Telefono: +57 320 3452404 | Email: paula.alba@vpj.com.co - ventas@vpj.com.co
La falsa idea de que “somos una empresa demasiado pequeña para ser un objetivo” se está volviendo menos común en la actualidad. Los numerosos ataques a la cadena de suministro en los últimos años han demostrado que no es necesario ser el objetivo final de los atacantes para enfrentar un ataque sofisticado: solo necesitas tener un cliente o partner importante, o simplemente una amplia base de clientes. Es por eso por lo que muchas pequeñas y medianas empresas (SMB) han adoptado las soluciones EDR desde hace mucho tiempo. Afortunadamente, el mercado ofrece productos de EDR modernos que son accesibles incluso para las pequeñas empresas y que no son particularmente difíciles de administrar.
Pero ¿la tecnología de EDR es suficiente para cubrir tus necesidades, o es hora de considerar usar XDR? Para responder a eso, debes hacerte cuatro preguntas más.
¿Tu equipo de ciberseguridad tiene la capacidad para enfrentar el volumen de alertas?
Cualquier miembro del personal de ciberseguridad que utilice una consola de EDR tiene que procesar una enorme cantidad de alertas de endpoint. Un solo incidente puede activar cientos de alertas similares; por ejemplo, cuando se detecta el mismo archivo malicioso en cien endpoints diferentes. Cada una de estas alertas consume el tiempo y la atención del especialista en ciberseguridad. Este trabajo repetitivo y agotador es una de las principales causas del agotamiento del equipo de seguridad.
Con Kaspersky Next XDR Optimum, las alertas relacionadas se agrupan, lo que permite a los operadores ver instantáneamente una imagen más completa del incidente. Las acciones de respuesta también se pueden aplicar a todas las alertas similares con un solo clic, en lugar de ocuparse de ellas una por una. Esto reduce la carga de trabajo del equipo y reduce significativamente el tiempo de respuesta ante incidentes.
¿Tus expertos tienen tiempo suficiente para investigar incidentes?
Imaginemos que tu solución de EDR detecta actividad maliciosa en una de tus estaciones de trabajo. La respuesta lógica de un operador de EDR es aislar el dispositivo e investigarlo a fondo. Pero esto lleva tiempo y, en el caso de un incidente grave, el tiempo es lo único que no tienes. En primer lugar, es posible que no esté claro de inmediato en qué etapa se detectó el ataque. Es posible que los atacantes ya hayan obtenido acceso a otros endpoints. En segundo lugar, una gran cantidad de los ataques en la actualidad ocurren debido a credenciales corporativas vulneradas. El operador no puede saber si un miembro del personal abrió sin querer un archivo adjunto de correo electrónico malicioso, o si un extraño inició sesión como esa persona para atacar la infraestructura. Y si es esto último, podría intentar obtener acceso con el mismo nombre de usuario y contraseña en otro lugar.
Next XDR Optimum te permite bloquear usuarios directamente en Active Directory desde la tarjeta de alerta. Esto ayuda a contener el ataque, limitar el daño potencial y ganar un tiempo valioso para realizar una investigación más exhaustiva.
¿Tu equipo de ciberseguridad tiene suficiente contexto al momento de responder a las amenazas?
Una alerta de EDR le dice al operador que se ha detectado un archivo malicioso en una estación de trabajo para que pueda comenzar a tomar acciones defensivas. Pero a veces eso no es suficiente. Un archivo malicioso puede ser solo una parte de un ataque más grande que requeriría una investigación más profunda para detectarlo y contrarrestarlo.
Next XDR Optimum brinda a los operadores acceso a Kaspersky Cloud Sandbox, donde los archivos sospechosos se pueden cargar en un entorno de nube aislado y analizar de forma segura para ver lo que realmente hacen. El sistema permite crear un indicador de compromiso, lo que permite realizar un análisis rápido de la infraestructura en busca de la misma amenaza en otros endpoints.
¿Tu personal es lo suficientemente consciente de las ciberamenazas?
Volviendo al problema de la sobrecarga de alertas: los especialistas en ciberseguridad que trabajan con un sistema EDR mientras investigan un incidente a veces encuentran que la causa de la alerta fue un error humano: alguien abrió un archivo adjunto malicioso en un correo electrónico o entró a un enlace a una página web de phishing. Está demostrado que la concienciación del personal reduce significativamente la carga de trabajo en los equipos de ciberseguridad en general y el volumen de alertas en particular. Para ello, un programa educativo bien diseñado es más eficaz que las charlas y los recordatorios ocasionales.
Este beneficio no está directamente relacionado con la funcionalidad de XDR; sin embargo, cada licencia de Kaspersky Next XDR Optimum incluye formación específica de Kaspersky Security Awareness para el personal con más probabilidades de causar incidentes de alto impacto (ejecutivos, miembros de equipos de finanzas, usuarios con privilegios y cualquier persona que haya sido víctima de la ingeniería social). Pero lo más importante es que Next XDR Optimum permite al especialista en ciberseguridad asignar un curso relevante a un usuario directamente desde la tarjeta de alerta, sin interrumpir la respuesta al incidente. Está demostrado que las lecciones aprendidas inmediatamente después de un fallo que causó un incidente son particularmente memorables y útiles y, por lo tanto, ayudan a evitar que se vuelva a cometer el mismo error en el futuro.
Si tu equipo de ciberseguridad se siente abrumado por las alertas o necesita más herramientas de administración y contexto de amenazas, vale la pena considerar pasarse a Kaspersky XDR Optimum. La migración de Kaspersky EDR Optimum a XDR Optimum no requiere recursos adicionales para la implementación o la formación del personal. Y el ligero aumento de los costes se ve superado con creces por la gran mejora en la seguridad de la infraestructura de tu empresa.
