EDR, MDR y XDR:

qué son, en qué se diferencian y cómo elegir uno

En cualquier paquete, programa, oferta o propuesta de ciberseguridad puedes haber encontrado estas siglas: EDR, MDR y XDR. Son, primero, importantes componentes una estrategia integral de ciberseguridad.

A medida que las amenazas digitales se vuelven más comunes y avanzadas, las herramientas se desarrollan, y un punto muy importante, desde toda perspectiva de prevención de riesgo, es utilizar métodos eficientes de detección y respuesta de amenazas. Allí encontramos los elementos EDR, MDR y XDR.

Son de los más usuales pero no son lo mismo: las soluciones del XDR no son las mismas que las del EDR. Comprender sus diferentes métodos es importante para tomar decisiones en cuanto la preferencia de uno u otro para integrar en un sistema de defensa

Dado esto, el EDR, MDR y XDR operan bajo una misma concepción: la detección y la respuesta de posibles amenazas, con mayores o menores niveles de automatización

Veamos el significado de MDR, EDR y XDR:

  • EDR: Endpoint detection and response.
  • MDR: Managed detection and response.
  • XDR: Extended detection and response. 

Como se puede apreciar,  EDR, MDR y XDR apuntan también a diferentes acciones y formas de gestionar la detección y respuesta de un peligro que amenace la integridad de los sistemas. Pero, ¿en qué se basa esa diferencia?

¿Qué es EDR?

El endpoint detection and response (EDR) es una solución de ciberseguridad que monitorea la actividad de los endpoints en una red en busca de movimientos anómalos, alerta a los equipo de seguridad y cuenta con  herramientas para responder, detener y/o limitar un ataque en curso.

Recordemos que endpoint es cualquier dispositivo conectado a una red: el punto final de la cadena de conectividad, cuyo uso puede ser automatizado o estar a cargo de un usuario. Por eso se suele comparar a los EDR con los EPP, es decir, los endpoint protection program, lo que comúnmente conocemos como antivirus.

Te puede interesar: ¿Cuáles son las diferencias entre un antivirus y el firewall?

La diferencia radica en que un antivirus concentra sus recursos y sus métodos en reconocer archivos maliciosos según técnicas de comparación con bases de datos y testeos, mientras que el EDR integra soluciones de IA para eliminar mayor cantidad de malware que puedan burlar las defensas tradicionales: los malwares diseñados para evadir los antivirus pueden tener problemas al enfrentarse al EDR.

Entre las acciones de un EDR, también podemos mencionar:

  • Monitoreo y supervisión de endpoints, grabación de eventos y generación de registros.
  • Recopilación, catalogación y análisis de datos para el reconocimiento de amenazas.  
  • Clasificación de alertas y amenazas.
  • Detección de actividad sospechosa.
  • Uso de inteligencia accionable para generar diversos protocolos de respuesta.

¿Qué es XDR?

Las diferencias entre XDR y EDR son interesantes, ya que XDR es la sigla de extended detection and response: esto significa que es una propuesta que viene a trabajar lo que se consideran las limitaciones del EDR.

El XDR tiene como objetivo aumentar la capacidad de detección y respuesta del EDR al ofrecerse como un SaaS (software como servicio), para agilizar y mejorar el análisis de flujos de seguridad, mejorar la visibilidad de amenazas y la velocidad y unificación de las respuestas.

Una plataforma integrada XDR expande el potencial y el trabajo del EDR. No solo recopila y compila datos en lo referido al endpoint, sino que los analiza a lo largo de toda la infraestructura informática, para mejorar las operaciones y reducir riesgos. 

La clave del XDR es que se desenvuelve mejor a lo largo de infraestructuras de tecnología de la información cada vez más completas y complejas, que pueden presentar muchas vulnerabilidades y por eso demandan mayor precisión. De una plataforma XDR se esperan estas competencias: 

  • Detección de amenazas y recopilación de datos
  • Análisis de eventos centrado en amenazas y elaboración de informes para los equipos de seguridad.
  • Evaluaciones telemétricas de seguridad multidominio.
  • Elaboración de respuestas automáticas para mitigar y remediar la amenaza.

¿Qué es MDR?

Hemos visto el EDR y el XDR: el MDR es diferente a los otros dos. Con el EDR y el XDR se generan grandes cantidades de información y datos que pueden ser aprovechados y utilizados por una compañía. La diferencia radica en cómo se procesa esa información.

Porque, si bien trabajan con herramientas automáticas, también se precisa de profesionales que analicen esos datos, que cuenten con conocimientos específicos particulares y experiencia validada. Por eso el MDR no es una tecnología como EDR o XDR, sino que es la perspectiva de la seguridad como servicio: el managed detection and response hace referencia a la gestión humana de las herramientas de detección y respuesta de amenazas.

