Como todo, el mercado de seguridad endpoint ha ido evolucionando desde el antivirus, pasando por el antimalware (AV/AM) al EPP, o Endpoint Protection Platform… La detección de las amenazas también ha evolucionado desde las primitivas firmas y listas negras y blancas a sistemas mucho más evolucionados basadas en patrones, e incluso inteligencia artificial.
Sin alejarnos demasiado en el pasado, la llegada de los llamados EDR (Endpoint Detection and Response) ha supuesto un antes y un después. La tecnología aterrizaba en el mercado de la mano de cuatro empresas -Cybereason, Carbon Black, SentinelOne y Crowdstrike, que impulsaron a firmas más conocidas y asentadas en el mercado a seguir sus pasos.
Entre las novedades más destacadas que introdujeron las soluciones EDR en comparación con las soluciones tradicionales de protección de endpoints cabe mencionar: Análisis de comportamiento: EDR no solo se basa en la detección de firmas de malware conocidas, sino que también analiza el comportamiento de los endpoints para detectar amenazas desconocidas o nuevas; Aprendizaje automático: EDR utiliza el aprendizaje automático para identificar patrones de comportamiento sospechosos que pueden indicar una amenaza; Sandboxing: EDR puede aislar los archivos sospechosos en un entorno controlado para analizarlos sin poner en riesgo el endpoint; Correlación de eventos: EDR correlaciona eventos de seguridad de múltiples endpoints para identificar amenazas más complejas; Investigación automatizada: EDR puede automatizar tareas de investigación de incidentes, como la recopilación de datos y la generación de informes.
Ninguna de las funciones mencionadas era realmente novedosa. Lo innovador fue integrarlas. Fue cuestión de tiempo que alguien decidiera ampliar el alcance del EDR recopilando y correlacionando datos de múltiples fuentes de seguridad, incluyendo no solo los endpoints, sino las redes, servidores, cargas de trabajo en la nube, etc. Y es así como llegó el XDR (eXtended Detection and Response).
De forma que, frente a los EDR, los XDR generaron una serie de ventajas específicas, como una visión más completa del panorama de amenazas, lo que les permite identificar y responder a las amenazas de forma más rápida y eficaz; detectar amenazas más complejas, incluyendo ataques de día cero y amenazas avanzadas persistentes (APT); o su capacidad de automatizar muchas de las tareas de investigación de incidentes, lo que permite a los equipos de seguridad responder a los incidentes de forma más rápida y eficaz.
SIEM
SIEM (security information and event management ) fue un término acuñado por Gartner hace la friolera de casi 20 años que combinaba dos conceptos: gestión de información de seguridad (SIM) y gestión de eventos de seguridad (SEM), y que apostaba por conseguir una mayor visibilidad de lo que ocurría en la red al poder recopilar información y alertas generadas por firewalls, software antivirus e IDS (sistemas de Detección de Intrusiones). Los sistemas SIEM podrían identificar posibles riesgos de seguridad centralizando y analizando datos de eventos en un entorno de TI.
Cuenta la historia que la llegada de sistemas de almacenamiento accesibles (Apache Hadoop y Amazon S3) marcó un hito en la evolución de estos sistemas al hacer posible llevar a cabo análisis de big data para mejorar la correlación y la interpretación de datos históricos y en vivo, aunque los umbrales de alerta se preconfiguraban en su mayoría manualmente.
De la mano de los SIEM llegaron los SOAR (Security orchestration automation and response), que utilizaban APIs para integrar los sistemas SIEM en otras herramientas de seguridad. En ambos mercado se produjo una consolidación importante. En 2011 McAfee compraba Nitro Security, el mismo año en que IBM adquiría a otro fabricante de SIEM, Q1Labs, para crear una nueva división de sistemas de seguridad. Fortinet también se adentraba en el mercado SIEM aunque un poco más tarde, en 2016, con la compra de de AccelOps, por poner algunos ejemplos, sin que se nos olvide la compra de Splunk por parte de Cisco.
XDR, ¿el nextGen SIEM?
A medida que los ciberdelincuentes se vuelven más sofisticados, los volúmenes de datos aumentan y los costes SIEM se disparan. La evolución del XDR ha llevado a muchos a pensar que su uso ejerce menos presión y coste sobre el sistema de gestión de eventos e información de seguridad (SIEM) para correlacionar alertas de seguridad complejas. De hecho, hay quien se refiere al XDR como el ‘NextGen SIEM’ y asegura que XDR es una alternativa SIEM “que toma las funciones centrales de un SIEM y las mejora con aprendizaje automático para una respuesta más automatizada y precisa”.
Es cierto que el SIEM solía ser una de las únicas herramientas capaz de correlacionar y analizar registros sin procesar e identificar aquellas alertas que debían abordarse. Y por eso tenía sentido enviar todo al SIEM y crear reglas de correlación complejas para separar la señal del ruido. El panorama actual ha cambiado, porque un XDR se consolida como una plataforma unificada de seguridad y respuesta a incidentes que recopila y correlaciona datos de múltiples componentes patentados.
En opinión de Julia Barruso, Alliances Director para el Sur de Europa de CrowdStrike, “el unificar todas las capacidades, incluidas SIEM, SOAR, EDR y XDR, en una plataforma cloud nativa impulsada por IA, los analistas de seguridad se benefician de una mayor velocidad y eficiencia en la detección, investigación y respuesta de amenazas para detener las infracciones.
