¿Qué es la detección y respuesta gestionadas (MDR)?

La detección y respuesta gestionadas (MDR) es un servicio 24/7 totalmente gestionado prestado por expertos especializados en detectar y responder a los ciberataques que las soluciones tecnológicas por sí solas no pueden detener. Al combinar la experiencia humana con tecnologías de protección y modelos de Machine Learning avanzados, los analistas de MDR pueden detectar, investigar y neutralizar ataques avanzados perpetrados por humanos para impedir filtraciones de datos y ransomware.

La demanda de servicios de MDR se está disparando y Gartner predice que, para 2025, la mitad de las organizaciones utilizará servicios de MDR.

¿Por qué es importante la MDR?

La realidad es que la tecnología no puede detener todos los ataques. Los adversarios de hoy día, muy bien financiados, se sirven de credenciales robadas, errores de configuración de seguridad y herramientas de TI legítimas para eludir las tecnologías de defensa, e innovan e industrializan continuamente sus métodos.

La única forma de detectar y neutralizar de forma fiable a los atacantes decididos es prestando una especial atención 24/7 con profesionales de operaciones de seguridad. Ofrecer esta cobertura experta las 24 horas del día es poco realista para la mayoría de las organizaciones por sí solas y, por ello, las empresas recurren cada vez más a proveedores especializados en detección y respuesta gestionadas (MDR).

¿Qué ofrecen los servicios de MDR?

Los servicios de MDR varían de un caso a otro, pero suelen incluir:

  • Supervisión y respuesta a amenazas 24/7 a cargo de expertos
  • Búsqueda de amenazas a cargo de expertos
  • Contención de amenazas: se interrumpen los ataques y se impide su propagación
  • Respuesta a incidentes integral: se eliminan las amenazas por completo
  • Análisis de la causa raíz para evitar que se repitan en el futuro
  • Comprobaciones del estado de seguridad para garantizar una postura de seguridad sólida
  • Informes semanales y mensuales

¿Cómo funcionan los servicios de MDR?


Son seis los pasos principales del proceso de detección y respuesta:

  1. Recopilación: se recopila telemetría de seguridad de todo el ecosistema de TI (soluciones de endpoints, firewalls, redes, la nube, correo electrónico e identidad). Cuanto más puedan ver los analistas, más rápido podrán responder.
  2. Detección de amenazas: se añaden información sobre amenazas y contexto empresarial a los datos para proporcionar una visión más completa. Los incidentes de seguridad relacionados se agrupan en clústeres para permitir una investigación completa y eficaz.
  3. Búsqueda de amenazas: analistas altamente cualificados detectan de forma proactiva las amenazas que eluden los productos de seguridad. Buscan tácticas, técnicas y procedimientos (TTP) utilizados habitualmente por los ciberdelincuentes y amenazas que puedan esquivar diversas herramientas de seguridad.
  4. Investigación: los analistas determinan el alcance y la gravedad de la amenaza y definen los siguientes pasos.
  5. Remediación: los analistas interrumpen el ataque para evitar que se propague, y eliminan el malware y aíslan los sistemas afectados.
  6. Neutralización: los expertos efectúan un análisis de causa raíz para eliminar por completo al atacante y evitar que se repita el incidente.

     

¿Quién utiliza la detección y respuesta gestionadas?

Organizaciones de todo tipo y de todos los sectores utilizan servicios de MDR, desde pequeñas empresas con recursos de TI limitados hasta grandes compañías con equipos de SOC internos. Una pregunta más importante sería cómo trabajan las organizaciones con los servicios de MDR. Hay tres modelos principales de respuesta MDR:

  • El equipo de MDR gestiona totalmente la respuesta a amenazas en nombre del cliente.
  • El equipo de MDR trabaja en colaboración con el equipo interno para gestionar la respuesta a amenazas.
  • El equipo de MDR avisa al equipo interno y presta asesoramiento para la remediación.

Cada organización es diferente y debe elegir el modelo de respuesta MDR que mejor se adapte a sus necesidades.

¿Qué tipos principales de proveedores de MDR existen?

