Noticias

Definición de Limitless XDR: Ingestar, retener y analizar los datos de seguridad de forma libre

By
Mike Nichols

Las características más nuevas de Elastic Security definen el potencial de XDR para los equipos de ciberseguridad. Nuestra plataforma única reúne SIEM y la seguridad de endpoint, lo que permite a los usuarios ingestar y retener grandes volúmenes de datos de diferentes fuentes, almacenar y buscar datos durante más tiempo, e incrementar la búsqueda de amenazas a través de detecciones y machine learning.

Los proveedores de seguridad usan cada vez más el término "XDR" y le aplican definiciones diversas que se adaptan a sus tecnologías respectivas. El término surgió como una evolución de EDR (detección y respuesta de endpoint) e intentó incluir la necesidad de diversas fuentes de datos en el proceso de investigación con el uso de "X" de "eXtendido". En todas las diferentes definiciones, hay tres conceptos que se mantienen:

  • Visibilidad: el crecimiento exponencial de datos dificulta cada vez más el trabajo de los especialistas en seguridad. Necesitan un lugar centralizado en el cual realizar análisis, identificación de la causa raíz y planificación de correcciones.
  • Analíticas: esta recopilación centralizada de datos no puede ser un pantano de datos. Debe brindarle a los usuarios un marco de trabajo flexible para componer, permitir y monitorear nuevos casos de uso de analíticas a escala. También debería integrarse sin problemas en los flujos de trabajo de los analistas para priorizar y crear la narrativa de ataque. 
  • Respuesta: esta solución centralizada debe tener capacidad de respuesta. Los usuarios necesitan una forma de corregir los ataques; evitarlos antes de que comiencen es mucho mejor. La "detección" de ransomware no ayuda a una organización. La seguridad de endpoint nativa permite reducir el tiempo promedio de corrección (MTTR) a cero.

Por último, en Elastic definimos XDR de esta manera:

XDR moderniza las operaciones de seguridad, lo que permite analíticas de todos los datos y la automatización de procesos clave para aportar capacidades de prevención y corrección a cada host.

Muchos usuarios de Elastic ven el término XDR y piensan "ya estoy haciendo esto en mi programa de seguridad". De hecho, el concepto de recopilar varias fuentes de datos, analizarlas a escala, detectar amenazas en la información, crear un plan de respuesta y luego realizar correcciones puede interpretarse como la doctrina de un SOC (centro de operaciones de seguridad). Lo que XDR promete hacer es incluir la mayoría de estas tareas en una solución unificada y brindar ayuda donde sea posible para acelerar el flujo de trabajo del analista de priorización, investigación, escalamiento y respuesta; lo que, en última instancia, llevará esta capacidad a más usuarios. Los adversarios atacan a cualquiera, no solo a aquellos con SOC, y XDR promete ayudar no solo a las organizaciones empresariales, sino a todos los que aún no han creado programas de seguridad sólidos para enfrentarse a estos ataques constantes.

Cuando Elastic unió fuerzas con Endgame, un proveedor de EPP, Shay compartió nuestra visión de unificar SIEM y la seguridad de endpoint para todos los usuarios. Esta democratización de la seguridad permite a todos (no solo a las grandes empresas) prevenir, detectar y responder ante amenazas avanzadas. Desde entonces, nuestro viaje nos ha traído a este momento en el que lanzamos capacidades de seguridad de endpoint disponibles para el público en general en la misma experiencia de usuario que las capacidades de SIEM/analítica de seguridad. Esta fusión de las soluciones de SIEM y seguridad de endpoint es XDR.

Lo que hace único a Elastic en este mercado emergente de XDR es que nuestra solución no tiene límites.

X de eXtendido

Visibilidad sin límites

Las soluciones de XDR que evolucionaron a partir de productos de seguridad de endpoint en general no pueden escalar para ingestar y retener el volumen y la diversidad de fuentes de datos de tu empresa. Elastic le lleva años de ventaja a otras soluciones en cuanto a la resolución del problema de los datos, usa nuestra arquitectura gratuita y abierta para ingestar cualquier fuente de datos. Mapeamos los datos de cientos de integraciones prediseñadas a Elastic Common Schema (ECS), y nuestra comunidad de usuarios agrega extensiones nuevas continuamente. Además, Logstash permite la recopilación de datos personalizados de cualquier tipo. Elastic Agent es un solo instalador que brinda soporte a cientos de integraciones y ofrece nuevos casos de uso con un clic.

Datos sin límites

Los tiempo de permanencia de los atacantes superan por mucho la retención actual de la mayoría de los sistemas de XDR y SIEM. E incluso si esos sistemas retienen los datos, suelen reducir la velocidad de análisis al mínimo. Elastic puede tomar medidas sobre datos congelados en un almacenamiento de objetos, como Amazon S3, de años de búsqueda, inteligencia de amenazas, dashboards, reportes y más. Simplemente cambia el intervalo de tiempo de 2 semanas a 2 años y, en minutos, los resultados estarán disponibles para los analistas.

D de Detección

Análisis sin límites

Las amenazas evolucionan constantemente. Detectarlas y detenerlas requiere de defensa en profundidad. En Elastic, hay disponibles varias capas de detección en todos tus datos: desde correlación en cualquier cantidad de fuentes de datos hasta inteligencia de amenazas aplicada a años de información y modelos de machine learning que detectan anomalías. Nuestro equipo proporciona cientos de detecciones mapeadas a MITRE ATT&CK® y trabajos de machine learning para garantizar que obtengas valor desde el primer día. 

