SIEM vs XDR
08 ago.La industria de la tecnología en general, y la ciberseguridad en particular, está inundada de términos o jerga, abreviaturas y acrónimos. Uno de los acrónimos que actualmente está ganando terreno es XDR (Extended Detection and Response). A primera vista, XDR parece tener objetivos muy similares a una plataforma de gestión de eventos e información de seguridad (SIEM por sus siglas en inglés de Security Information and Event Management,), al menos eso le sucedió a este servidor y por eso, dicidí escribir este artículo. Dicho esto, los invito, a que demos un vistazo a las similitudes y diferencias para ver si podemos eliminar la jerga y proporcionar algo de claridad.
SIEM como tecnología ha existido durante mucho tiempo, ha evolucionado desde la recolección, centralización, consolidación y gestión de logs y eventos. SIEM recopila, agrega, analiza y almacena grandes volúmenes de logs de muchos de los dispositivos o configuration items (elementos de configuración) de toda la empresa. SIEM comenzó su viaje con un enfoque muy amplio, recopilando logs y eventos disponibles de casi cualquier fuente de toda la empresa, y con el tiempo, ha extendido su alcance desde la oficina hasta la planta de fabricación y más allá.
Esto le da a SIEM un nivel inigualable de visibilidad en todo el paisaje tecnológico de la organización, desde firewalls hasta switches, y desde sistemas operativos hasta aplicaciones. Sin embargo, el nivel de detalle en los datos provenientes de cada fuente suele ser bajo; por lo tanto, tenemos un conjunto de datos muy amplio, que también suele ser bastante superficial, muchos datos poca información.
En los primeros días de SIEM, el caso de uso para recopilar todos estos datos era típicamente impulsado por el cumplimiento, probablemente PCI DSS, ISO 27001 o una mejor práctica impuesta por algunos gobiernos. Estos requisitos normalmente exigían la recopilación de datos de eventos en logs a nivel de información general de todo el entorno que se supervisaba hacia servidores de consolidación de esos logs, de ahí el enfoque de los fabricantes de productos SIEM, en la amplitud de soportar como fuente de datos los logs de la mayoría de dispositivos, productos y soluciones en uso. Luego nació la necesidad de correlacionar esos logs ya consolidados y centralizados y más adelante nace el requerimiento de agregar alguna inteligencia a la generación de reportes sobre ese mar de datos recolectados. Las tareas de recolección, gestión, análisis y presentación de los diferentes logs, lo hacen los servicios de SIEM a través de una característica conocida como Log Manager, la cual entre otros beneficios, facilita las investigaciones de seguridad y la respuesta ante incidentes.
A medida que ha pasado el tiempo, además de construir infraestructura, las organizaciones han agregado más y más soluciones de seguridad que abordan diferentes elementos del amplio espectro de amenazas. Con esto, la necesidad de visibilidad y análisis centralizado a través de una amplia variedad de herramientas ha llevado a SIEM a convertirse en la plataforma más adoptada y adaptada para proporcionar visibilidad desde una única visión. También ha proporcionado la capacidad de realizar análisis de todo el entorno, ya sea basado en los hallazgos de las herramientas de seguridad, de la propia infraestructura o de una combinación de ambos.
En un mundo donde las organizaciones tienen muchas y diversas herramientas de seguridad y administración, poder llevar datos de esas herramientas, así como directamente de la propia infraestructura, a una sola plataforma permite que los datos se utilicen de muchas maneras. Esto incluye resaltar las técnicas de ataque alineadas con el marco MITRE ATT&CK, mostrar múltiples actividades relacionadas que no son evidentes a través de herramientas de un solo propósito y proporcionar una plataforma sólida para búsqueda de amenazas, respuesta a incidentes y gestión general operativa y de riesgos.
SIEM tiene una relación natural con la detección y respuesta de endpoints (EDR) y la detección y respuesta de red (NDR) debido al consumo de datos de logs generados por esas soluciones. EDR y NDR profundizan en la actividad de los endpoints y de la red. La gran cantidad de datos generados para la detección no es práctica para enviar en forma cruda a una plataforma SIEM, por lo que las plataformas EDR y NDR resumen los datos en alertas o un subconjunto de metadatos que se reenvían al SIEM. Estos datos pueden formar la base para casos de uso orientados a amenazas que aprovechan EDR, NDR y, tal vez, información de inteligencia de las amenazas, por ejemplo, del firewall.
SIEM, tanto por su propia naturaleza como por su evolución, se adapta bien a una amplia variedad de casos de uso, y sigue siendo la plataforma central y preferida por las organizaciones que necesitan abordar casos de uso de cumplimiento, operativos y de seguridad. XDR es un concepto emergente con una definición que todavía está tomando forma.
Algunos consideran que XDR es una evolución lógica de NDR y/o EDR, que profundizan en la actividad de los endpoints y la red y generan información de detección que es altamente detallada y voluminosa. El concepto XDR se basa en esta granularidad, centrándose en un conjunto limitado de fuentes de datos, a partir de las cuales resuelve un nivel extremadamente detallado de información sobre la actividad que tiene lugar típicamente en la nube o a nivel de punto final, red o usuario. Esta información detallada se utiliza para detectar amenazas en el punto de convergencia de dispositivos, aplicaciones, etc, del entorno, con un alto grado de precisión.
¿Por qué el enfoque en fuentes de información tan profundas y detalladas? Porque esencialmente, permite aplicar múltiples metodologías de detección a esas fuentes para identificar comportamientos sospechosos con un mayor grado de eficacia, eficiencia y exactitud. Por ejemplo, los enfoques de aprendizaje automático, inteligencia artificial (ML, AI) dependen en gran medida de conjuntos de datos conocidos y limpios, y tener una comprensión profunda y completa de un rango limitado de información puede hacer que el resultado de estos enfoques sea mucho más efectivo.
La "R" en XDR se refiere a una respuesta oportuna y apropiada a las amenazas detectadas. Las detecciones de bajo volumen y alta precisión proporcionan una base ideal para la remediación automatizada.
SIEM y XDR proporcionan valor de dos maneras diferentes, pero potencialmente complementarias, con SIEM habiendo tenido su génesis en el cumplimiento y evolucionando para servir como una plataforma de amenazas y riesgo operativo más amplia, mientras que XDR tuvo su génesis específicamente centrada en las amenazas y proporciona una plataforma para la detección y respuesta de amenazas profundas y más específicas.
Las organizaciones que buscan una solución de detección y respuesta orientada a amenazas que no tienen requisitos operativos o de cumplimiento más amplio, pueden considerar soluciones XDR. Las organizaciones que tienen requisitos de cumplimiento y gestión de riesgos operativos, además de la detección de amenazas, pueden requerir que el SIEM cumpla con esas demandas más amplias de informes y recopilación de datos, pero también pueden considerar XDR como la solución para detección de amenazas. Algunas organizaciones pueden considerar XDR como simplemente presiona el botón "fácil" o “haga”, en comparación con una implementación completa de SIEM. Esto podría proporcionar un buen punto de partida para un programa de seguridad más amplio, en el que XDR se utiliza para abordar la detección y respuesta a amenazas, y una solución SIEM se puede integrar más adelante si surgen
requisitos más amplios de cumplimiento y riesgo operativo.
