Cisco subió al escenario en RSA 2023 para promocionar la detección y respuesta extendidas como clave para una plataforma de seguridad unificada entre dominios, además de las nuevas características de Duo MFA.
El primer día de RSA 2023 estableció lo que probablemente sea el tono temático de la semana en el evento: las plataformas con telemetría entre dominios al servicio de la seguridad serán la tecnología innovadora. La conferencia RSA 2023 se lleva a cabo del 24 al 27 de abril en San Francisco.
Durante un discurso de apertura el lunes, Jeetu Patel, vicepresidente ejecutivo y gerente general de seguridad y colaboración de Cisco, y Tom Gillis, vicepresidente senior y gerente general de seguridad, explicaron cómo y por qué estas plataformas impulsarán las funciones del centro de operaciones de seguridad.
Descubra por qué la detección y la respuesta ampliadas estuvieron en el centro de las actividades de lanzamiento de Cisco en RSA, incluido el anuncio de la empresa sobre su servicio XDR basado en la nube.
Salta a:
El foco de atención de Cisco en XDR en RSA
Patel dijo que la telemetría entre dominios, que es la capacidad de rastrear un exploit casi en tiempo real a medida que se mueve a través de los dominios de una empresa, requiere una plataforma integrada de extremo a extremo porque con defensas aisladas, “es demasiado difícil detectar ataques que de alguna manera se desvían del comportamiento normal”, dijo. Patel explicó que una plataforma puede ver qué paquetes atraviesan las redes. El mejor ejemplo de esto, dijo, es XDR.
“XDR va a ser la comidilla del programa”, dijo Gillis. “Será difícil encontrar un proveedor que no cuente esa historia”.
Dijo que a medida que se vuelve cada vez más claro que los atacantes se están volviendo buenos en el comportamiento de los usuarios y las aplicaciones, mirar un dominio o incidente significa que “solo está obteniendo la mitad de la imagen”. En esencia, explicó Patel, XDR confiere la capacidad de ver datos de alta fidelidad en todas partes, ya sea del correo electrónico o de una explotación de PowerShell.
XDR no es SIEM
Gillis explicó que XDR tiene un propósito diferente al de la información de seguridad tradicional y la gestión de eventos. Dijo que, si bien los SIEM están diseñados para registrar eventos agregados durante días o incluso meses, XDR está cerca de la telemetría en tiempo real. Además, mientras los SIEM analizan los datos de resumen, XDR busca los datos de mayor fidelidad, “cada mensaje, clic, proceso y paquete”, dijo Gillis. “La industria se da cuenta de que necesitamos más resolución de eventos que datos de registro”.
Dijo que confiar en los datos SIEM o en el análisis de un solo dominio no proporciona visibilidad ni correlación en el correo electrónico, la web, el punto final y la red.
“Y esa última, la red, es probablemente una de las herramientas de defensa más ignoradas”, dijo Gillis.
VER: Obtenga más información sobre XDR en este artículo de TechRepublic de Forrester Research.
Anuncios de seguridad basados en la plataforma sobre XDR y Duo
Gillis promocionó la plataforma versus los enfoques de seguridad de múltiples proveedores con esta analogía: si va a una gran tienda y compra lo que cree que es un sistema de parrilla para el hogar, y abre la caja solo para descubrir 1,000 piezas y sin manual, no lo hizo. No obtenga lo que pagó. Quiere que la parrilla esté construida, integrada y operativa. Dijo que, de manera similar, un enfoque de plataforma para la seguridad permite un marco único y funcional. “Una plataforma no es una bolsa de piezas, sino un sistema con componentes individuales ensamblados de manera coherente”.
Los anuncios centrados en la plataforma de la compañía incluyeron lo siguiente:
- Cisco XDR ahora está en versión beta, con disponibilidad general en julio. Está diseñado para simplificar la investigación de incidentes y acelerar los tiempos de respuesta del centro de operaciones de seguridad.
- Para protegerse contra los ataques de autenticación multifactor, Cisco ofrece funciones avanzadas en todas las ediciones de su plataforma Duo MFA.
- A partir del próximo mes, Cisco incorporará Trusted Endpoints en todas las ediciones pagas de Duo; actualmente solo está disponible en el nivel más alto de Duo. Según Cisco, Trusted Endpoints permite que solo los dispositivos registrados o administrados accedan a los recursos.
Cisco XDR: una solución llave en mano que funciona bien con terceros
Cisco llama al servicio XDR basado en la nube una solución llave en mano basada en el riesgo que aplica análisis para priorizar las detecciones. La compañía declaró que XDR “… mueve el enfoque de investigaciones interminables a remediar los incidentes de mayor prioridad con automatización basada en evidencia”.
Según Cisco, el servicio de seguridad analiza seis fuentes de telemetría que, según los operadores de SOC, son críticas para una solución XDR: terminal, red, firewall, correo electrónico, identidad y DNS.
Cisco afirma que XDR se integra con los principales proveedores externos para “compartir la telemetría, aumentar la interoperabilidad y ofrecer resultados consistentes independientemente del proveedor o la tecnología”. Estos proveedores incluyen lo siguiente:
- Para la detección y respuesta de puntos finales: CrowdStrike Falcon Insight XDR, Cybereason Endpoint Detection and Response, Microsoft Defender para Endpoint, Palo Alto Networks Cortex XDR, SentinelOne Singularity XDR y Trend Micro Vision One.
- Para la defensa contra amenazas de correo electrónico: Microsoft Defender para Office 365 y Proofpoint Email Protection.
- Para cortafuegos: Check Point Quantum Network Security y cortafuegos de próxima generación de Palo Alto Networks.
- Para detección y respuesta de red: Darktrace DETECT, Darktrace RESPOND y Darktrace ExtraHop Reveal(x).
- Para SIEM: Centinela de Microsoft.
