Simplificando SIEM, EDR, XDR y SOAR

By Jeroen Dubbelman de Bitrate (PTY) LTD

Hoy en día hay mucho revuelo en torno a estos acrónimos en el mercado y creo que la frustración de la mayoría de las grandes empresas es la información contradictoria que se encuentra al buscar en Internet. Es como intentar diagnosticar tu propia condición médica y asustarte con las diferentes dolencias que puedas tener.

Es irónico que cuando buscas estas siglas te sobrecarguen de información. Tienes que profundizar en ella e «intentar» darle sentido. Asimismo, es interesante que estas siglas existan porque tienen en común la sobrecarga de datos de los eventos de ciberseguridad.

He investigado por mi cuenta y me he dado cuenta de que muchas opiniones se publican en función de que un vendedor, fabricante o proveedor de servicios promueva su propia agenda. Creo que debería ofrecerse una perspectiva neutral.

¿Por qué son importantes estas soluciones hoy en día? La mejor manera de responder a esto es retroceder 25 o 30 años. En aquella época apenas se oía hablar de una brecha en la empresa.  Cuando nos enterábamos de un suceso, era una gran noticia. Hoy en día, todavía puede ser una gran noticia, pero ocurre con tanta regularidad que nos hemos vuelto inmunes a ella.

Cada año hay un aumento exponencial de las amenazas. Hace años se trataba de un «script-kiddie» que quería demostrar que podía acceder a una red empresarial o gubernamental. Hoy en día nos enfrentamos a actividades «criminales organizadas» de alto riesgo por parte de diferentes tipos de actores malos con diferentes objetivos. Es un gran negocio.

También tenemos que incluir los ataques de «Estado-nación» en la mezcla, ya que hay países que están proporcionando fondos para crear armas cibernéticas. Algunos argumentan que es por razones de «defensa», pero en la guerra siempre hay «daños colaterales». Este puede ser usted o su organización. No se equivoque, la «ciberguerra» está ocurriendo a nuestro alrededor.

Lo que es preocupante es que hay más actores malos enfocados que defensores enfocados de nuestros entornos cibernéticos. Los atacantes a menudo utilizan las mismas herramientas inicialmente diseñadas para evaluar y defender los entornos de nuestras organizaciones, para sus intenciones maliciosas o criminales. Las empresas utilizan el aprendizaje automático (ML) o la inteligencia artificial (AI) para defenderse, pero los malos actores están incorporando las mismas capacidades a sus herramientas de ataque. Esto, a su vez, aumenta la complejidad y el número de amenazas a las que está expuesta una empresa.

Estos son algunos de los retos de ciberseguridad que experimentan las organizaciones hoy en día:

• Encontrar individuos suficientemente capacitados para defender o proteger su entorno
• La sobrecarga de registros y alertas da lugar a la «fatiga de alertas»
• Las amenazas más sigilosas pueden pasar por debajo del radar del equipo de seguridad
• Las investigaciones son largas y consumen recursos humanos costosos y escasos
• Los equipos dispares no siempre conectan los puntos cuando es necesario
• Demasiados falsos positivos
• Lentitud en la respuesta a una amenaza, si es que la hay
• Compromiso innecesario y tiempo de inactividad de la empresa

¿Qué pueden hacer las organizaciones para afrontar estos retos?

• Añadir más recursos de personal cualificado y más formación
• Correlacionar la detección de amenazas
• Garantizar un análisis más rápido de los eventos
• Introducir una mejor visibilidad para detectar, identificar las amenazas y remediarlas más rápidamente
• Identificar automáticamente las amenazas furtivas con el aprendizaje automático
• Automatizar la detección, la respuesta y la remediación

Algunas organizaciones pueden contratar más personal, pero esto tiene implicaciones económicas y hay que tener en cuenta la falta de competencias disponibles y cualificadas. La automatización es una opción. De ahí el auge de SIEM, EDR, XDR y SOAR. Hay más variantes, pero vamos a simplificarlas.

Una explicación neutral de lo que es cada uno:

• El SIEM o (Security Information and Event Management) es el que más tiempo lleva funcionando. El SIEM ingiere datos de múltiples fuentes, ayuda a correlacionar los eventos y automatiza los informes para que un operador humano analice el resultado y tome la siguiente decisión.
• EDR o (Endpoint Detection and Response) es una de las primeras iteraciones de la era de la «respuesta» automatizada que se ve en XDR y SOAR hoy en día. Los puntos finales se supervisan en busca de amenazas, las amenazas se correlacionan y hay una respuesta automatizada a una amenaza que puede incluir pasos de remediación.
• XDR o (Extended Detection and Response), lo vemos como una extensión o detección y respuesta «extendida» en la que se supervisan más fuentes de datos que los puntos finales y se utilizan para la detección, respuesta y reparación. Estas fuentes de datos pueden incluir SIEM, firewalls de nueva generación, “Endpoints” y más.
• SOAR o (Security Orchestration, Automation and Response) tiene gran parte de la funcionalidad de XDR pero añade la automatización de otros procesos de gestión de la seguridad como la gestión de vulnerabilidades y los playbooks en la solución con el fin de reducir la carga de los equipos de seguridad.

Hay muchas definiciones contradictorias cuando se investigan estas soluciones. A muchos proveedores les gusta referirse a estas soluciones como (software como servicio) o SaaS y esto puede ser cierto en muchos casos, pero es posible instalar soluciones comparativas en las instalaciones u obtener el servicio de un proveedor de servicios gestionados. Evidentemente, hay que tener en cuenta los pros y los contras en función de los requisitos de la organización.

Las organizaciones deben investigar cuidadosamente qué enfoque adoptar. Merece la pena tener en cuenta lo siguiente:

• Cada solución tendrá un coste considerable, por lo que hay que investigar cuidadosamente las diferencias entre las instalaciones, el SaaS o un servicio gestionado a largo plazo.
• No se trata de soluciones de «configurar y dejar». Se requiere una mejora continua para gestionar estas soluciones.
• Sigue siendo necesario contar con personal cualificado para gestionar estas soluciones, tanto si se contrata como si no.
• Desde el punto de vista de la empresa, las soluciones deben evitar los ataques o una brecha sin que se produzcan interrupciones en la actividad o tiempos de inactividad.
• La intención es que las aplicaciones críticas, los activos, la información personal identificable (PII) y la reputación de la organización estén protegidos y se mantengan.

Espero sinceramente que este breve resumen le ayude a entender las diferentes soluciones y sus acrónimos. Quizás esto pueda ayudarle a tomar una decisión más informada sobre sus sistemas de defensa de la ciberseguridad de cara al futuro.