Entendiendo las diferencias entre EDR vs NDR vs XDR vs MDR
septiembre 21, 2022

En los últimos años se ha tenido un avance muy importante en las detección y respuesta de amenazas de seguridad. Y de aquí a que tengamos nuevos acrónimos para identificarlas, ¿Pero cuantos son y que los difiere?

EDR

En primer lugar, tenemos al EDR (EndPoint Detection & Responce), muchos lo consideran en remplazo del antivirus. Cada dispositivo conectado a una red representa un vector de ataque potencial para las amenazas de Internet, y cada una de estas conexiones es una puerta de entrada potencial a sus datos. En general, las soluciones EDR recopilan datos de los puntos finales, los utilizan para identificar amenazas potenciales y brindan formas útiles de investigar y responder a esas amenazas potenciales; las soluciones modernas incluso se automatizan con informes posteriores.

  • ALCANCE: Puntos finales (Estaciones de trabajo o servidores)
  • INTENCIÓN: Protección del punto final/área de acceso contra la infiltración, monitoreo y mitigación, evaluación de vulnerabilidades, alertas y respuesta
  • MÉTODOS: Comportamiento malicioso, indicador de ataque (IoA), indicador de compromiso (IoC), firmas, aprendizaje automático

NDR

EL NDR (Network Detection & Responce) Como su nombre lo indica, dirige sus capacidades de detección a los datos observados del tráfico de red que fluye a través de la organización. Los proveedores de NDR pueden tener múltiples enfoques sobre cómo observan y analizan este tráfico, pero en general, se requiere un sensor de red. Suele ser un dispositivo de red físico, un dispositivo virtual o una combinación de ambos. Luego, estos sensores se colocan en línea con la red, esencialmente observando el tráfico a medida que se dirige hacia su destino, o en una configuración duplicada, donde se envía una copia del tráfico para su análisis.

Las detecciones de NDR a menudo se basan en una vista generalizada del entorno. En lugar de detectar amenazas basadas en procesos inusuales o eventos granulares como con EDR, NDR busca amenazas potenciales basadas en protocolos anómalos o no autorizados, utilización de puertos, tiempos extraños y tamaños de transferencia, y más.

Como metáfora, podemos imaginarnos a NDR actuando como un oficial de patrulla de carreteras que observa el tráfico de vehículos. Si el oficial observa una infracción, puede tomar las medidas necesarias para garantizar la seguridad del tráfico.

  • ALCANCE: Red y tráfico entre dispositivos
  • INTENCIÓN: visibilidad/transparencia del tráfico de red, detección de amenazas conocidas y desconocidas y movimientos laterales, alerta y respuesta
  • MÉTODOS: Indicador de ataque (IoA), detección de anomalías, comportamiento del usuario, aprendizaje automático

XDR

El XDR (Extended Detection and Response) está ganando popularidad. XDR implica la idea de una plataforma única que puede ingerir datos de agentes de punto final, información a nivel de red y, en muchos casos, registros de dispositivos. Estos datos están correlacionados y las detecciones pueden ocurrir desde una o varias fuentes de telemetría.

Un beneficio de XDR incluye la optimización de las funciones del rol de analista al permitirles ver las detecciones y tomar acciones de respuesta desde una sola consola. El enfoque de panel único ofrece un tiempo de obtención de valor más rápido, una curva de aprendizaje más baja y tiempos de respuesta más rápidos, ya que el analista ya no necesita pasar de una ventana a otra. Otra ventaja de XDR es su capacidad para unir múltiples fuentes de telemetría para lograr una visión general de las detecciones. Estas herramientas pueden ver lo que ocurre no solo en los puntos finales, sino también entre los puntos finales.

Dado que XDR es una de las tecnologías más nuevas de esta lista, ofrezco una advertencia. A medida que evalúe las soluciones XDR, haga su debida diligencia y familiarícese con sus funciones.

  • ALCANCE: hosts, red y tráfico entre dispositivos, aplicaciones
  • INTENCIÓN: Visibilidad/transparencia en múltiples niveles de seguridad (red, endpoint, aplicaciones), detección de amenazas conocidas y desconocidas en un nivel lateral, incluidos todos los componentes, monitoreo y mitigación holísticos, evaluación de vulnerabilidades, alertas y respuesta, simplificación y consolidación de eventos, y actividades y respuesta dirigida
  • MÉTODOS: aprendizaje automático, indicador de ataque (IoA), detección de anomalías, comportamiento del usuario, comportamiento malicioso, indicador de compromiso

MDR

MDR (Management Detection & Responce), es la excepción de las ofertas que hemos revisado hasta ahora porque no es necesariamente una tecnología, sino una solución de servicio, que incorpora tecnología, personas y procesos.

MDR se formuló a partir del hecho de que hay muchas herramientas excelentes de detección y respuesta disponibles, pero muchas organizaciones están severamente limitadas tanto en el tiempo como en el talento que se necesita para administrar estas herramientas. Por lo tanto, el enfoque MDR proporciona detección de amenazas y acciones de respuesta asociadas como un servicio administrado.

  • ALCANCE: Organizaciones
  • INTENCIÓN: subcontratación de experiencia en seguridad, centralización de la información de seguridad, consultoría de alta calidad y cumplimiento de la seguridad
  • MÉTODOS: Integración de los sistemas del cliente a través de varias interfaces (API, registro, DataLake, etc.)

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentarios recientes