En este punto aseguran los expertos que las herramientas SIEM tienen diferencias arquitectónicas que pueden hacer que una se adapte mejor o peor a un entorno determinado, “pero comprar un SIEM específico para mejorar significativamente las capacidades de detección está dejando de tener sentido”.
Alianzas en torno a XDR
En el lado de las alianzas, hay dos. Una liderada por un fabricante de SIEM. La otra, por un fabricante de EDR…
Mientras los fabricantes de EDR evolucionaban hacia el XDR y el concepto de plataforma unificada se extendía, se creaba, en agosto de 2021, la XDR Alliance. Su precursor, Exabeam, un fabricante de SIEM y SOAR (Security, Orchestration, Automation & Response), que destacaba el compromiso de la alianza por una detección y respuesta extendida “inclusiva y colaborativa” y se planteaba como objetivo “fomentar un enfoque abierto hacia XDR, que es esencial para permitir que las organizaciones de todo el mundo se protejan contra el creciente número de ciberataques, infracciones e intrusiones”. Además de Exabeam, los miembros fundadores de XDR Alliance incluían a Armis, Expel, ExtraHop, Google Cloud Security, Mimecast, Netskope y SentinelOne. Hoy, la XDR Alliance cuenta con 14 miembros, y cuenta entre sus miembros con empresas como CyberArk, VMware, Mimecast, Recorded Future o Deloitte.
Apenas unos meses después, en octubre de 2021 se anunciaba la CrowdXDR Alliance, una coalición unificada y abierta de Detección y Respuesta Extendida (XDR) que aseguraba que la falta de estándares para el intercambio de datos entre plataformas de seguridad “crea brechas en las investigaciones y la búsqueda de amenazas”. La Alianza CrowdXDR buscaba reunir las mejores soluciones para crear un lenguaje XDR común con el fin de compartir datos entre herramientas y procesos de seguridad. Esta alianza se creaba con la participación de Google Cloud, Okta, ServiceNow, Zscaler, Netskope, Proofpoint, ExtraHop, Mimecast, Claroty y Corelight, a los que se fueron añadiendo otras empresas como Menlo Security, Ping Identity o Vectra AI.
Asegura Julia Barruso que la CrowdXDR Alliance se creó “para establecer un nuevo estándar para XDR y garantizar que se brindara el valor que prometemos a nuestros clientes, ayudándolos a adoptar el mejor enfoque de plataforma para la seguridad en toda la empresa”. Explica la directiva que, a medida que los ciberataques se vuelven más complejos, “es vital que las organizaciones obtengan la información más relevante sobre sus soluciones de seguridad para detener las brechas. Sin embargo, la tradicional falta de estándares de intercambio de datos y conocimiento entre plataformas de seguridad crea conflictos en las investigaciones y en la búsqueda de amenazas”.
Esa falta de estándares impulsó la CrowdXDR Alliance ; “unimos fuerzas con líderes en el mundo cloud, en la industria TI y en el ámbito de la seguridad para establecer un método común en el que compartir datos entre herramientas y procesos de seguridad para enriquecer los datos de EDR con la telemetría más relevante y específica y, por un lado, mejorar la experiencia de seguridad general y, por otro, ofrecer mayor eficacia en las estrategias de seguridad de nuestros clientes”, dice Julia Barruso, añadiendo que la colaboración, la información de valor y el intercambio de datos desarrollados a través de la Alianza CrowdXDR continuarán mejorando las capacidades de detección y respuesta en toda la plataforma Falcon.
Lo cierto es que las organizaciones no necesitan más alertas de seguridad. Necesitan información sobre el conjunto de seguridad que tienen para asegurarse de obtener el mejor resultado. Y de eso se trata realmente la alianza XDR.
Las firmas participantes, en uno y otro grupo tienen la suficiente relevancia como para que quede claro, por si había dudas, que XDR emerge como una de las tendencias más candentes en el sector de ciberseguridad.
Cisco + Splunk = XDR + SIEM
Hablar de XDR, SIEM, y el impacto que uno tiene en el otro, lleva a mencionar la compra que Cisco realizó hace unos meses de Splunk, un conocido jugador del mercado SIEM, por 28.000 millones de dólares.
La adquisición reúne la nueva plataforma XDR de Cisco, disponible de forma general desde el pasado mes de agosto, y la plataforma SIEM de Splunk, una compañía que Gartner considera líder del mercado desde más de ocho años consecutivos.
Una de las razones por las que Cisco compró Splunk, quizá la mayor, tiene que ver con los datos.
Si en el pasado las tecnologías de seguridad aplicaban políticas y tomaban decisiones basadas en configuraciones preestablecidas, reglas y fuentes de inteligencia sobre amenazas, la evolución del mercado, que llevó a que las empresas consolidan herramientas dispares, ha provocado que los motores de análisis asuman un papel más importante al analizar todos los datos, considerar nuevos riesgos, monitizar los cambios de TI… Es en este momento cuando tecnologías como Splunk se convierten en el cerebro de la operación, mientras que las herramientas de seguridad individuales se convierten en sensores, recopilando datos que envían a un motor de análisis y reciben instrucciones de cumplimiento. Cisco ya cuenta con montañas de datos que llegan a través de Talos, Secure Network Analytics o la misma Cisco XDR. Los clientes aún tienden a centralizar los análisis y la telemetría en el nivel SIEM, y Cisco se ha posicionado en ambos lados de la ecuación.
Por cierto, que buscando información para este artículo he leído que Cisco utilizaría los datos de Splunk para crear modelos de lenguaje grande (LLM) centrados en la seguridad y la observabilidad para el uso de IA generativa. Eso lo dejamos para otro artículo…
