¿Qué es la detección y respuesta administradas (MDR)?
La detección y respuesta administradas, o MDR, es una solución de ciberseguridad totalmente administrada que conjuga expertos en seguridad, inteligencia sobre amenazas y herramientas avanzadas para proporcionar a las organizaciones una protección contra las amenazas las 24 horas del día, los 7 días de la semana.
Se sabe muy bien de las crecientes amenazas cibernéticas a la que se enfrentan individuos y empresas a nivel mundial, pero quizás lo que se conoce menos es la dificultad que algunas organizaciones tienen para mantener defensas sólidas y mecanismos de respuesta eficaces.
Según un estudio de Kaspersky, el 41 % de los profesionales de la seguridad de la información afirman que los equipos de ciberseguridad de sus organizaciones tienen "poco" o "bastante poco personal". Es decir, hay una gran demanda de profesionales de la seguridad, y a las organizaciones les resulta más difícil atraer y retener a suficiente personal con las habilidades adecuadas. Esto afecta a todo tipo de empresas: el Foro Económico Mundial ha descubierto que las carencias de habilidades son el mayor desafío de resiliencia cibernética para el 52 % de las organizaciones públicas. Al mismo tiempo, menos de la mitad de las organizaciones más pequeñas afirman tener los conocimientos necesarios para responder a un ciberataque y recuperarse de él.
Por este motivo, muchas empresas están recurriendo a los servicios administrados para acceder a las soluciones y la experiencia que necesitan para proteger los datos, los sistemas, las aplicaciones y los usuarios. Una de las formas más eficaces de conseguirlo es mediante la detección y respuesta administradas (MDR), pero recién ahora las organizaciones se están dando cuenta gradualmente de lo importante que es la seguridad MDR para sus empresas. Según un estudio de Gartner, en 2023 solo el 30 % de las organizaciones utilizaban activamente las capacidades de interrupción y contención de amenazas remotas de los proveedores de MDR, pero se espera que esa cifra aumente hasta el 50 % en 2025. Y no es demasiado pronto, ya que Kaspersky MDR (Managed Detection and Response) procesó más de 430 incidentes de seguridad en 2023, y la mayoría de los incidentes más graves se detectaron en organismos gubernamentales y organizaciones industriales y financieras. El panorama de las ciberamenazas evoluciona constantemente, y a muchas organizaciones les resulta difícil mantenerse al día.
¿Cómo funciona la detección y respuesta administradas?
Entonces, ¿cómo funciona la MDR en la práctica? Es una forma de ciberseguridad, proporcionada como servicio administrado y diseñada para acelerar la detección y corrección de las amenazas, y reducir al mínimo la magnitud del impacto que pueden tener en las empresas. Las habilidades humanas en materia de seguridad y la tecnología avanzada se fusionan en el MDR, lo que permite optimizar de forma considerable los costos y recursos.
Los mejores servicios de MDR suelen incluir cinco funciones principales:
Priorización de eventos
Al combinar la inspección de los sucesos de seguridad por parte de personal cualificado y la evaluación de los sucesos conforme a reglas automatizadas preestablecidas, se consigue determinar qué sucesos son más relevantes o arriesgados que otros. Los falsos positivos y los que probablemente no constituyan un problema se quitan de la lista de prioridades, mientras que los problemas más importantes se ponen al principio de la cola para que los aborden los demás servicios de MDR y se evalúen con más detalle.
Búsqueda de amenazas
La automatización es una herramienta muy potente para detectar posibles amenazas, pero no se puede confiar en ella como solución universal. Los "cazadores de amenazas" más experimentados son expertos en detectar actividades anómalas y el tipo de comportamiento que siguen los ciberdelincuentes al llevar a cabo una posible vulneración de datos o un ataque. Entre los esfuerzos humanos y los digitales, las amenazas se detectan mucho más deprisa, lo que a su vez posibilita una corrección más rápida.
Investigación de amenazas
Tras detectar las amenazas, la siguiente fase consiste en explorarlas en profundidad y llegar al fondo de la cuestión. Los servicios administrados de investigación desentrañan el qué, el cuándo y el dónde de un incidente, y señalan los sistemas, datos, aplicaciones y usuarios que se han visto (o podrían verse) afectados. Todo este contexto es fundamental para informar sobre las formas más eficaces y adecuadas de acabar con la amenaza.