Hay tres tipos principales de proveedores de MDR:

  1. Uso de tecnologías propiedad de la empresa (BYOT): estos proveedores recopilan información de seguridad de múltiples fuentes, pero por lo general no actúan, solo proporcionan alertas; y sus conocimientos son limitados en cuanto a profundidad y agilidad.
  2. Proveedor único: la segunda categoría son los proveedores que ofrecen servicios de MDR para sus propios productos de seguridad; en este caso, las herramientas tecnológicas y el servicio de MDR están integrados, pero exigen que el cliente elimine y sustituya sus herramientas de ciberseguridad existentes, y se limitan a las medidas que pueden tomar sus propios productos.
  3. Totalmente flexibles: los proveedores con plena flexibilidad combinan los puntos fuertes de ambos enfoques. Pueden utilizar cualquier combinación de los productos de seguridad que ya tenga (sin necesidad de eliminar y sustituir nada) y su propio producto de seguridad (ofreciendo capacidades de respuesta exhaustivas).

¿Qué ventajas ofrece la MDR?

  1. Ciberdefensas de calidad superior : una de las principales ventajas de utilizar un proveedor de MDR frente a los programas de operaciones de seguridad exclusivamente internos es una protección superior contra el ransomware y otras ciberamenazas avanzadas. Con la MDR, se beneficiará de la amplia y profunda experiencia que aportan los analistas del proveedor. Un proveedor de MDR trata con un volumen y una variedad de ataques muy superiores a los de una organización individual, lo que les da un nivel de experiencia que es prácticamente imposible de replicar internamente.
  2. Libere la carga de trabajo de TI: la detección y respuesta a las amenazas lleva tiempo y es imprevisible. La urgencia inherente a este trabajo puede impedir a los equipos centrarse en tareas más estratégicas y a menudo más interesantes. Trabajar con un servicio de MDR le permite liberar la carga de trabajo de TI para respaldar las iniciativas centradas en el negocio.
  3. Tranquilidad 24/7: un ataque puede llegar en cualquier momento. Los adversarios están más activos durante las horas en que es menos probable que su equipo de TI esté online, como por la noche, los fines de semana y periodos festivos. Por lo tanto, la detección y respuesta a amenazas es una tarea que debe realizarse de manera ininterrumpida. Si solo la lleva a cabo en horario de oficina, su organización estará expuesta. Gracias a su cobertura 24/7, los servicios de MDR ofrecen una gran tranquilidad y confianza. Para los equipos de TI esto significa, literalmente, poder dormir mejor por las noches: podrán relajarse sabiendo que el proveedor de MDR les relevará en su responsabilidad y recuperarán su tiempo personal. Una cobertura 24/7 por parte de expertos y un alto nivel de ciberpreparación en todo momento da a altos directivos y clientes una gran tranquilidad de que sus datos y la propia organización están bien protegidos.
  4. Añada experiencia, no personal: la detección y respuesta a las amenazas es una operación altamente compleja. Las personas que trabajan en este ámbito deben poseer unos conocimientos específicos a la vez que muy especializados. Esta rara combinación de competencias, agravada por una notable escasez de habilidades, hace que contratar a expertos en búsqueda de amenazas sea una tarea ardua, si no imposible, para muchas organizaciones. Los servicios de MDR ofrecen a las organizaciones la experiencia que necesitan, lo que les permite ampliar las capacidades de sus operaciones de seguridad sin incrementar la plantilla.
  5. Mejore su ROI de ciberseguridad: mantener un equipo de búsqueda de amenazas 24/7 es caro. Para contar con una cobertura ininterrumpida, necesita un mínimo de cinco o seis responsables de ciberseguridad que trabajen en distintos turnos. Sirviéndose de las economías de escala, los servicios de MDR ofrecen una forma rentable de proteger su organización y estirar aún más su presupuesto de ciberseguridad.

Además, al reforzar su protección, los servicios de MDR también reducen enormemente el riesgo de sufrir una costosa filtración de datos y evitan los perjuicios financieros de gestionar un incidente grave. El coste medio de remediar un ataque de ransomware en organizaciones de tamaño mediano fue de 1,4 millones USD en 2021⁶, por lo que invertir en la prevención es una sabia decisión financiera.

