Realmente… ¿Es el momento de pasarse al XDR?
La idea errónea de que “somos demasiado pequeños para ser un objetivo” es cada vez menos común hoy en día. Los numerosos ataques a la cadena de suministro de los últimos años han demostrado que no es necesario ser el objetivo final de los atacantes para sufrir un ataque sofisticado: basta con tener un cliente o partner importante, o simplemente una amplia base de clientes.
Por eso, muchas empresas llevan mucho tiempo adoptando soluciones EDR (Detección y Respuesta de Endpoint). Afortunadamente, el mercado ofrece productos EDR modernos que son accesibles incluso para las pequeñas empresas y que no son especialmente difíciles de gestionar.
Pero, ¿es la funcionalidad EDR suficiente para sus necesidades, o es hora de empezar a plantearse el XDR (Detección y Respuesta Extendidas)?
Para responder a esta pregunta, deberían hacerse cuatro preguntas más.
1) ¿Su equipo de ciberseguridad puede hacer frente al volumen de alertas?
Cualquier empleado de ciberseguridad que utilice una consola EDR tiene que procesar una enorme cantidad de alertas de terminales. Un solo incidente puede desencadenar cientos de alertas similares; por ejemplo, cuando se detecta el mismo archivo malicioso en cien terminales diferentes. Cada una de estas alertas consume el tiempo y la atención del especialista en ciberseguridad. Este trabajo repetitivo y agotador es una de las principales
causas del agotamiento del equipo de seguridad.
Con Kaspersky Next XDR Optimum, las alertas relacionadas se agrupan, lo que permite a los operadores ver al instante una imagen más completa del incidente. Las acciones de respuesta también se pueden aplicar a todas las alertas similares con un solo clic, en lugar de gestionarlas una por una. Esto reduce la carga de trabajo del equipo y acorta significativamente el tiempo de respuesta ante incidentes.
2) ¿Sus expertos disponen de tiempo suficiente para investigar los incidentes?
Supongamos que su solución EDR detecta actividad maliciosa en una de sus estaciones de trabajo. La respuesta lógica para un operador de EDR es aislar el dispositivo e investigarlo a fondo. Pero esto lleva tiempo, y ante un incidente grave, el tiempo es lo único que no se tiene.
En primer lugar, puede que no quede claro de inmediato en qué fase se detectó el ataque. Es posible que los atacantes ya hayan obtenido acceso a otros puntos finales. En segundo lugar, una gran cantidad de los ataques actuales se producen debido al compromiso de las credenciales corporativas. El operador no puede saber si un empleado abrió inadvertidamente un archivo adjunto malicioso en un correo electrónico, o si un extraño inició sesión como ese empleado para atacar la infraestructura. Y si se trata de lo segundo, es posible que intenten
obtener acceso con el mismo nombre de usuario y contraseña en otro lugar.
«Next XDR Optimum le permite bloquear usuarios directamente en Active Directory desde la
ventana de alerta».
Esto ayuda a contener el ataque, limitar los daños potenciales y ganar un
tiempo valioso para realizar una investigación más exhaustiva.
3) ¿Su equipo de ciberseguridad dispone de suficiente contexto a la hora de
responder a las amenazas?
Una alerta EDR informa al operador de que se ha detectado un archivo malicioso en una estación de trabajo para que pueda empezar a tomar medidas defensivas. Pero a veces eso no es suficiente. Un archivo malicioso puede ser solo una parte de un ataque mayor que requiera una investigación más profunda para detectarlo y contrarrestarlo.
«Next XDR Optimum proporciona a los operadores acceso a Kaspersky Cloud Sandbox, donde los archivos sospechosos pueden cargarse en un entorno cloud aislado y analizarse de forma segura para ver qué hacen realmente».
El sistema ayuda a crear un indicador de compromiso, lo que permite realizar un análisis rápido de la infraestructura en busca de la misma amenaza en otros endpoints.
4) ¿Sus empleados son suficientemente conscientes de las ciberamenazas?
Volviendo al tema de la sobrecarga de alertas: los especialistas en ciberseguridad que trabajan con un sistema EDR mientras investigan un incidente a veces descubren que la causa de la alerta fue un error humano: alguien abrió un archivo adjunto malicioso en un correo electrónico o siguió un enlace a una página web de phishing.
La experiencia demuestra que sensibilizar a los empleados reduce significativamente la carga de trabajo de los equipos de ciberseguridad en general y el volumen de alertas en particular. Para ello, un programa educativo bien diseñado es más eficaz que las charlas y los recordatorios ocasionales.
Esta ventaja no está directamente relacionada con la funcionalidad XDR; sin embargo, cada licencia de Kaspersky Next XDR Optimum incluye formación específica de Kaspersky Security Awareness para los empleados más propensos a causar incidentes de gran impacto (ejecutivos, miembros de equipos financieros, usuarios privilegiados y cualquier persona que haya sido víctima de ingeniería social anteriormente).
Pero lo más importante es que Next XDR Optimum, permite al especialista en ciberseguridad asignar un curso relevante a un usuario directamente desde la tarjeta de alerta, sin interrumpir la respuesta al incidente. La experiencia demuestra que las lecciones aprendidas inmediatamente después de un fallo que ha provocado un
incidente son especialmente memorables y útiles, y ayudan a evitar que se repita el mismo error en el futuro.
Si su equipo de ciberseguridad se siente abrumado por las alertas o necesita más herramientas
de gestión y contexto sobre las amenazas, vale la pena considerar el cambio a Kaspersky Next
XDR Optimum.
