En 2018, el CTO y cofundador de Palo Alto Networks, Nir Zuk, acuñó un nuevo término para describir la forma en que las empresas debían abordar la ciberseguridad en los próximos años. Ese término, por supuesto, fue detección y respuesta extendida (XDR). Describió una infraestructura de ciberseguridad unificada que trajo detección de amenazas de punto final, análisis y visibilidad de red (NAV), gestión de acceso y más bajo un mismo techo para encontrar y neutralizar amenazas digitales en tiempo real.
Y la visión de Zuk de XDR resultó profética. En los años transcurridos desde que acuñó la frase, las plataformas que aprovechan el modelo XDR se han convertido en los líderes de facto de la industria de la ciberseguridad empresarial. Pero su escala y complejidad los colocan en una clase de producto que está fuera del alcance de algunas empresas.
Afortunadamente, la comunidad de código abierto, como suele hacer, ha llenado el vacío de XDR con un producto asequible, porque es totalmente gratuito. Se llama Wazuhy proporciona a las empresas las herramientas que necesitan para crear una solución XDR personalizada que satisfaga sus necesidades presupuestarias y de seguridad cibernética al mismo tiempo. Así es cómo.
Las características clave de una plataforma XDR
Aunque las diversas implementaciones de las soluciones XDR vienen con diferentes conjuntos de características, la mayoría de las plataformas XDR tienen algunas características importantes en común. Incluyen:
Funcionalidad de detección y análisis de datos
Gran parte de la detección de amenazas que ofrecen las soluciones XDR se presenta en forma de análisis de datos. Al analizar los registros y el rendimiento de los principales sistemas, a menudo es posible detectar actividades anormales o amenazas. Para facilitar esto, las plataformas XDR suelen realizar análisis del tráfico externo e interno, comparar el rendimiento y registrar datos con perfiles de amenazas conocidos, y emplean técnicas de aprendizaje automático para detectar patrones de amenazas emergentes, como los ataques de día cero.
Investigación de amenazas y respuesta activa
Las plataformas XDR no solo brindan a las empresas una forma de detectar amenazas potenciales. También brindan herramientas para ayudar a los especialistas de TI a investigar esas amenazas e implementar varias contramedidas para neutralizarlas mediante respuestas activas. Para que eso sea posible, la mayoría de las plataformas XDR brindan un sistema de alerta centralizado que puede agrupar alertas de registro relacionadas de múltiples sistemas en una sola interfaz de usuario. Esa interfaz de usuario también puede ayudar a los administradores a responder a las alertas organizando respuestas en una variedad de puntos finales. Con esa funcionalidad, los administradores pueden actualizar las políticas de seguridad de toda la empresa en respuesta a un ataque detectado en un único punto final.
Escalabilidad y capacidad evolutiva
Por último, pero no menos importante, las plataformas XDR facilitan a las empresas la integración de nuevos sistemas, tecnologías y terminales para mantenerlos protegidos. Eso significa que están diseñados para la escalabilidad y la interoperabilidad con una amplia variedad de productos tecnológicos específicos de otros proveedores. De esa manera, son una solución relativamente preparada para el futuro que crece con un negocio a lo largo del tiempo. Pero también incluyen funcionalidades de aprendizaje automático que ayudan a que sus capacidades defensivas se adapten a un entorno tecnológico determinado y mejoren a medida que funcionan.
Cómo ofrece Wazuh la funcionalidad XDR
La brillantez del enfoque de Wazuh para XDR es que puede integrarse fácilmente con una variedad de otras herramientas de seguridad de código abierto. Eso significa que las empresas que lo utilizan pueden adaptar el sistema para satisfacer sus necesidades específicas sin que se interpongan acuerdos de licencia complejos y costosos. Por ejemplo, Implementación de PDQ para instalar software y parches en estaciones de trabajo, AbusoIPDB para detectar direcciones IP maliciosas involucradas en spam, intentos de piratería y ataques DDoS, y URLhaus para detectar direcciones URL maliciosas utilizadas para la distribución de malware.
Pero el núcleo del enfoque Wazuh XDR viene en la forma de su multiplataforma agente de monitoreo. Es compatible con la mayoría de los dispositivos a través de su soporte de sistema operativo de alto nivel. Eso significa que las empresas pueden implementarlo para comenzar a recopilar datos de puntos finales con muy poca personalización necesaria. Esos agentes transmiten información del sistema al servidor de Wazuh, donde realiza una variedad de detección de anomalías y malware rutinas en él. De esa forma, los administradores obtienen visibilidad instantánea de la seguridad de los terminales a través de la interfaz centralizada del servidor. Pero eso no es todo.
A través de integraciones con herramientas como Suricata y OwlH, los administradores obtienen potentes funciones de detección y visualización de intrusiones en la red. Eso les da el mismo tipo de conocimiento de la situación que ofrecen otras plataformas importantes de XDR, pero sin la etiqueta de precio asociada. Y el sistema puede incluso ejecutar respuesta automática a amenazas Rutinas basadas en la red y los datos de puntos finales: tomar medidas para detener los ataques en seco con poca o ninguna intervención manual requerida.
Y debido a que Wazuh es una solución de código abierto, ofrece lo último en escalabilidad y capacidades evolutivas. Ya puede integrarse con soluciones de aprendizaje automático centradas en la seguridad como Macie de Amazon, dándole capacidades de vigilancia de datos almacenados. Pero la posibilidad de integraciones adicionales es infinita. Eso significa que las empresas que opten por usar Wazuh como una solución XDR no quedarán atrapadas en un sistema de aprendizaje automático en particular y podrán adaptar la capacidad evolutiva del sistema a sus propias necesidades.
Los puntos críticos
No hay duda de que las principales soluciones XDR de la actualidad representan lo último en ciberseguridad de nivel empresarial. Y su enfoque integral para defender la infraestructura empresarial digital probablemente también represente el futuro de la misma. Esto se debe a que reconocen la realidad de que proteger los datos y los activos comerciales significa tener verdadera transparencia en las operaciones de los terminales y permitir respuestas de toda la infraestructura a las amenazas en cualquier momento.
Aunque XDR no penetrará en el mercado de la ciberseguridad durante algunos años debido a problemas de escala, el hecho de que exista una solución de código abierto como Wazuh no es poca cosa. Tiene el poder de proporcionar una funcionalidad XDR significativa y efectiva a organizaciones de todos los tamaños. Y también es lo suficientemente flexible para adaptarse a las cambiantes necesidades comerciales y las integraciones de nuevas tecnologías. No es exagerado decir que es un verdadero cambio de juego en el espacio de ciberseguridad tal como existe hoy.
Y lo mejor de todo: es gratis y crece a un ritmo acelerado con el apoyo de la comunidad de código abierto. Todo lo que las empresas tienen que hacer para aprovecharlo es invertir en un hardware modesto que sirva como un centro de control, o simplemente pueden usar Nube Wazuh. Pueden usar Wazuh para crear un sistema XDR personalizado que esté a la par con cualquier cosa disponible ahora en el mercado comercial.
Y aún mejor, terminarán con un sistema infinitamente personalizable y actualizable, lo que significa que es un sistema en el que las empresas pueden invertir sin temor a que algún día quede obsoleto.
No hay muchas soluciones en el mundo de la ciberseguridad que puedan hacer tal afirmación, lo que convierte a Wazuh en una fuerza a tener en cuenta en el mercado XDR en general.