Detección y respuesta gestionadas (MDR)

Los servicios de detección y respuesta administrados (MDR) son una colección de tecnologías de ciberseguridad basadas en redes, hosts y terminales que un proveedor externo administra para una organización cliente. El proveedor normalmente instala la tecnología en las instalaciones de la organización del cliente y proporciona servicios adicionales externos y automatizados a través del software.

Los MDR mejoran la ciberseguridad al buscar amenazas y responder a ellas una vez detectadas. También permiten a los usuarios conectarse con los expertos en seguridad del proveedor, quienes pueden ayudar a reforzar las habilidades de seguridad del departamento de TI de la empresa cliente. Esto los hace ideales para empresas que no cuentan con un equipo interno de detección de amenazas designado.

Los servicios de detección y respuesta administrados están ganando popularidad, en parte debido a la creciente brecha de habilidades en ciberseguridad. Gartner predijo en 2018 que el 15% de las empresas medianas y grandes utilizarían los servicios MDR en 2020, en comparación con el 1% que los utilizó en 2018.

¿Qué problemas resuelve MDR?

Los servicios MDR desempeñan un papel activo en la mejora de la estrategia de seguridad de la información de una empresa. Se encargan de la detección de amenazas, la respuesta a incidentes, la supervisión y el análisis continuos de los activos de TI.

Los servicios de MDR abordan estas tareas de una manera que mitiga los problemas comunes que suelen enfrentar los departamentos de TI modernos, como:

  • Alto volumen de alertas: los MDR pueden ayudar a las empresas a gestionar el gran volumen de alertas de ciberseguridad que deben comprobarse de forma individual. Demasiadas alertas pueden abrumar a los equipos de seguridad más pequeños y hacer que descuiden otras responsabilidades.
  • Análisis de amenazas: muchas alertas no se presentan de inmediato como una amenaza y requieren un análisis exhaustivo para determinar su estado. Los servicios de MDR brindan herramientas de análisis avanzadas y acceso a expertos en seguridad para ayudar con esto, interpretando eventos y brindando recomendaciones para mejorar.
  • Escasez de habilidades: la CIA estimó recientemente que para 2022 habrá una brecha de personal de seguridad de 1.8 millones. Symantec también descubrió que cuatro de cada cinco profesionales de seguridad encuestados informan sentirse agotados y en un estado de sobrecarga crónica. Los servicios de MDR pueden mitigar esto proporcionando acceso a su equipo de expertos, que generalmente trabajan 24 horas al día, 7 días a la semana para monitorear una red y estar disponibles para consultas.
  • Detección y respuesta de endpoints (EDR): las empresas pueden carecer de los fondos, el tiempo o las habilidades para capacitar a los empleados en las herramientas de EDR. Los servicios MDR vienen con herramientas EDR y las integran en los procesos de detección, análisis y respuesta, lo que elimina la necesidad de una amplia seguridad interna para los puntos finales.

Al igual que con muchos modelos X-as-a-service (XaaS) que subcontratan los procesos de TI modernos, las corporaciones intercambian cierto control por más conveniencia y precios más flexibles. Los servicios MDR tienen algunas desventajas en comparación con los productos de seguridad administrados más antiguos y según el uso previsto por el cliente para los servicios. Sin embargo, su principal beneficio es que se adaptan exclusivamente a los problemas actuales y emergentes que enfrentan las empresas de TI en la actualidad.

MDR frente a la seguridad administrada clásica

Tanto MDR como los productos de seguridad administrados clásicos realizan la misma función general; Asistencia externa a empresas con ciberseguridad. Sin embargo, existen algunas diferencias fundamentales entre los servicios MDR y los servicios de seguridad administrados clásicos, que incluyen:

  • Cumplimiento: los servicios de seguridad administrados clásicos, a veces denominados proveedores de servicios de seguridad administrados (MSSP), suelen centrarse mucho más en los informes de cumplimiento y ayudar a las empresas a cumplir con los requisitos de cumplimiento. Los servicios de MDR rara vez se centran en esto.
  • Formato de registro: los MSSP generalmente pueden trabajar con una variedad más amplia de registros y contextos de eventos. Los MDR, por otro lado, usan principalmente solo los registros que vienen con sus herramientas.
  • Interacción humana: los MSSP manejan cualquier comunicación con el proveedor a través de portales y correos electrónicos en línea. Los MDR tienen equipos de expertos, a veces denominados centro de operaciones de seguridad (SOC), a los que se puede acceder a través de múltiples canales en tiempo real.
  • Métodos de detección: debido al componente humano que ofrecen los MDR, pueden aplicar un análisis más profundo a las alertas y detectar nuevas amenazas. Los MSSP participan menos en el análisis y, por lo tanto, se centran más en las amenazas conocidas y que ocurren con frecuencia mediante un sistema basado en reglas.
  • Visibilidad de la red: los MDR pueden detectar eventos y movimientos dentro de la red de un cliente, mientras que los MSSP se centran principalmente en el perímetro.

Cada opción tiene sus fortalezas y debilidades. Los MSSP son buenos para administrar tecnología de seguridad fundamental como firewalls y realizar tareas de seguridad diarias. Los MDR son servicios más especializados diseñados para manejar redes modernas complejas y las nuevas vulnerabilidades que presentan.

Las empresas pueden utilizar ambos productos en conjunto para maximizar los beneficios de cada uno.

Características comunes en las ofertas de MDR

Los MDR son relativamente nuevos, por lo que cada empresa difiere un poco en lo que ofrecen en sus ofertas de MDR. Los proveedores normalmente se centrarán en tecnologías basadas en redes, terminales o registros. Un MDR basado en red se enfocaría en las amenazas en un firewall, mientras que un producto basado en endpoints funcionaría con software antimalware.

Independientemente del nivel de red en el que funcione el servicio, une informes de múltiples tecnologías en ese nivel para realizar estas funciones:

  • Detección de amenazas, en la que el SOC monitorea continuamente los datos y prioriza las alertas para su análisis.
  • Análisis de amenazas, en el que el personal del SOC se concentra en las amenazas potenciales y determina la fuente y el alcance de la amenaza.
  • Respuesta a amenazas, en la que el proveedor notifica al cliente de un incidente y ofrece sus recomendaciones de análisis para resolver el problema.

El paso con mayor variación entre proveedores es el paso de respuesta. Cada proveedor decide el punto en el que termina su trabajo y el cliente asume el problema. Algunos proveedores también pueden ofrecer funciones adicionales por un precio, como consultas de expertos locales o hardware local adicional.

Al elegir un proveedor, los clientes deben considerar:

  • El tamaño de su organización.
  • El nivel de habilidad y el tamaño de los equipos de seguridad.
  • La tecnología que ya tienen.
  • Las regulaciones de cumplimiento que deben cumplir.