¿Qué es la detección y respuesta administradas (MDR)?

La eficacia de la detección y respuesta administradas (MDR) depende de varios componentes que desempeñan un papel crucial en el marco de seguridad general:

• Arsenal tecnológico propiedad del proveedor: En el corazón de los servicios de MDR se encuentra un arsenal tecnológico administrado y operado por el proveedor. Dicho arsenal está pensado para monitorizar, detectar y mitigar activamente las amenazas en tiempo real. Incluye herramientas como la EDR, esenciales para recopilar y analizar la telemetría de seguridad de diversas fuentes, como redes, endpoints y servicios en la nube.

• Expertos: Un factor clave de los servicios de MDR son los conocimientos avanzados de los profesionales que están a su cargo. Los expertos en monitorización, detección y búsqueda de amenazas, así como en inteligencia sobre amenazas y respuesta ante incidentes, analizan diariamente los datos de los clientes. Se aseguran de monitorizar y abordar continuamente hasta el más mínimo aspecto del panorama de amenazas.

• Procesos predefinidos y contenidos de detección: Los servicios de MDR se basan en contenidos de detección especializados, término que engloba un gran conjunto de herramientas y métodos aplicados a la identificación de amenazas. Los contenidos de detección, desde reglas y firmas de malware conocido hasta la detección de anomalías, patrones de comportamiento que podrían indicar una violación de la seguridad y algoritmos de machine learning e inteligencia artificial, se actualizan continuamente para seguir el ritmo a las amenazas digitales en permanente evolución.

• Capacidad de respuesta remota: Los servicios de MDR van más allá de las meras alertas y notificaciones y ofrecen actividades remotas de mitigación, investigación y contención. Así, las organizaciones pueden responder con rapidez y eficacia a las amenazas, hasta cuando internamente carecen de conocimientos avanzados. Esto incluye restaurar los sistemas a su estado previo al ataque y garantizar la completa resolución de todos los incidentes.

• Priorización y búsqueda de amenazas: Los servicios de MDR realizan una priorización administrada que distingue entre los eventos inofensivos y las auténticas amenazas. Los expertos en búsqueda de amenazas tratan de localizar proactivamente indicadores de ataques para identificar y afrontar hasta las amenazas más sutiles.

La detección y respuesta administradas (MDR) es un concepto general del que han ido surgiendo variantes para ayudar a las organizaciones a elegir una solución en consonancia con sus necesidades particulares de seguridad informática. A continuación, se describen los tipos más habituales entre estos servicios de ciberseguridad, clasificados según las áreas en que hagan hincapié:

· La detección y respuesta administradas en los endpoints (MEDR) restringe el ámbito de la MDR a los endpoints: dispositivos como equipos de escritorio, portátiles o teléfonos móviles. Emplea herramientas especializadas para la protección de endpoints y ofrece una defensa específica contra amenazas como el malware y el ransomware.

· La detección y respuesta administradas en la red (MNDR) se centra en la seguridad de la red, protegiendo elementos como routers, switches y cortafuegos. Está pensada para monitorizar el tráfico de red y proteger de las amenazas específicas contra la infraestructura de red.

· La detección y respuesta administradas ampliada (MXDR) extiende sus capacidades en endpoints, redes, servicios en la nube y, potencialmente, dispositivos de IoT. Básicamente, se trata de una versión de MDR universal, que integra las diversas facetas de la seguridad en un servicio unificado. Cabe destacar que la MXDR no es una entidad diferente de la MDR sino, más bien, una extensión de esta. Aunque la MEDR y la MNDR ofrecen protección centrada en áreas concretas, la MXDR reúne estos elementos y aplica una filosofía más integrada y amplia de la MDR.

Para las organizaciones que se estén planteando elegir servicios de MDR no será tan obvia la elección entre MEDR, MNDR y MXDR, dado que dependerá de sus necesidades de seguridad concretas, de su infraestructura actual y de la cobertura que deseen recibir.

Actualmente, la mayoría de las organizaciones afrontan desafíos en materia de seguridad informática que van mucho más allá de cómo implementar las tecnologías de este campo. A los equipos de seguridad se les imponen exigencias no solo en cuanto a la gestión de las amenazas, sino también respecto al uso eficiente de los recursos mientras se mantiene la continuidad operativa. Los servicios de MDR aparecieron como una solución global a una serie de desafíos como los indicados a continuación:

• Fatiga por las alertas: Las organizaciones suelen emplear diversas herramientas de seguridad que generan numerosas alertas y falsos positivos. Esto puede desembocar en un gran volumen de notificaciones que satura a los equipos de seguridad. Los servicios de MDR filtran los falsos positivos y resaltan las amenazas reales, lo que disminuye las probabilidades de que se pasen por alto incidentes críticos.