Asistencia en la respuesta
Trabajar con un socio para la seguridad MDR da a las organizaciones acceso tanto a asesoramiento como a soluciones. Los expertos pueden basarse en su propia experiencia y en la información recopilada mediante la búsqueda e investigación de amenazas para asesorar sobre la mejor forma de abordar el problema. Esto podría implicar eliminar una amenaza que está a punto de ocurrir, o sobre cómo responder y recuperarse de un ataque que ya se ha producido.
Corrección administrada
En caso necesario, se aplican procesos de corrección para eliminar todo rastro de amenaza y devolver los sistemas, aplicaciones y datos al estado en que se encontraban antes del ataque. Esto suele implicar una serie de procesos, como la eliminación de malware, la limpieza del registro, el rechazo de accesos no autorizados, la restauración del sistema y otras medidas. Las medidas que se utilicen dependerán de la naturaleza de la amenaza o del ataque y se eligen tras consultar con los profesionales de seguridad MDR.
¿En qué se diferencia el MDR del software antivirus tradicional?
La mayor diferencia entre los servicios de MDR y la seguridad tradicional basada en antivirus es que la MDR es proactiva, y el antivirus es reactivo.
En general, los sistemas antivirus se basan en la detección de firmas, en la que las distintas variantes de malware tienen sus propias huellas dactilares, que los sistemas buscan. Sin embargo, cada vez más ciberdelincuentes desarrollan variantes únicas de malware que no se parecen a ninguna otra y, por tanto, no pueden detectarse mediante estas huellas dactilares. Y, en cualquier caso, los antivirus no pueden detectar esas variantes hasta que ya están ahí, momento en el que muchas veces ya es demasiado tarde para evitar cualquier impacto.
Las herramientas de detección y respuesta administradas, por otra parte, se ocupan de buscar proactivamente infecciones de malware en los sistemas las 24 horas del día, los 7 días de la semana, y de mitigar sus efectos.
¿Cuál es la diferencia entre MDR y EDR?
EDR son las siglas de Endpoint Detection and Response, y funciona con las reglas automatizadas que se utilizan en la fase de priorización de MDR. Al implementarse un EDR, se registrarán eventos y patrones de comportamiento en todos los endpoints, que luego se evaluarán en función de las reglas automatizadas que establezcan los equipos de seguridad. Cualquier patrón o actividad sospechosos que se detecten se marcan para que el equipo de seguridad los investigue más a fondo.
Para muchas organizaciones, la EDR es, por tanto, una parte fundamental de la MDR, junto con expertos en seguridad de TI y procesos y metodologías bien establecidos.
¿Es lo mismo la detección y respuesta administradas que XDR?
No exactamente. La forma más sencilla de explicarlo es que XDR (que significa detección y respuesta ampliadas) mejora los principios de MDR. La XDR integra una enorme cantidad de datos recopilados de diversas fuentes para que la caza de amenazas y la investigación sean aún más informadas y proactivas. También aprovecha herramientas más avanzadas, como la prevención de pérdida de datos y la administración de identidades y accesos (IAM), para obtener una visibilidad completa del panorama de amenazas en toda la empresa.
¿Cuáles son los principales beneficios de la MDR?
Los servicios de detección y respuesta administrados pueden transformar el enfoque de seguridad de una organización de varias formas distintas, y agudizar el rendimiento en casi todos los ámbitos de las operaciones de seguridad. Las ventajas de la seguridad MDR incluyen, entre otras las siguientes:
Menor tiempo de detección
Algunas organizaciones tardan varios meses en detectar un incidente de seguridad, tiempo durante el cual pueden haberse provocado estragos incalculables en sistemas, aplicaciones y datos, a veces sin que la empresa siquiera lo sepa. La MDR no solo puede reducir esto a días o incluso horas, sino a minutos, de modo que el posible alcance del impacto de un ataque se reduce enormemente.
Mejora de la postura de seguridad
Los servicios de MDR pueden hacer que una empresa sea más fuerte y resistente en caso de ataque, ya que las posibilidades de que una vulneración tenga un efecto grave serán mucho menores. También permite garantizar que la configuración general de seguridad de la empresa esté mejor optimizada y siga estándolo aunque evolucionen las necesidades empresariales y los perfiles de ataque.
Detección continua de amenazas
Gracias a la capacidad que ofrecen las herramientas de detección y respuesta administradas para buscar amenazas las 24 horas del día, los 7 días de la semana y los 365 días del año, las amenazas y el malware no podrán "esconderse" en los sistemas y estar listos para activarse en el futuro. Se puede analizar constantemente el comportamiento y los patrones de los datos, a fin de detectar actividades anómalas incluso antes de que se produzcan actos maliciosos.
