Detección y Respuesta Gestionadas (MDR)

¿Qué es la detección y respuesta gestionadas?

Managed Detection and Response (MDR) es un marco de prestación de servicios para Endpoint Detection and Response (EDR). MDR externaliza la funcionalidad y la experiencia necesarias para gestionar un Centro de Operaciones de Seguridad (SOC) moderno. Por lo general, MDR incluye supervisión y mitigación de ciberamenazas 24x7 y proporciona una alternativa rentable a EDR y a las plataformas de protección de puntos finales (EPP).
Detección y respuesta gestionadas

Ventajas de la detección y respuesta gestionadas

Las principales ventajas del MDR son: 

  • Acceso a analistas experimentados del Centro de Operaciones de Seguridad (SOC) para colmar las lagunas de competencias internas
  • Mejora de los procesos de gestión, respuesta y corrección de incidentes.
  • Detección proactiva y caza de amenazas
  • Mejor gestión de riesgos y vulnerabilidades
  • Clasificación más eficaz de alertas y notificaciones
  • Mejora de la seguridad y los riesgos para empleados y clientes
  • Menor coste total de propiedad en comparación con el EDR tradicional

No se vislumbra el final de la actual escasez de competencias en ciberseguridad en todo el mundo. Los equipos de los SOC luchan por hacer más con menos, incluso cuando se enfrentan a un panorama de amenazas poblado por ciberdelincuentes cada vez más sofisticados, organizados y bien financiados. El personal informático está agotado, sobrecargado de trabajo y desbordado. 

MDR está diseñado para conectar a las empresas con equipos de expertos en ciberseguridad, reduciendo significativamente la carga de los equipos de seguridad internos. Al permitir a las empresas colmar las lagunas existentes en su infraestructura y conocimientos de seguridad, MDR ayuda a resolver el déficit de talentos en ciberseguridad. Con MDR, las organizaciones pueden perseguir un programa de seguridad maduro y eficaz que abarque tanto la ciberseguridad como la ciberresiliencia.

Más beneficios MDR: 

  • Consolida la detección, corrección y administración en un único panel de control.
  • Reduce significativamente el tiempo dedicado a detectar y responder a las amenazas.
  • Libera recursos internos para centrarse en otros procesos críticos para la misión
  • Facilita el cumplimiento de la normativa y la elaboración de informes
  • Proporciona acceso a profundos conocimientos sobre seguridad y prevención de amenazas

Funciones de detección y respuesta gestionadas

Según la Guía de Mercado de Servicios MDR de Gartner, las principales características de una oferta MDR incluyen:  

  • Una pila tecnológica propiedad del proveedor de servicios y gestionada por él que permite la supervisión, detección e investigación de amenazas en tiempo real, junto con la mitigación y respuesta activas.
  • Personal experto que trata a diario los datos de los clientes
  • Un manual estandarizado de procedimientos de seguridad, gestión de flujos de trabajo y análisis
  • Mitigación, investigación y contención a distancia
  • Funciones centralizadas de detección, mitigación e información
  • Un proveedor de servicios de seguridad es totalmente dueño de cómo se detectan, identifican y validan las amenazas
  • Reducción del tiempo entre la detección y la mitigación
  • Generación y recopilación de datos de registro de seguridad y alertas en varios niveles de seguridad
  • Una combinación de procesos de mitigación manuales y automatizados, incluidos el bloqueo de cuentas, el aislamiento de hosts y el bloqueo de redes.

Otras características del MDR son: 

  • Supervisión, detección y respuesta ante amenazas 24x7x365
  • Protección de puntos finales basada en inteligencia artificial
  • Gestión y respuesta a incidentes y sucesos
  • Gestión de la exposición, notificación y cumplimiento
  • Interacciones e intervenciones preautorizadas y personalizables de los analistas
  • Orquestación avanzada
  • Métodos de triaje y filtrado adaptados
  • Telemetría organizada y contextualizada

Gartner también señala que los servicios MDR se están ampliando para incluir tecnologías y cobertura que van más allá de la EDR tradicional, como se describe en Managed XDR

Cómo funciona la detección y respuesta gestionadas

Dado que MDR es simplemente un marco de servicios gestionados superpuesto a EDR, MDR sirve esencialmente para lo mismo que EDR. La MDR previene y protege la red de una organización frente a las ciberamenazas, proporcionando la funcionalidad básica de la EDR y el EPP, así como la orientación y los conocimientos necesarios para utilizar plenamente esa funcionalidad. Esta orientación puede adoptar muchas formas, pero normalmente incluye una o más de las siguientes: 

  • Simulación de ataque y equipo rojo
  • Pruebas de penetración
  • Gestión estratégica de riesgos
  • Información, respuesta y análisis forense de incidentes
  • Evaluación del compromiso

Casos prácticos de los servicios gestionados de detección y respuesta

Por lo general, la MDR se utiliza para uno de dos casos de uso interrelacionados: aumentar el propio SOC de una organización o servir como SOC remoto.

Aumentar el SOC de una organización

Muchos SOC tienen dificultades para seguir el ritmo de las demandas de ciberseguridad:

  • La configuración de SIEM es una pesadilla logística.
  • Están inundados de notificaciones de todos lados.
  • La visibilidad es turbia en el mejor de los casos.