• Complejidad de las herramientas: Las tecnologías de seguridad avanzadas suelen llevar aparejada una pronunciada curva de aprendizaje, además de ser complejas de implementar y administrar. Los servicios de detección y respuesta administradas constituyen una solución más accesible y fácil de usar para las organizaciones, que mejoran rápidamente su posición general de seguridad sin necesidad de contar internamente con personal especializado dotado de conocimientos avanzados.

• Conocimientos y recursos limitados: Muchas organizaciones, sobre todo las más pequeñas, carecen de los recursos y los conocimientos especializados que hacen falta para disfrutar de una seguridad informática eficaz. La MDR les ofrece un nivel de conocimientos sobre seguridad que de otro modo quedaría fuera de su alcance y les proporciona análisis a cargo de expertos y medidas de respuesta personalizadas.

• Cumplimiento normativo y privacidad: Los cambios en los reglamentos de obligado cumplimiento y los estándares de privacidad, sitúan a las organizaciones ante consecuencias legales y daños a su reputación si no logran mantener la integridad y la confidencialidad de sus datos. Normalmente, la MDR es la solución más viable para garantizar que una organización cumpla íntegramente este tipo de requisitos.

• Monitorización continua: Las amenazas digitales pueden producirse en cualquier momento, pero, para muchas organizaciones, contratar y gestionar el personal de un centro de seguridad interno disponible a todas horas está directamente fuera de sus posibilidades reales. Una MDR soluciona este problema, al ofrecerles monitorización y respuesta en todo momento.

• Amenazas avanzadas: La seguridad informática afronta actualmente amenazas que evolucionan rápidamente, como las APT, los exploits de día cero, el ransomware y sofisticadas campañas de phishing. Los servicios de MDR actualizan continuamente su inteligencia sobre amenazas y, lo que es más, aplican medidas proactivas como la búsqueda de amenazas. Esta filosofía contribuye a que las organizaciones estén dotadas de defensas preventivas y de un nivel de vigilancia y conocimientos avanzados difíciles de alcanzar solo con sus recursos internos.

Desde el punto de vista de los equipos directivos, la decisión de integrar la detección y respuesta administradas se basa en su capacidad de brindar ventajas significativas y mejorar tanto la eficacia como la eficiencia de los esfuerzos en materia de ciberseguridad. A continuación se exponen las principales ventajas:

•       Eficiencia operativa: La MDR optimiza las operaciones de seguridad y reduce notablemente la carga de trabajo de los equipos internos. Al integrar diversas funciones de seguridad en un sistema cohesionado, estos servicios optimizan el proceso de identificación, evaluación y mitigación de las amenazas, con lo que liberan recursos internos y pueden centrarse en otras actuaciones esenciales para su negocio.

•       Rapidez en la detección y respuesta: Mediante la aplicación de análisis avanzados y procesos automatizados, los servicios de MDR son capaces de identificar rápidamente las amenazas y poner en marcha una respuesta, lo que reduce el impacto potencial y garantiza la continuidad del negocio.

•       Mejora de la posición de seguridad: La MDR no solo responde a las amenazas conforme van surgiendo, sino que también mejora la capacidad de la organización para predecir posibles desafíos futuros a la ciberseguridad y prepararse para ellos.

•       Escalabilidad y flexibilidad: Los servicios de MDR son escalables, por lo que son adecuados para empresas de cualquier tamaño. Pueden adaptarse a las necesidades cambiantes de una organización, por ejemplo, cuando aumenta su volumen de operaciones, se adaptan a nuevas tecnologías o se extienden a nuevos mercados.

•       Rentabilidad: La implementación de la MDR puede resultar rentable, sobre todo para las pymes. Frecuentemente, brinda acceso a recursos y conocimientos sobre seguridad del máximo nivel por mucho menos de lo que costaría crear y mantener un equipo interno.

•       Acceso a tecnologías y conocimientos avanzados: En estrecha relación con el punto anterior, cabe indicar que los servicios de MDR brindan a las organizaciones acceso a herramientas de vanguardia, así como a los conocimientos de alto nivel necesarios para manejarlas, sin tener que incurrir en considerables inversiones en tecnología y formación.

•       Mejora del cumplimiento normativo y de la administración de riesgos: Proporcionando la orientación de expertos y garantizando que las medidas de seguridad satisfagan los requisitos legales y del sector, estos servicios reducen el riesgo de incumplimiento normativo y las consecuencias económicas y de reputación que ello conlleva.

La MDR destaca por mejorar y ampliar las capacidades de herramientas convencionales como la EDR, la XDR, la SIEM administrada y los MSSP. A continuación se pueden ver sus principales diferencias.