Integrar estas herramientas desde una perspectiva de servicio significa que el cliente no tendrá que aprender a utilizar las herramientas EDR o XDR sino que integra equipos de proveedores experimentados de seguridad para mejorar los resultados de las estrategias y los programas utilizados. 

Los equipos o profesionales que lleven a cabo la gestión de detección y respuesta, o MDR, deben cumplir esta actividades: 

  • Monitoreo continuo.
  • Detección, seguimiento y detección de amenazas.
  • Jerarquización de amenazas y alertas, definición de protocolos de respuesta.
  • Investigación y seguimiento de las vías de las amenazas.
  • Respuestas, disminución de riesgos y remediación de amenazas administrada de forma combinada manual y automáticamente. 

Te puede interesar: ¿Cuál es el rol del CISO en una empresa?

XDR vs EDR vs MDR

Similares pero apuntando a aspectos diferentes, las diferencias entre XDR, EDR y MDR tienen que ser tenidas en cuenta de forma comparativa para poder desarrollar integraciones para aplicar sus opciones de ciberseguridad.

Veamos desde una perspectiva de comparación como podemos pensar el EDR, el MDR y el XDR.

Aplicaciones

El EDR supervisa los endpoints en busca de amenazas que han superado los antivirus y técnicas preventivas básicas. El MDR trabaja sobre el EDR como servicio, y administra humanamente el monitoreo. El XDR propone una solución de ciberseguridad que integra diferentes herramientas de seguridad.

Componentes

El EDR monitorea los endpoint en tiempo real, realiza análisis de comportamiento, trabaja con una base de datos de amenazas y gráficos, genera respuesta de contención y recomendaciones de mitigación de daños. 

El MDR integra estos componentes con servicios administrados que incluyen el seguimiento de amenazas humanas, la gestión de servicios de investigación, los protocolos de respuesta y la jerarquización de amenazas y alertas.

El XDR, por su parte, integra las características del EDR y les incorpora el análisis autónomo, la respuestas y la persecución de amenazas, la gestión basada en la nube, la generación de resúmenes y protocolos de detección respuesta persecusión de calidad avanzada. 

Métodos y herramientas

Las soluciones EDR se basan en softwares específicos y las MDR en protocolos definidos por los equipos. Las plataformas XDR pueden incorporar herramientas como:

  • Análisis de red y visibilidad (NAV)
  • Cortafuegos de última generación
  • Seguridad del correo electrónico
  • Gestión de identidad y acceso (IAM)
  • Plataforma de protección de cargas de trabajo en la nube (CWPP)
  • Agente de seguridad de acceso a la nube (CASB)
  • Prevención de pérdida de datos (DLP)

Detección de amenazas

¿Cuáles son las amenazas que cada uno de los EDR, MDR y XDR detecta principalmente?

Ya sabemos que el EDR trabaja específicamente en los endpoints, mientras que el XDR y el trabajo de MDR pueden trabajar sobre todos los puntos finales de conexión, los activos de red, las cargas de trabajo en la nube, los sistemas de mensajería, los códigos y los datos de una infraestructura informática. 

Protección

¿Cuál es el nivel de protección que cada uno de estos entrega? Claro que dependerá de la implementación y los componentes elegidos, pero a nivel general podemos pensar en distintos niveles de protección ofrecidos por el EDR, el MDR y el XDR.

Las herramientas EDR son componentes básicos para el diseño de estrategias de ciberseguridad para las empresas, que no aseguran la seguridad máxima pero son necesarias para partir desde ellas. 

La expansión del XDR proporciona un nivel de seguridad más alto y la integración de sus herramientas elimina las brechas y reduce las amenazas que pueden poner en riesgo un sistema,

Combinar estas dos herramientas con la gestión de MDR es la forma idónea para alcanzar los más altos niveles de seguridad y aprovechar al máximo las ofertas de EDR y XDR.

¡Eso es todo por hoy! Te queremos ofrecer una cosa más: ahora reconocemos la diferencia entre EDR, MDR y XDR, pero también sabes que la mejor manera de utilizarlos es combinándolos.

Desde Brotek ofrecemos un gran XDR: Cisco Secure Endpoint: esta herramienta nativa de la nube ha mejorado la respuesta y la recuperación de las empresas que utilizan, reduciendo los tiempos de corrección hasta en un 85%. 

Los activos informáticos se han vuelto de lo más importante para las compañías: guardamos en la nube toda la información necesaria para correr un negocio, los peligros son muchos y es necesario estar protegido. Definir y trabajar una buena estrategia de ciberseguridad es fundamental para todas las empresas.

¡Nosotros te queremos ayudar a que lo logres! No dudes en contactarnos para trabajar codo a codo con nuestros expertos de seguridad informática y llevar tus defensas acorde a los más altos estándares.

¿Qué esperas para dominar los peligros digitales?

Te gustaria conocer mas sobre Ciberseguridad

Suscribite a nuestro newsletter

Subscription Form (#7)