Claves para una implementación exitosa de XDR
La protección vive de los datos de sensores y sistemas en toda la infraestructura de la organización. Pero los datos sin antecedentes ni contexto solo generan ruido irrelevante que frustra y distrae a los analistas. Sin una plataforma integrada para correlacionar todos esos datos, los equipos de seguridad quedan enterrados en una abrumadora cantidad de alertas falsas.
XDR (extended detection & response) está diseñado específicamente para incorporar múltiples motores de seguridad que correlacionan y evalúan conjuntos de datos normalizados almacenados en un lago de datos ligero. Con muchos motores de seguridad en funcionamiento (incluyendo Inteligencia de amenaza, Análisis de comportamiento del usuario, IDS (Intrusion Detection System), File Sandboxing y detección de anomalías basada en Machine Learning, es posible correlacionar toda la telemetría. Además, puede puntuar con precisión un posible incidente en cuestión de segundos considerando todo lo que se sabe sobre el sistema, el activo o la cuenta.
Desafíos de implementación de XDR
Según nuestra experiencia en CyFlare, hay varios desafíos en la implementación de un sistema XDR. Por ejemplo, en algunos casos, las partes interesadas relevantes, como la administración de redes/sistemas/equipos de TI, no están al tanto del cambio a XDR, o no han aceptado la nueva estrategia. Otro problema es que los sistemas y las fuentes de datos no se inventarían y procesan adecuadamente para determinar si se deben obtener los datos o si se debe aprovechar la integración API para posibles acciones de respuesta por parte del sistema XDR, como consultar más datos o realizar cambios en las políticas. Un tercer desafío es la falta de reuniones periódicas entre SOC, administración de TI, administración de redes y equipos de liderazgo para discutir tendencias y acciones de mejora continua.
Recomendaciones de implementación
Aquí hay algunas acciones que puede tomar para preparar el terreno para una implementación de XDR y asegurarse de que todo salga bien.
Asegúrese de que la organización haya creado al menos una Política de seguridad de la información para identificar los requisitos y las decisiones fundamentales.
Comuníquese temprano y con frecuencia con las partes interesadas clave sobre los beneficios de XDR y cómo afectará a todos los departamentos y usuarios. De esta manera, las partes interesadas conocen los beneficios de la estrategia XDR y se aceptan mutuamente.
Realice un inventario de todas las fuentes de datos potenciales, incluidas las aplicaciones SaaS, los dispositivos de red, las herramientas de seguridad y las aplicaciones personalizadas de la organización.
Elija un proveedor de XDR que pueda integrarse de manera innata con todas o la mayoría de sus fuentes de datos para garantizar que los datos críticos puedan obtenerse y normalizarse dentro de la plataforma XDR.
Identificar qué acciones de respuesta son posibles para cada integración (conector) que ofrece la plataforma XDR. Esto ayudará a determinar qué libros de jugadas se pueden construir para acelerar la contención y erradicación de las amenazas identificadas.
Analice posibles acciones de respuesta automatizada con las partes interesadas del negocio. Sin una comunicación y planificación adecuadas, es posible causar una interrupción significativa en el negocio. Los libros de jugadas bien pensados son un componente esencial para aprovechar las acciones de respuesta.
Requisitos de personal
También debe asegurarse de contar con el personal adecuado para implementar las recomendaciones anteriores. Necesitará un CISO o CISO virtual en el personal: XDR está realmente orientado a organizaciones estratégicas de seguridad que priorizan la seguridad y la convierten en una parte central de su negocio, y el CISO dirigirá la estrategia general. A continuación, necesitará un arquitecto de seguridad para identificar las fuentes, los posibles casos de uso para la detección y coordinar los libros de jugadas relacionados. Finalmente, necesitará un SOC interno con recursos asociados que incluyan liderazgo, herramientas de escalamiento y cobertura de nivel 24 las 7 horas, los 1 días de la semana, o deberá contratar un MSSP externo.