Los ciberdelincuentes y los piratas informáticos maliciosos han estado cambiando sus tácticas, técnicas y procedimientos (TTP) para mejorar su capacidad de infiltrarse en una organización y permanecer bajo el radar de los profesionales y soluciones de seguridad. Cambiar a métodos de ataque más específicos parece ser un pilar entre los actores de amenazas, lo que requiere que las organizaciones mejoren su visibilidad en todo el ciclo de vida del ataque. Atrás quedaron los días en que estos ataques solo apuntaban al punto final, y como tal, una defensa de amenaza conectada expandida es primordial.
Muchas organizaciones han estado adoptando EDR (Endpoint Detection & Response) como una forma de obtener más datos sobre ataques en el endpoint. Pero, como hemos visto incluso con actores de ransomware, el objetivo final se enfoca menos. Más bien, los ataques se mueven lateralmente dentro de una organización para encontrar sistemas críticos que les permitirán aumentar sus posibilidades de que la organización pague el rescate. (Consulte mi webinar sobre tendencias en ransomware).
Esto significa que los actores detrás de muchos ataques con objetivos financieros y motivados se moverán a través de la red, y sus huellas se dejarán en otras áreas de su red, no solo en el punto final. Expandir EDR para incluir otras áreas es la definición de XDR. La X podría ser datos de red, correo electrónico o datos web, datos de instancias de la nube y otros. Esto permitiría a una organización obtener visibilidad en todo el ciclo de vida del ataque, incluida la infiltración, el movimiento lateral y la exfiltración. Esto mejorará la capacidad de la organización para evitar la filtración de datos críticos o el compromiso de los sistemas críticos dentro de su red.
La capacidad de hacer esto requiere una serie de componentes clave:
Un proveedor de seguridad que tiene soluciones en toda la red, incluida la nube, puerta de enlace (correo electrónico y web), red, servidor, punto final (incluye dispositivos móviles) e IoT / IIoT
Soporte para inteligencia de amenazas y análisis de datos. Esto debería ser lo más automatizado posible e incluir inteligencia de amenazas de terceros (es decir, feeds CERT, ISAC, ISAO)
- Historial de experiencia en la correlación de múltiples vectores de amenazas y el uso de inteligencia artificial y aprendizaje automático
Esto requerirá un cambio importante de las prácticas de seguridad tradicionales, ya que muchas organizaciones han apoyado un enfoque de primer nivel, utilizando múltiples proveedores (algunos dicen que 50-100 aplicaciones de seguridad en promedio dentro de una gran empresa). En cambio, el futuro se está moviendo hacia un enfoque más consolidado con menos proveedores. Tener múltiples proveedores para diferentes áreas de seguridad resulta en silos y segmentación debido a la falta de integración en la industria de la seguridad, pero XDR podría traer un cambio en esta práctica, ya que incluyen más soporte para fuentes de inteligencia de terceros.
Trend Micro ha estado innovando durante 30 años y nuestra amplia gama de productos de seguridad nos permite construir con éxito una solución XDR. Además, nuestros casi 15 años de inversión y desarrollo de tecnologías de IA / Aprendizaje automático en nuestros productos de back-end y frontend nos permitirán tener la pieza de análisis de datos cubierta. Por último, tenemos una amplia gama de inteligencia de amenazas global que nos permitirá garantizar que podamos detectar y proteger de forma proactiva a nuestros clientes.
Leave a Reply