Para los equipos de TI del mercado medio, proteger los puntos finales puede parecer un juego de Whac-A-Mole, con más dispositivos por usuario, más herramientas y más alertas. Cada uno de estos añade complejidad, pero con menos manos a la obra para gestionar todo de forma eficaz.
Las empresas hacen malabares con un promedio de 10 herramientas únicas de seguridad y administración de endpoints, a menudo con funcionalidades superpuestas que crean alertas redundantes y flujos de trabajo de respuesta aislados. Esta es una carga importante para los equipos de seguridad eficientes, aunque enfrentan las mismas amenazas que las grandes empresas.
Consolidación de datos de seguridad con XDR
El desafío es real pero, afortunadamente, no insuperable. La detección y respuesta extendidas (XDR) aborda el problema brindando una visibilidad integral de toda la pila tecnológica.
El objetivo de XDR es simple: reducir la dispersión de herramientas y centralizar la visibilidad. En lugar de analizar manualmente los registros de múltiples herramientas, los equipos ven una única consola, una única fuente de verdad y una visión más clara de su postura de seguridad. Al correlacionar la telemetría entre fuentes, los analistas obtienen un contexto que de otro modo podrían pasar por alto si rastrean múltiples herramientas puntuales y tratan de entender manualmente una miríada de registros de eventos.
No obstante, como ocurre con cualquier otro enfoque de seguridad basado en plataformas, la integración total de XDR en toda la pila tecnológica es un viaje más que algo que pueda hacer en un día. Por eso es importante comenzar integrando sus datos más críticos.
Como lo expresó R Greenwood de Palo Alto Networks: «Lo ideal sería integrar todas sus fuentes de datos, pero si estamos priorizando, los puntos finales tienen que ser lo primero, porque todo toca el punto final. Los datos de su firewall están en segundo lugar, y los datos de identidad están muy rápidamente detrás de eso, porque eso le ayuda a vincularlos rápida y fácilmente a un usuario».
Construyendo una vista unificada, paso a paso
Si agregar sus fuentes de datos de seguridad es el primer paso, el siguiente paso es darle sentido a toda esa información. Esa es otra área en la que destacan las soluciones XDR más sofisticadas, al introducir análisis avanzados y puntuación de incidentes.
Para abordar verdaderamente el problema de la fatiga de las alertas (y sus numerosas consecuencias indeseables), los analistas también necesitan alertas que tengan sentido. «Con Cortex XDR, cuando llegan alertas, las convertimos en casos. Luego proporcionamos una puntuación para ayudarle a comprender realmente cuán crítico es un caso y por qué es importante», afirmó R Greenwood.
El objetivo es reducir el ruido agrupando las alertas en un solo «caso» o «historia» mediante análisis profundos. Sin XDR, el análisis manual normalmente implica investigar múltiples alertas de bajo nivel de diferentes fuentes, como escáneres de malware, firewalls y herramientas de seguridad en la nube.
Sin embargo, los analistas pueden sentirse abrumados si investigan todas las alertas y sus registros de eventos correspondientes de forma aislada. Por otro lado, cuando su XDR proporciona una imagen completa de un ataque potencial, es mucho más rápido y sencillo investigar y clasificar el incidente.
Gestión de seguridad más inteligente y simplificada
XDR es la columna vertebral que racionaliza las herramientas puntuales, en lugar de ser otra consola de la que deben preocuparse los analistas. Al asignar los controles existentes a un modelo de datos común y asignar flujos de trabajo de investigación y propiedad claros, XDR se convierte en un sistema integral de registro para todos los incidentes de seguridad.
Comience con sus puntos finales y luego agregue tráfico e identidad de firewall para que cada evento se vincule a un usuario y dispositivo específicos. De esa manera, puede conservar lo que funciona, eliminar esfuerzos duplicados y establecer una forma coherente de investigar e informar, todo ello mientras reduce la fatiga de las alertas y mejora su postura de seguridad.
Para las organizaciones que luchan contra la expansión tecnológica o la fatiga de alertas, Cortex XDR ofrece una manera de automatizar la detección y la respuesta y adoptar un enfoque más consolidado para la seguridad de los terminales, sin el reemplazo total de su pila tecnológica.
Fuente