Abrimos el desarrollo de nuestras detecciones, lo que te permite conectarte directamente con el equipo y compartir la sabiduría de la comunidad de Elastic. Nuestra arquitectura de motor de detección jerárquica permite que las reglas de detección nuevas analicen detecciones anteriores en busca de progresiones de ataques avanzados. Muchas organizaciones recopilan datos en diferentes áreas geográficas, Proveedores Cloud y regiones. Realizar el backhaul de la información es costoso y poco eficiente. Con la búsqueda entre clusters, Elastic puede llevar tu búsqueda a los datos y empoderar todas estas analíticas en tu entorno multicloud sin necesidad de transferir los datos entre regiones o proveedores.

R de Respuesta

Por último, se deben abordar de inmediato los problemas detectados. La corrección moderna requiere la capacidad de tomar medidas en toda la empresa; no solo terminar un proceso, sino también deshabilitar un usuario, eliminar un correo electrónico del servidor o bloquear un dominio malicioso en el firewall. Los analistas necesitan una forma simple e intuitiva de colaborar en una investigación, crear un plan de corrección, lanzarlo y reportar sobre su éxito. 

Elastic incluye gestión de casos gratuita y abierta: los usuarios aprovechan esta característica de casos para comunicarse con el equipo y colaborar con él. Los casos se han ampliado para integrarse sin problemas a proveedores de corrección clave como ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA y Swimlane, y adaptarse al flujo de trabajo de corrección existente de empresas de cualquier escala. Además, nuestra capacidad de webhooks y desarrollo que prioriza las API permite la integración en cualquier otra herramienta de productividad.

Y, por supuesto, Elastic Agent proporciona una forma centralizada de coordinar la recopilación de datos y la aplicación de políticas como la cuarentena automática de archivos maliciosos y la detención de ransomware. Durante la corrección, la gestión de Osquery en cada SO (Windows, macOS y Linux) permite a nuestros usuarios reunir cualquier información adicional necesaria en el proceso de incidentes. Cuando se identifica un ataque, la capacidad simple de aislamiento de host con un clic en Windows y macOS evitará que el adversario robe o destruya datos mientras creas el plan de respuesta. Esta respuesta se encuentra por debajo del firewall de modo de usuario e implementa el control a nivel del kernel para evitar la manipulación por parte del adversario. 

A (la letra oculta) de Automatización

Con toda esta visibilidad adicional, las soluciones de XDR también deben ayudar a automatizar el proceso del analista para garantizar eficiencia en las fuentes de datos dispares. Muchas capacidades trabajan para tomar el flujo de trabajo del analista y aplicarlo a escala:

  • Ingesta de datos con un clic: a los equipos de seguridad les piden constantemente que monitoreen nuevas fuentes de datos del negocio, como infraestructura en el cloud, proveedores de autenticación de SaaS y productos de seguridad de punto. Los analistas deben dedicar su tiempo a encontrar valor en los datos, no a crear pipelines de ingesta. Elastic Agent proporciona una forma rápida y sencilla de ingesta, normalización y aplicación de los datos, incluidos dashboards, modelos, reglas y más. 
  • Escalado de detecciones en todas las fuentes de datos: más allá del poder de los tipos de detecciones, los usuarios necesitan asegurarse de que también reciben un suministro constante de detecciones de calidad, actualizadas para las amenazas futuras. El equipo de Elastic junto con la increíble comunidad que participa activamente mantienen este repositorio abierto de reglas de detección actualizado.
  • Aceleramiento de las decisiones de los analistas: con cada vez más fuentes de datos y más detecciones en dichas fuentes, la carga de trabajo de los analistas inevitablemente aumentará. Primero, tu solución de XDR debe no solo alertar, sino informar qué alerta (o conjunto de alertas) debe investigarse primero. Con el contexto de todas las fuentes de datos, Elastic puntúa el riesgo de los hosts en el entorno para priorizar detecciones basadas en el mayor riesgo para el negocio. Segundo, al enriquecer las alertas con conocimientos de detecciones anteriores, casos e inteligencia de amenazas, los analistas pueden determinar con más facilidad si es necesario hacer una escalación. Tercero, se debe guiar a los analistas por los pasos siguientes para lograr el tiempo de resolución más rápido. Elastic proporciona guías de investigación para detecciones a fin de ayudar al analista a comprender los pasos siguientes más útiles.

XDR es gratuito, abierto y sin igual en Elastic

Uso sin límites

Los precios basados en recursos te permiten tener el control gracias al licenciamiento flexible. No permitas que el licenciamiento rígido interfiera con tu misión. Con Elastic, independientemente de tu caso de uso, el volumen de datos o el recuento de endpoints, pagarás solo por los recursos del servidor que uses. El resultado son precios predecibles y la flexibilidad de adaptación según tus necesidades.

Nuestra misión en Elastic Security es proteger los datos del mundo frente a ataques. Innovamos de forma constante en el ámbito de la protección para asegurarnos de que nuestros usuarios en todo el mundo estén protegidos frente a ataques futuros. La solución proporciona capacidades gratuitas y abiertas de SIEM, Endpoint Security y XDR en una sola plataforma creada para análisis sin límites, lo que permite a las organizaciones prevenir, detectar y responder antes de que se produzcan daños.

Si eres nuevo en Elastic Security, puedes experimentar nuestra versión más reciente en Elasticsearch Service en Elastic Cloud de forma gratuita. 


XDR-vision-roadmap.png