Si elige un proveedor que se integra con sus actuales tecnologías de seguridad, puede incrementar el retorno de sus inversiones existentes. Además, los servicios de MDR permiten a las organizaciones cumplir muchos de los cibercontroles esenciales para la asegurabilidad y mejores ofertas de pólizas y primas.

¿En qué se diferencia la MDR de la detección y respuesta para endpoints (EDR) y de la detección y respuesta ampliadas (XDR)?

No hay que confundir la MDR con la EDR (detección y respuesta para endpoints) ni la XDR (detección y respuesta ampliadas).

Aunque tanto la MDR como la EDR y la XDR permiten la detección y respuesta a amenazas, la EDR y la XDR son herramientas que permiten a los analistas buscar e investigar posibles ataques; la MDR es un servicio en el que los analistas de un proveedor de seguridad buscan, investigan y neutralizan amenazas en su nombre.

Como su nombre indica, las herramientas de EDR trabajan con telemetría procedente de tecnologías de protección de endpoints, mientras que las herramientas de XDR utilizan fuentes de datos de toda la pila de TI (incluidas las soluciones de protección de firewalls, correo electrónico, redes, nube, identidad y dispositivos móviles) para ofrecer una mayor visibilidad e información más detallada. En Sophos utilizamos nuestras soluciones de EDR y XDR líderes en el sector a la hora de prestar nuestro servicio de MDR.

¿Cuál es la diferencia entre la MDR y la gestión de eventos e información de seguridad (SIEM)?

  • SIEM es una tecnología que recopila datos de las herramientas de seguridad que ya está utilizando. A partir de ahí, SIEM agrega y analiza esa información para identificar anomalías en las amenazas.
  • La MDR es un servicio prestado por humanos que combina el análisis de telemetría con profundos conocimientos sobre amenazas y capacidades de investigación y respuesta.

¿Cuál es la diferencia entre la MDR y un proveedor de servicios de seguridad gestionada (MSSP)?

Los proveedores de MDR se especializan en la detección y respuesta a amenazas. Lo que la MDR no hace es gestionar la ciberseguridad del día a día, es decir, desplegar tecnologías de seguridad, actualizar políticas, aplicar parches o instalar actualizaciones. Los proveedores de servicios gestionados (MSP) prestan servicios de administración de seguridad TI a organizaciones que necesitan apoyo en esta área.

Cómo elegir el proveedor de servicios de MDR adecuado

Las organizaciones que deseen contratar servicios de MDR deben tener en cuenta:

  • ¿Qué alcance y profundidad tienen los servicios que ofrece el proveedor? ¿Qué nivel tiene en cuanto a la información sobre amenazas y los conocimientos de ciberseguridad?
  • ¿Qué modelos de servicio ofrece, y cómo se ajustan a sus necesidades?
  • ¿Cuántas personas prestan el servicio?
  • ¿Qué experiencia tiene en su sector industrial?
  • ¿Cómo presta cobertura 24/7? ¿Dispone de centros de operaciones de seguridad (SOC) en todo el mundo?
  • ¿Cuál es su tiempo medio de detección y respuesta a las amenazas?
  • ¿Qué integración ofrece con sus actuales inversiones en seguridad?
  • ¿Qué opinan los clientes del servicio?
  • ¿Qué resultados obtiene en las evaluaciones independientes?
  • ¿Ofrece una garantía contra filtraciones? En caso afirmativo, ¿a cuánto ascendería realmente la cobertura para su organización?

Sophos MDR ofrece los mejores resultados de seguridad

Sophos Managed Detection and Response es el servicio MDR líder en el mundo. Puede utilizar Sophos MDR para proteger sus ordenadores, servidores, redes, cargas de trabajo en la nube, cuentas de correo electrónico y mucho más. Para ponerse en marcha con Sophos MDR, póngase en contacto con nosotros hoy mismo.

Hable con un experto

Informe El estado del ransomware 2024 de Sophos

¿Qué probabilidades tiene de ser atacado por el ransomware? ¿Cuántos ordenadores se verían afectados? Encuentre estas y muchas otras respuestas en el informe El estado del ransomware 2024 de Sophos.

Descargar ahora

sophos-state-of-ransomware-2024-report-cover-card

 

Tema de seguridad relacionado: ¿Qué es la seguridad para endpoints?