De la complejidad a la eficiencia: el futuro de la ciberseguridad

En estas últimas semanas, he tenido la oportunidad de reunirme con diferentes clientes de diversas industrias y países. En nuestras conversaciones, han surgido varias inquietudes, entre ellas, el futuro del SIEM, SOAR y XDR.

Para quienes no están familiarizados con estos conceptos, los tres comparten elementos en común, como la recepción e ingesta de información, logs y telemetría. Sin embargo, tienen funciones distintas. En el caso de un SIEM, almacena los logs para correlacionarlos; en cuanto a un SOAR, recibe la información para automatizar y orquestar la operación de ciberseguridad; y un XDR recibe la telemetría para detectar amenazas en diferentes capas, como correo, puntos finales (computadores y servidores), red, nube e identidades. Pero, ¿por qué esta preocupación?

Todos sabemos que, a nivel global, estamos enfrentando desafíos económicos, y las organizaciones están buscando optimizar sus operaciones a todo nivel, incluyendo las inversiones tecnológicas. Sumado a esto, los grandes analistas han estado dando sus opiniones sobre estos productos. Por ejemplo, Gartner señala que: “XDR está surgiendo como una opción principal para mejorar las capacidades de detección y respuesta a amenazas en los SOC modernos, lo que reduce la dependencia de las herramientas SIEM y SOAR”

Por su parte, Forrester afirma que: “la capacidad de XDR para unificar la detección y la respuesta en todos los entornos lo convierte en un fuerte candidato para reemplazar las pilas de seguridad tradicionales”. Sin lugar a duda, es claro y entendible el desafío que están enfrentando las organizaciones y los tomadores de decisiones que piensan invertir o han invertido en estos productos.

Entre los desafíos que enfrentan los SIEM y SOAR, que durante años han sido fundamentales para centralizar los datos de eventos de seguridad y automatizar los flujos de trabajo de respuesta, se encuentran: la sobrecarga de eventos en los SIEM, lo que abruma a los equipos de operaciones de un SOC; la dependencia del SOAR en la integración con múltiples herramientas, haciendo que la automatización sea extremadamente compleja; y la alta interacción humana en ambas tecnologías, lo que aumenta la carga operativa en la respuesta a incidentes.

Ahora bien, entre las ventajas que han mostrado las tecnologías de XDR, podemos encontrar la capacidad de reducción de costos, porque permite centralizar funciones de seguridad en una única plataforma; la consolidación de proveedores, que permite una mejor negociación de costos; y, por último, al centralizar diferentes capacidades, brinda mayor agilidad en la respuesta a incidentes.

Cualquier organización en esta situación debe evaluar su nivel de dependencia del SIEM y SOAR para identificar falencias y redundancias. Además, es clave examinar el ecosistema tecnológico existente y analizar en detalle la capacidad que tendría una plataforma XDR dentro de su propio entorno.ci Igualmente, es importante considerar el impacto que este cambio tendría en el equipo de operaciones del SOC, asegurando que puedan aprovechar al máximo estas nuevas soluciones.

En resumen, es fundamental contemplar el proceso de migración. No obstante, hoy en día, la tecnología ofrece múltiples opciones para que estas transiciones se realicen con mínimo impacto en las organizaciones.