedor externo optimizará la productividad y la eficiencia de los equipos internos. De igual modo, mitiga la probabilidad de crímenes cibernéticos, a través de posturas preventivas con la estructuración de una política rígida de ciberseguridad, evitando la pérdida sensible de datos y un impacto financiero irreversible.
Un MDR es capaz de reducir el tiempo de permanencia del invasor en las redes, poniendo en riesgo otras estructuras y vulnerabilidades. Además, los proveedores MDR atienden las normas de seguridad, por lo que cumplirán con los requisitos legales y los reglamentos aplicables. Así pues, podrán realizar informes y auditorías rigurosas.
Los tiempos de detección (MTTD) y de respuesta (MTTR) ante amenazas se reducen considerablemente. Además, salvaguardará los datos privados y/o sensibles en la nube, sirviéndose de la información confidencial para cumplir con los procesos internos. A partir de ahí, se podrán tomar decisiones basadas en datos sobre el negocio, resguardando el funcionamiento empresarial.
De igual modo, un MDR también es capaz de conjugar conocimientos técnicos, jurídicos y de negocios para permitir que cualquier organización pueda prevenir y reducir los riesgos inminentes procedentes de ataques cibernéticos, tomando las decisiones más adecuadas. De este modo, evitará el tener que pagar un rescate por recuperar determinadas informaciones sensibles de la propia empresa, de clientes o de terceros.