EDR vs XDR: Extended Detection & Response

EDR corresponde en inglés a Endpoint Detection & Response y es un estándar de facto en la industria a día de hoy. ¿Cómo se compara con el emergente XDR,del que tanto se está hablando recientemente? Destacamos sus diferencias y lo que hace de esta tecnología algo a tener en cuenta en el futuro.

Cabría preguntarse antes de nada, qué hace a un profesional o arquitecto de ciberseguridad decantarse por este o aquel tipo de producto. Como la palabra sugiere, Extended Detection & Response (XDR) «extiende» las características de tecnologías como EDR.

Como siempre, cada entorno, necesidades y preferencias de los administradores juegan un papel fundamental en el diseño de la infraestructura de Seguridad de una empresa, así que habrá que mapear los pros de XDR con nuestras necesidades para tomar la decisión final.

¿Qué es EDR?

Antes de seguir con su hermano pequeño, conviene saber qué es esta tecnología precursora de XDR. Digamos que esta tecnología se sustenta sobre dos pilares fundamentales que se componen de dos fases:

1. Monitorización continua y detección de amenazas
2. Respuesta automatizada frente a amenazas halladas en la fase anterior

Entre estos dos puntos existe una fase de de análisis bastante obvia, en la que herramientas como estas se comunican con sus servicios de inteligencia para contrastar información si es preciso.

EDR se ha vuelto crítica para muchas empresas, a medida que los actores maliciosos se han enfocado más y más en los usuarios finales para atacar, principalmente mediante sus workstations o equipos de trabajo, ya sean móviles, portátiles o PC de sobremesa.

Además de esto, comúnmente encontraremos capaciades de logging y triage forense sobre amenazas, que proporcionarán información valiosa de primera mano a los equipos CERT y similares.

Podríamos resumirlo en que un EDR es un antivirus puesto final con «superpoderes», que alcanzan cotas de protección mayor a lo usual hace años. En Capterra, por ejemplo, puedes encontrar un completo listado de herramientas EDR.

¿En qué consiste XDR?

La clave de lo anterior está en el enfoque de puesto final, que en el caso de XDR no existe, ya que el enfoque es más global. XDR nos permite visibilidad a lo largo y ancho de todos los endpoint de una organización, pero también sobre las redes y las cargas de trabajo en la nube.

Esta solución normalmente se encarga de analizar los datos recopilados, actuar sobre las amenazas y enviar alertas y elementos accionables a los analistas de Respuesta ante Incidentes (Incident Response)

Hay quien se podría estar planteando ahora mismo si no es esto lo mismo que ofrece un SIEM. Un SIEM se trae datos de diferentes fuentes, realiza un análisis automatizado y luego proporciona alertas y señales a los expertos que lo operan, junto a otros elementos conectados al mismo, si los hubiere.

Pero XDR, en cambio, incluye además funciones de seguridad que por definición no tenemos con el SIEM, como son el antivirus, firewall e incluso protección EDR.

Es por esto por lo que se está proponiendo al XDR como un sucesor natural del EDR, y el próximo gran salto en los estándares de ciberseguridad en los que será recomendable invertir a partir de ahora.

Beneficios y aspectos a tener en cuenta

A pesar de que estaríamos poniendo muchos huevos en el mismo cesto (es decir, creando una fuerte dependencia de un proveedor concreto para nuestra seguridad), un XDR tiene beneficios que son obvios.

El primero de ellos, la simplicidad. Quien trabaja en ciberseguirdad sabe de qué hablo. Tenemos un antimalware X, un SIEM Y, un firewall Z… suma y sigue.

En un mercado como el actual, en que hay déficit de personal capacitado para administrar la ciberseguridad en la empresa, esto es especialmente problemático, porque añade carga y necesidad adicional de formación.

A veces no solo eso, sino que existen varias herramientas de cada tipo funcionando en paralelo, conviviendo por tiempo indefinido. Este problema de «sobrecarga» desaparece de un pllumazo con una buena solución como la que comentamos. Los humanos pueden así centrarse en las cosas más críticas, mientras el triage se automatiza.

Conviene no olvidar, eso sí, que la fase de transición a este tipo de producto no será homogénea a todas las empresas y que será más o menos costosa según el diseño de nuestra seguridad, entre otros factores como licenciamiento actual y experiencia de los equipos.

Es posible, en cierto modo, que si tenemos un despliegue de soluciones de seguridad limitado y optimizado, con un equipo bien dimenasionado y formado en las mismas, no veamos como una inversión rentable este movimiento.

¿Un buen XDR?

Hay una cantidad bastante considerable de desarrolladores que están ya ofreciendo XDR, cada uno procedente de un mercado concreto, como son Crowdstrike, Microsoft, VMWare, Palo Alto, Cisco, FireEye, Trendmicro y McAfee.

Desde mi limitado conocimiento en dicho conjunto, recomendaría fijarse en Cortex XDR de Palo Alto, CrowdStrke Falcon y McAfee MVision.