Definicion XDR
Hoy analizaremos un concepto que está cobrando especial importancia entre los especialistas de seguridad. Extended Detection and Response (XDR), que traducido al español es la detección y respuesta extendidas.
¿Cómo lo definen los principales expertos del mercado?
Según la firma de analistas Gartner, XDR es «una herramienta de detección de amenazas de seguridad y respuesta a incidentes basada en SaaS, específica del proveedor, que integra de forma nativa múltiples productos de seguridad en un sistema de operaciones de seguridad cohesivo que unifica todos los componentes con licencia».
La definición de XDR de Forrester Research es un poco más amplia: “La evolución de EDR, que optimiza la detección, investigación, respuesta y búsqueda de amenazas en tiempo real. XDR unifica las detecciones de puntos finales relevantes para la seguridad con telemetría de herramientas comerciales y de seguridad, como análisis y visibilidad de red (NAV), seguridad de correo electrónico, administración de identidad y acceso, seguridad en la nube y más. Es una plataforma nativa de la nube basada en una gran infraestructura de datos para brindar a los equipos de seguridad flexibilidad, escalabilidad y oportunidades de automatización”.
Parece que las soluciones EDR y SIEM no son suficientes para manejar una cantidad creciente de datos; y aquí es donde entra en escena la Detección y Respuesta ampliada (XDR).
Las herramientas de seguridad XDR permiten que la empresa recopile y correlacione datos recogidos de diversas fuentes, como son el punto final, servidor, correo electrónico, cargas de trabajo en la nube, servidores… Analiza y presenta los datos en un formato visible y fácil de leer para el administrador. Entre sus principales usos está el buscar, detectar, analizar y mitigar las amenazas.

En qué se diferencia XDR de otras soluciones de seguridad
XDR se considera la evolución de EDR, ya que nos permite visibilidad de los endpoints, y de múltiples capas de seguridad como los dispositivos móviles, los emails, los servidores, las cargas de trabajo en la nube, las redes, etc.
También es diferente de los SIEM. Mientras que un SIEM recopila grandes volúmenes de datos de diferentes fuentes, realiza un análisis automatizado y luego proporciona alertas y señales a los expertos. XDR, incluye además funciones de seguridad como son el análisis de comportamiento e inteligencia sobre amenazas.
¿Cómo funciona XDR?
XDR proporciona funcionalidades avanzadas de detección y respuesta ante amenazas, que incluyen:
- Detección y respuesta a ataques dirigidos.
- Análisis de comportamiento de usuarios y activos tecnológicos.
- Análisis integral de todos los vectores de amenazas.
- Inteligencia de amenazas integrada en tiempo real.
- Al recopilar y analizar datos de múltiples fuentes, se reducen los falsos positivos y aumenta la fiabilidad.
- Integración de datos relevantes para una clasificación de incidentes más rápida y precisa.
- Configuración centralizada, además de la automatización y orquestación para agilizar muchos procesos del SOC.
¿Cuáles son los beneficios de XDR?
Las principales ventajas de utilizar una solución XDR son:
- Capacidades mejoradas de protección, detección y respuesta ante amenazas.
- Aumento de la productividad del personal dedicado a la seguridad
- Reducción de los costes operativos para la detección y respuesta efectivas a las amenazas de seguridad.
La tecnología XDR mantendrá a la empresa más segura frente a ciberamenazas.
¿Cómo puede ayudarnos a identificar y reaccionar ante las amenazas de manera rápida y eficaz? Ahora lo veremos…
Prioriza las alertas
Según una encuesta de Imperva , el 27 % de los equipos de TI recibe más de un millón de alertas de seguridad por día y el 55 % recibe al menos 10 000.
Tratar de combatir todas esas amenazas es imposible, por lo que hay que encontrar una forma de priorizar las alertas más importantes.
XDR analiza todas las alertas automáticamente, agrupa aquellas que tienen un comportamiento similar y crea una sola alerta de alta confianza, que es la que presenta al equipo de TI.
Reduce las brechas en la visibilidad
La mayoría de los sistemas de seguridad se basan en varias herramientas y programas para ofrecer la mayor protección.
Sin embargo, el uso de tantas herramientas independientes puede generar brechas en la visibilidad porque cada herramienta solo analiza los datos que su función le permite.
Por ejemplo, los firewalls brindan visibilidad y control sobre el tráfico de la red, los antivirus ofrecen visibilidad sobre los eventos de los endpoints.
XDR recopila toda la información de diversas fuentes y la almacena en un data lake (lago de datos cloud). El equipo utilizará dicha información para tener una visibilidad completa de la superficie del ataque.
Simplifica las investigaciones
A los analistas de seguridad les lleva mucho tiempo crear una imagen completa de un ataque. XDR automatiza y simplifica al máximo las investigaciones forenses, nos muestra la línea temporal del ataque y su impacto.
Proporciona todo el contexto necesario para permitir que los analistas realicen un análisis más profundo de un incidente.
Mejora las tasas de detección de amenazas.
Obtiene los datos de una gran variedad de fuentes y el análisis lo realiza mediante algoritmos de inteligencia artificial y machine learning.
Así es como el sistema es capaz de aprender del historial de ataques y mejorar la capacidad de detección con el tiempo.
Acelera el tiempo de detección y respuesta a incidentes
El análisis automatizado y la correlación de los datos se realiza desde una única consola centralizada.
De esta manera, conseguimos optimizar mucho los flujos de trabajo, mejorar la eficiencia operativa y hacemos que la respuesta a incidentes sea más rápida.
¿Qué XDR elegir?
Hay una cantidad creciente de fabricantes que ya están ofreciendo XDR, p,e. es el caso de Crowdstrike, Microsoft, VMWare, Palo Alto, Cisco, FireEye, Trendmicro, McAfee, Sophos…
Enlaces de interés
Guía de mercado de Gartner para detección y respuesta extendidas
Comparativa y Rating de las solucions XDR disponible en Gartner Peer Insights