MDR alivia a estos equipos de seguridad y les aporta la experiencia del proveedor de servicios, así como un sólido conjunto de herramientas de seguridad. 

Servir como SOC remoto

En las organizaciones más pequeñas, los SOC y los profesionales de seguridad dedicados son escasos. Por desgracia, vivimos en un clima de seguridad en el que esto ya no es una opción. Con MDR, incluso las organizaciones pequeñas pueden mantenerse a salvo de las amenazas más avanzadas.  
Los MDR y los proveedores de servicios de seguridad gestionados (MSSP) cubren necesidades de seguridad integrales, ofreciendo evaluaciones de seguridad y capacidades de respuesta ante incidentes. Se diferencian en que el MDR se especializa en la detección y respuesta proactivas y en tiempo real a las amenazas, mientras que los MSSP ofrecen una solución más amplia y completa. Los MDR combinan tecnología avanzada con expertos en seguridad cualificados para supervisar la red de una organización e identificar las amenazas con el fin de minimizar los daños potenciales. Por otro lado, los MSSP ofrecen una gama más completa de servicios de seguridad, como gestión de infraestructuras, consultoría de seguridad, estrategias de seguridad a medida y asistencia continua para la red de una organización.
La MDR y la Respuesta a Incidentes son soluciones eficaces frente a las ciberamenazas, pero tienen objetivos diferentes. La MDR es un servicio proactivo que supervisa la red, los sistemas y los puntos finales de una organización, utilizando tecnologías y un enfoque analítico práctico para responder a las amenazas. La Respuesta a Incidentes es un proceso reactivo que se centra en identificar, contener y recuperarse de los incidentes de seguridad. Mientras que MDR se centra en la prevención, puede incorporar capacidades de Respuesta a Incidentes para recuperar y restaurar las operaciones normales después de un ataque.
La MDR y la Gestión de Información y Eventos de Seguridad (SIEM) son dos soluciones vitales de ciberseguridad con características y ventajas distintas. SIEM es una plataforma centralizada que se centra en las amenazas y anomalías conocidas dentro de la red de una organización mediante la recopilación y el análisis de datos de seguridad procedentes de diversas fuentes. MDR es un servicio externalizado que se centra en las amenazas desconocidas combinando la experiencia humana y la tecnología para detectar y responder a los ciberataques. MDR puede aprovechar las herramientas SIEM para mejorar sus capacidades de visibilidad y detección de amenazas.
Tanto la MDR como el Centro de Operaciones de Seguridad (SOC) son componentes críticos de la estrategia de seguridad de una organización, ya que cada uno de ellos ofrece detección de amenazas y respuesta en tiempo real. Los SOC son centros de mando internos que emplean a profesionales para supervisar, analizar y mitigar los incidentes de seguridad. Aunque tanto el SOC como el MDR utilizan un equipo de analistas para examinar la actividad 24 horas al día, 7 días a la semana, el MDR combina un equipo de profesionales cualificados con tecnologías avanzadas para mejorar las capacidades de respuesta ante incidentes y aumentar el SOC de una organización.

La mejor manera de describir la relación entre MDR y Managed XDR es compararla con la relación entre Extended Detection and Response (XDR) y EDR. XDR es una mejora de EDR; también Managed XDR es una mejora de MDR. 

XDR amplía las capacidades EDR de una organización al tiempo que añade inteligencia avanzada sobre amenazas, así como protecciones a nivel de red, servidor, nube y aplicación. Del mismo modo, Managed XDR mejora el marco MDR añadiendo funcionalidad XDR.

PREGUNTAS FRECUENTES

¿Qué es MDR?

La detección y respuesta gestionadas (MDR) es un marco a través del cual se ofrece una solución EDR como servicio gestionado, con supervisión 24x7 y asesoramiento experto.

¿Cuál es la diferencia entre MDR y Managed XDR?

Managed XDR, también llamada MXDR, es una actualización de MDR. Managed XDR ofrece todas las características y funcionalidades de MDR, al tiempo que introduce nuevas protecciones de seguridad e inteligencia sobre amenazas mejorada.

¿Es MDR lo mismo que Professional Cybersecurity Services?

Aunque la MDR es en sí misma un servicio gestionado, los proveedores de MDR adoptan un enfoque más profundo que los típicos proveedores de servicios de seguridad gestionados (MSSP). Con la MDR, los profesionales de la seguridad trabajan directamente con la organización del cliente 24 horas al día, 7 días a la semana. Dicho esto, las soluciones de MDR y las ofertas de MSSP suelen complementarse. 

¿Por qué es importante la MDR?

Las organizaciones se enfrentan a superficies de ataque cada vez mayores y a ciberamenazas cada vez más sofisticadas, pero sus equipos de seguridad y sus presupuestos no están a la altura. MDR ofrece una solución al proporcionar un medio rentable de aprovechar la experiencia y la tecnología de ciberseguridad de primer nivel.

CylanceMDR proporciona detección y protección 24x7. Nuestro equipo está formado por expertos campeones del mundo, y nuestra plataforma está impulsada por la tecnología pionera Cylance® AI para la protección contra amenazas aumentada con inteligencia de amenazas propietaria. Respaldado por una garantía de $ 1 Millón.