Los equipos de ciberseguridad de las organizaciones están teniendo que trabajar duro para poder seguir el ritmo de crecimiento de las distintas amenazas. Los centros de operaciones de seguridad (SOC) gestionan de media unas 10.000 alertas al día, y la mayoría de ellos carece del tiempo o la experiencia necesarios para analizar de forma conveniente las alertas que acaban convirtiéndose en incidentes, lo que genera una respuesta deficiente y una recuperación ineficaz. Debido a esta realidad, las organizaciones recurren con más frecuencia a los servicios de detección y respuesta gestionados (MDR) para poder detectar, mitigar y contener las ciberamenazas.
Los servicios MDR están creciendo muy rápidamente. Se espera que este mercado alcance los 2.200 millones de dólares en 2025, con un nivel de crecimiento anual del 16,7%. Según Gartner, el 50% de las organizaciones utilizará servicios MDR en 2025. El rápido incremento de MDR responde a que estos servicios son capaces de dar respuesta a los desafíos actuales de los equipos de ciberseguridad de compañías de todos los tamaños y sectores de actividad, que ya no piensan si su empresa será o no atacada, sino cuándo será atacada.
En estos momentos, los responsables de seguridad deben desarrollar un enfoque proactivo para detectar amenazas que ya son capaces de superar a las soluciones tradicionales de detección y respuesta del endpoint (EDR). Las capacidades de detección por sí solas no protegen a la organización. Una vez que el equipo de seguridad identifica un problema, es fundamental disponer de un plan de respuesta rápido y eficaz. Los hackers trabajan las 24 horas del día y no hay forma de predecir cuándo se producirá el ataque, por lo que las empresas necesitan también operar su seguridad las 24 horas del día, los 7 días de la semana. El problema es que muchas organizaciones no cuentan con la capacidad y los recursos internos necesarios para afrontar esta situación, por lo que recurren a MDR.
¿Qué es MDR?
¿En qué consiste un servicio MDR de calidad? Según Forrester, MDR es la "aplicación de técnicas analíticas avanzadas, búsqueda proactiva de amenazas y respuesta automatizada, basada en flujos de trabajo predefinidos por un proveedor de servicios gestionados de seguridad". Gartner tiene una definición similar: "Los servicios MDR permiten a las organizaciones agregar capacidades de respuesta, detección y monitorización de amenazas 24 horas al día, 7 días a la semana, a través de un enfoque llave en mano".
Por otra parte, los servicios MDR se ofrecen en una amplia variedad de modalidades, aunque el sector parece estar de acuerdo en que un servicio de este tipo debe incluir como mínimo:
- Respuesta proactiva
- Detección de ciberamenazas
- Operaciones 24/7
Sin embargo, en estos momentos también somos víctimas de una jerga sectorial que surge a raíz de la llegada de nuevas tecnologías al mercado, y parece que la inteligencia artificial o el condensador de flujo van a resolver todos nuestros problemas. Puede que MDR forme parte también de esta lista de pociones milagrosas. Debido a una falta de estandarización de términos, procesos y tecnologías, muchas organizaciones se encuentran con dificultades a la hora de poder evaluar y seleccionar los servicios, herramientas o tecnologías que les ofrecen los distintos proveedores. Además, en el caso de MDR, se encuentran con que estos servicios se convierten a menudo en factorías de alertas que aportan poco valor y abruman aún más a los equipos de seguridad, dejando a los CISO insatisfechos con sus inversiones y a las organizaciones con la misma protección que tenían antes. Para resolver esta situación, todo el sector debe establecer métricas y estándares comunes, y ponerse de acuerdo sobre lo que constituye una detección de amenazas o una respuesta.
Qué buscar en un servicio MDR
A la hora de seleccionar a un posible proveedor de MDR, es importante evaluar sus servicios en tres áreas clave: respuesta, detección de amenazas y servicio 24/7. Estas son las capacidades que toda organización debe buscar:
Respuesta
Los servicios de MDR a menudo se posicionan como un equipo experto de analistas de seguridad que monitoriza la organización del cliente las 24 horas del día, los 7 días de la semana. Prometen mantener los datos protegidos con una operación de seguridad completa y madura, capaz de detectar y dar respuesta a los ataques, incluso a aquellos capaces de evadir los controles implementados. Esto suena muy bien, pero es importante comprender lo que realmente quieren decir con "respuesta". Por desgracia, para demasiados proveedores significa simplemente notificar al cliente un incidente, dejándole la responsabilidad de lidiar con el ataque. Por ello, sería necesario realizar al proveedor de MDR las siguientes preguntas:
- ¿Qué capacidad de respuesta proactiva tiene?
- ¿En qué medida están automatizadas las acciones de respuesta?
- ¿Cuál es el papel del cliente en las acciones de respuesta?
- ¿Cuál es el proceso de aprobación de las acciones de respuesta?
Detección de amenazas
La detección de amenazas es un componente crítico en un servicio MDR. Cuando se realiza correctamente, requiere altos niveles de experiencia e inteligencia. Debe incorporar una visión contextualizada de los posibles malos actores y de sus tácticas, técnicas y procedimientos (TTPs), así como una comprensión clara del negocio que se defiende y del entorno de TI en el que este negocio opera. Al evaluar a los proveedores de MDR, es conveniente preguntar cómo definen la detección de amenazas, cómo se mide y qué indicadores de rendimiento proporcionan. Además, también es conveniente saber:
- ¿Hasta qué punto se automatizan las búsquedas de amenazas?
- ¿Cómo se incorpora la inteligencia de amenazas al programa de detección?
- ¿Cuáles son los objetivos y resultados del programa de búsqueda de amenazas?
- ¿Qué factores desencadena una detección de amenazas?
Operaciones 24/7
Si bien puede parecer fácil evaluar si un servicio MDR ofrece operaciones 24/7, incluso este estándar puede variar mucho. Al hacer las preguntas correctas, una organización puede obtener una comprensión profunda del modelo operativo que se utiliza, el nivel del personal y la ubicación de los analistas encargados de proteger los datos de la empresa. Así, es importante preguntar sobre:
- Proceso de llamada fuera del horario de atención
- Niveles mínimos de personal fuera del horario laboral
- Cambios en los diferentes horarios
- ¿Cuál es el modelo de SOC que utiliza el proveedor: un único SOC para dar servicio remoto en todo el mundo o múltiples SOCs en diferentes geografías que dan servicio a los clientes de cada región?
Los servicios gestionados de detección y respuesta brindan una capacidad crítica a las organizaciones que carecen de la experiencia o los recursos para disponer de una operación de seguridad madura 24/7, o a las que simplemente desean enfocar sus esfuerzos en otras áreas. MDR no solo sirve como red de seguridad cuando fallan otros controles, sino que también proporciona una visión continua de lo que está sucediendo en el entorno de la organización y de su panorama de amenazas individual, así como de la evolución de ambos.
La naturaleza crítica del servicio hace que el proceso de selección del proveedor sea muy importante. Pero ante la falta de estándares en el sector, las empresas tienen la responsabilidad de hacer las preguntas correctas al evaluar a los partners potenciales. Acertar requiere algo más que rellenar casillas de verificación.
Daniel Clayton es vicepresidente de Servicios de Seguridad y Soporte en Bitdefender.