MDR frente a EDR (detección y respuesta en los endpoints)

La EDR se centra en monitorizar y analizar el comportamiento de los endpoints, para lo cual utiliza respuestas automatizadas basadas en reglas y patrones establecidos. Aunque se le da bien registrar actividades en los endpoints, puede tornarse compleja y consumir muchos recursos. La MDR complementa a la EDR al introducir en la ecuación los conocimientos de expertos para el análisis y la toma de decisiones, lo que brinda procesos maduros y una inteligencia sobre amenazas más amplia. Esta integración permite que las organizaciones aprovechen más eficazmente la EDR sin la sobrecarga que supone administrar soluciones de EDR complejas.

MDR frente a XDR (detección y respuesta ampliadas)

La XDR amplía las capacidades de la EDR (mencionadas anteriormente) añadiendo datos procedentes de endpoints, redes, nubes y otras fuentes para proporcionar un análisis de seguridad más amplio. La MDR mejora la funcionalidad de la XDR integrando los conocimientos de expertos en la búsqueda proactiva de amenazas, monitorización continua a todas horas y respuestas estratégicas.

MDR frente a SIEM administrada (administración de eventos e información de seguridad)

La SIEM administrada reúne y analiza datos de diversos dispositivos de seguridad y fuentes de red. Aunque las soluciones SIEM son potentes, pueden resultar complejas, e interpretar y actuar eficazmente sobre los datos requiere de grandes conocimientos. La MDR aborda estos retos de manera más optimizada y ofrece información clara y práctica con menor complejidad. Estos servicios garantizan que los datos y las alertas se interpreten con precisión y se aborden con prontitud.

MDR frente a MSSP (proveedores de servicios de seguridad administrados)

Los MSSP ofrecen una amplia gama de servicios de seguridad, entre los que se cuenta la monitorización y la validación de alertas. No obstante, no suelen participar en una respuesta activa ante las amenazas y dejan esa responsabilidad en manos del cliente. La MDR va más allá del modelo tradicional de MSSP, dado que no solo identifica las amenazas, sino que también responde activamente ante ellas.

Los proveedores de seguridad informática ofrecen diversas características con diferentes niveles de calidad y precio, lo que puede dificultar la elección de la solución adecuada para su organización. A continuación, se sugieren algunas cuestiones generales que debería plantearse a la hora de evaluar los diferentes proveedores, según Gartner y otras fuentes reputadas de investigación de mercados:

·       ¿Con qué experiencia y conocimientos cuenta?El proveedor debe presentar un historial demostrado de prestación de servicios de MDR eficaces y fiables a clientes de diferentes sectores y regiones. Asimismo, debe poseer amplios y profundos conocimientos de diversas tecnologías y fuentes de telemetría, como endpoints, redes, nubes y aplicaciones, con el fin de detectar y responder ante un amplio abanico de amenazas.

·       ¿De qué capacidad de respuesta dispone?El proveedor debe poder adoptar rápidamente medidas decisivas para contener y eliminar amenazas en su nombre o, por lo menos, brindarle mecanismos sencillos para que apruebe o ponga en marcha las medidas usted mismo.

·       ¿Los servicios del proveedor son claros y coherentes?Dé prioridad a los proveedores que describan claramente y de manera coherente sus servicios y que se comprometan a comunicarle periódicamente y con transparencia el estado del servicio y sus resultados, así como cualquier problema o desafío al que pueda enfrentarse.

·       ¿Dispone de un proceso de incorporación bien establecido?El proveedor debe contar con buenos procesos de incorporación que asimilen su infraestructura y sus atributos empresariales. Los servicios han de personalizarse en función de su entorno y de sus requisitos y el proveedor debe entender el contexto y las prioridades de su organización.

·       ¿Quiénes son los expertos del equipo?Elija un proveedor que pueda demostrar que cuenta con un equipo de expertos informáticos cualificados y certificados. Al fin y al cabo, son ellos quienes analizarán, investigarán y detendrán las amenazas antes de que se conviertan en incidentes. Busque partners de MDR con una cultura de aprendizaje continuo, que garantice que su equipo está a la última en cuanto a tendencias y desarrollos en el panorama informático.

Aunque esté satisfecho con las respuestas que reciba a todas las preguntas anteriores, también puede solicitar referencias de sus clientes actuales o pasados, así como pedir una demostración o evaluación de su servicio de detección y respuesta administradas (MDR). Además, investigue y compare diferentes proveedores basándose en revisiones independientes o calificaciones de fuentes reputadas, dado que pueden proporcionarle evaluaciones objetivas e imparciales.