Respuesta a las amenazas y correcciones más rápidas
Los tres puntos anteriores contribuyen a que la respuesta a las amenazas y la corrección sean mucho más rápidas de lo que sería posible de otro modo. Conocer un problema con antelación facilita que la respuesta a la amenaza se formule con mayor rapidez en el marco de la MDR. De este modo, pueden aplicarse las correcciones adecuadas a la zona afectada y de forma mucho más oportuna.
Menor carga para el personal de seguridad
Cuando ya hay escasez de personal de seguridad, agobiarlo con varias tecnologías de seguridad diferentes aumenta aún más la presión y el estrés sobre su valioso tiempo. Puede dar lugar a que se pasen por alto incidentes, así como a que no se utilicen adecuadamente las herramientas a su disposición porque no tienen tiempo para hacerlo. Transferir gran parte de esta carga a servicios administrados y a expertos cualificados de terceros permite aliviar dicha presión y potenciar al máximo la eficacia del equipo interno en su día a día.
Reducción del riesgo de fatiga por exceso de alarma
Al utilizar tecnologías de seguridad, el equipo de seguridad deberá estar al tanto y enfrentarse a una mayor cantidad de alertas e incidentes. Esto no solo es trivial, repetitivo y da lugar a errores humanos, sino que también dificulta que el personal de seguridad reconozca qué problemas son los más urgentes y deben resolverse antes que otros. Los procesos de priorización de los servicios MDR resuelven ese problema al analizar y señalar los problemas más urgentes y ocuparse del triaje de eventos en nombre del equipo de seguridad.
¿Qué debes buscar en los servicios de detección y respuesta administrados?
El mercado de los servicios MDR es grande: la investigación de Gartner sugiere que el mercado de MDR está creciendo a un ritmo del 48 %, y está previsto que alcance los 2200 millones de dólares en 2025. Esto quiere decir que hay muchos proveedores diferentes de herramientas de detección y respuesta administradas, por lo que quizá resulte difícil determinar cuál es la más adecuada para tus necesidades y requisitos específicos. En tu proceso de selección, te recomendamos que prestes atención a estos cuatro atributos:
Habilidades adicionales en MDR
Es probable que tu equipo de seguridad ya cuente con una base de habilidades considerable, pero según las carencias de habilidades a nivel mundial, es muy posible que también tengas algunas áreas que reforzar. Conviene que determines cuáles son esas carencias al principio de tu proceso de selección de proveedores, y que busques un proveedor especializado en dichas habilidades y aptitudes, para que pueda complementar y fortalecer tu equipo.
Conocimientos y capacidades de seguridad MDR
Los equipos de servicios de detección y respuesta bien administrados deben tener un conocimiento actualizado del panorama actual de la seguridad. También deben conocer las últimas amenazas emergentes que hay que tener en cuenta y comprender muchos de los factores subyacentes que impulsan el delito cibernético, como las circunstancias geopolíticas y culturales implicadas. Estos conocimientos, unidos a sus habilidades y capacidades en materia de seguridad, agregarán valor a la mayoría de los equipos de seguridad internos.
Prestación de servicios MDR y colaboración
Tal vez estés satisfecho con la experiencia y las habilidades que pueda ofrecerte un posible servicio de seguridad MDR, pero aun así tiene que adaptarse bien a tu equipo actual, a tus tecnologías y a tu organización en general. Deben ser capaces de demostrar un firme compromiso con una comunicación clara, de modo que la información y los conocimientos puedan fluir sin problemas entre ambas partes. Esto permitirá al equipo de seguridad interno ponerse al día con el nuevo enfoque mucho más rápidamente. También deben poder demostrar su compromiso de brindar protección las 24 horas del día, los 7 días de la semana, para proteger los sistemas cuando el equipo de seguridad no esté trabajando.
Soluciones integrales
En definitiva, debes buscar una seguridad MDR que cubra todas las bases. Una solución como Kaspersky Managed Detection and Response ofrece tecnologías de protección avanzadas, caza proactiva de amenazas, respuesta automatizada y guiada, y una experiencia reconocida en todo el mundo con la que te sentirás cómodo. Esto no solo garantizará que se reduzca al mínimo el riesgo de ciberamenazas, sino también que se aproveche al máximo tu inversión en seguridad de TI en MDR.
Kaspersky Managed Detection and Response y Kaspersky Incident Response figuran entre los líderes tecnológicos de 2023 según Quadrant Knowledge Solutions, lo que avala el alto nivel de eficacia de estas soluciones para proteger a las empresas de los ciberdelincuentes.
Artículos relacionados: