FortiXDR: detección, investigación y respuesta automatizadas ante amenazas
Fortinet
La innovación digital ha transformado las empresas y las redes que utilizan para ejecutar aplicaciones críticas, realizar transacciones en línea, conectar a trabajadores remotos y capturar y procesar datos importantes. Y, como en el pasado, estos avances han traído consigo nuevos retos de seguridad que han dado lugar a nuevas soluciones de seguridad para hacer frente a estos retos. Sin embargo, la velocidad de la transformación ha dejado poco tiempo a las empresas para considerar la infraestructura de seguridad más amplia a la hora de implantar estas soluciones. El resultado es que hoy, más que nunca, los equipos de seguridad deben tratar de gestionar una vasta colección de herramientas de seguridad de múltiples proveedores y lograr algún tipo de visibilidad y orquestación y aplicación coherentes de las políticas en toda la empresa. Entre otros retos, los equipos de seguridad luchan por detectar y responder a un número creciente -y cada vez más dañino- de ciberataques a través de un conjunto de herramientas de seguridad complejo y en gran medida aislado.
En las conversaciones con los clientes, normalmente a través de sesiones informativas ejecutivas en línea, la mayoría entiende los retos logísticos y tecnológicos de esta complejidad y está deseando pasar de docenas de proveedores y productos de seguridad diferentes a un puñado o menos de plataformas de seguridad, complementadas con productos independientes según sea necesario. Por eso no me sorprende que, según Gartner, el 80% de las organizaciones estén consolidando o planeen consolidar proveedores de seguridad. Pero la pregunta que surge es: "¿Cómo decido qué proveedor o proveedores elegir como parte de la consolidación?".
Además de consideraciones pragmáticas como la satisfacción con el proveedor, el alcance de los controles disponibles en su plataforma, la eficacia y las características de cada control, y mucho más, ha surgido un principio organizador que simplifica e integra este proceso: XDR, o eXtended Detection and Response. Definida por Gartner como "una plataforma de detección y respuesta a incidentes de seguridad que recopila y correlaciona automáticamente datos de múltiples productos de seguridad", la XDR permite un principio de integración esencial que aprovecha las tecnologías existentes para crear una visión y un control unificados sobre entornos complejos y distribuidos. Se trata de un principio de consolidación mucho más sensato que la toma de decisiones basada en adquisiciones ("el proveedor nos ha hecho un buen precio por un paquete de productos"). La XDR permite que diferentes soluciones de seguridad vean, compartan y analicen datos para que puedan detectar amenazas con mayor eficacia y ofrecer una respuesta coordinada que cubra toda la superficie de ataque.
Aunque parece una gran idea -y lo es-, es mucho más complicada de lo que podría parecer a primera vista. Algunas soluciones XDR proceden de grandes proveedores de seguridad que pueden integrar múltiples productos en su cartera, y otras de pequeñas empresas de nueva creación que intentan crear una capa de normalización entre componentes de distintos proveedores. Cada enfoque tiene sus ventajas e inconvenientes. En el primer caso (proveedor de una única solución), cabe esperar una visión unificada, una experiencia política común, relaciones estrechas con los productos y otras ventajas. La mayor desventaja es probablemente la limitación de opciones dentro de la cartera de ese proveedor. La elección de un enfoque XDR "abierto", por otro lado, reduce las limitaciones de un único proveedor, pero es probable que se quede corto en otras áreas como la integración, el análisis o la automatización. Según nuestra experiencia, el esfuerzo necesario para gestionar de forma centralizada muchos productos (y varias versiones de los mismos) es considerable. Multiplique este esfuerzo exponencialmente a través del diverso panorama de proveedores, por no mencionar la enorme tarea de análisis y automatización más allá de la gestión, y el resultado es una enorme sobrecarga para esos proveedores y una multitud de limitaciones para el usuario final.
FortiXDR: la única solución XDR que gestiona de forma autónoma los incidentes cibernéticos de principio a fin.
En Fortinet, hemos desarrollado soluciones integradas multiproducto que funcionan como un sistema único y cohesionado; primero con el Advanced Threat Protection Framework y más recientemente con el Fortinet Security Fabric. El Security Fabric es una plataforma de ciberseguridad completa, integrada y automatizada impulsada por los servicios de seguridad de FortiGuard Labs que protege la empresa digital desde el endpoint y el IoT a través de la red y la nube. FortiXDR está diseñado para ampliar el Fortinet Security Fabric, reducir la complejidad, acelerar la detección, automatizar la investigación de alertas y coordinar la respuesta ante ciberataques. Como parte del Fortinet Security Fabric, FortiXDR es capaz de aprovechar el tejido de datos común, la telemetría correlacionada, la visibilidad unificada, la integración nativa y la interoperabilidad sin fisuras de la cartera de soluciones habilitadas para el tejido de Fortinet. Basándose en esto, los análisis automatizados, las investigaciones de incidentes y las respuestas predefinidas se realizan directamente fuera de la caja. FortiXDR proporciona estas capacidades avanzadas para los tres pasos de la detección y corrección de incidentes de seguridad:
- Detección avanzada: FortiXDR comienza aprovechando la riqueza de la información de seguridad compartida a través de Fortinet Security Fabric para la correlación y el análisis. Y debido a que puede recopilar inteligencia a través de la cartera más amplia de la industria, más telemetrías de amenazas se pueden utilizar para encontrar una amenaza activa - especialmente aquellas diseñadas para evitar la detección
- Investigación avanzada: FortiXDR es la primera solución XDR que utiliza inteligencia artificial (IA) para investigar las amenazas detectadas, un proceso que cualquier otra solución XDR deja en manos de un analista de seguridad humano sobrecargado de trabajo, lo que ralentiza el proceso y deja los sistemas vulnerables a los errores humanos. Y dado el volumen de alertas que generan la mayoría de las redes, muchos equipos de seguridad simplemente no disponen de los recursos necesarios para investigar todas las amenazas potenciales.
Tradicionalmente, una vez iniciada la detección, un analista de seguridad debe examinar el posible incidente, decidir cómo investigarlo y verificarlo, evaluar el alcance y los componentes asociados para determinar si indica una amenaza más profunda que puede no ser evidente a primera vista y, a continuación, determinar la respuesta adecuada, ya sea clasificar la alerta como un falso positivo o activar la solución XDR para que responda.
- Respuesta avanzada: Dado que FortiXDR está totalmente integrado en el Security Fabric, es inherentemente capaz de movilizar todos los recursos disponibles necesarios para una respuesta eficaz, automatizada y coordinada. Y debido a que sus capacidades de respuesta están más unificadas que la mayoría de los formatos de información de seguridad, los clientes también pueden utilizar conectores para incorporar incluso muchas soluciones de terceros en su respuesta.
Principales ventajas de FortiXDR
FortiXDR no sólo acelera la detección, investigación y respuesta, sino que también proporciona un argumento convincente para que las organizaciones consoliden productos de seguridad independientes.
Los primeros usuarios muestran que, de media, el número de alertas que requieren investigación se reduce en un 77% o más. Y como se mencionó anteriormente, FortiXDR es la única solución XDR que está aumentada con IA en todos los elementos del proceso de detección, investigación y respuesta. Esto reduce la carga de los equipos de seguridad al completar en segundos tareas complejas que a los expertos con herramientas especializadas les llevarían 30 minutos o más. Y lo hace sin errores humanos.
Y con su amplia cartera de controles independientes mejor valorados que pueden desplegarse para abordar la cibercadena asesina de extremo a extremo, hay muchas oportunidades de consolidar más y más proveedores con el tiempo.
Todo esto permite a las organizaciones reducir el tiempo medio hasta la detección (MTTD) y el tiempo medio hasta la respuesta (MTTR), reduciendo el impacto de los incidentes cibernéticos al tiempo que mejora la eficiencia de las operaciones de seguridad y la postura general de seguridad. Libera a los profesionales de seguridad experimentados para que realicen contribuciones de mayor valor a la seguridad de la organización y ayuda a la propia organización a seguir compitiendo eficazmente, al tiempo que aborda la proliferación de la seguridad y de los proveedores mediante la consolidación de soluciones estratégicas y la detección y respuesta automatizadas ante amenazas en toda la red distribuida.