¿Qué es MDR?
MDR (Managed detection and response) es un servicio de detección y respuesta ante incidentes de seguridad en empresas, y que generalmente hace uso de la información recopilada en el endpoint (puesto de trabajo, servidores y red) a través de software EDR y XDR.
La tecnología EDR/XDR es capaz de detectar y responder contra amenazas de manera independiente. Sin embargo, la mayoría de éstas amenazas requieren de un contexto y de un conocimiento que un EDR/XDR no dispone. En otras palabras, el uso de tecnología EDR/XDR sin una correcta gestión de la misma, puede dar una falsa sensación de seguridad.
Los servicios de gestión de EDR/XDR responden a esta necesidad de disponer de todo el potencial del EDR/XDR en nuestra organización, siendo operado por analistas expertos en amenazas, que hacen uso de estas soluciones para buscar potenciales compromisos en la telemetría que los endpoints generan cada minuto, a través del Threat Hunting.
Un buen servicio MDR debe estar siempre en continua actualización de su conocimiento de los adversarios y las amenazas presentes en la actualidad. Por ello sus analistas realizan constantemente labores de investigación sobre el estado del arte de la ciberseguridad para identificar nuevas reglas de Hunting que ayuden a identificar compromisos en los entornos.
Servicios de ciberseguridad relacionados con MDR
Threat Hunting: Servicio gestionado que se centra en la detección proactiva de actividad sospechosa y la contención de amenazas en la red, mediante el uso de telemetría generada por la tecnología EDR y XDR, y siguiendo la metodología definida en el marco MITRE ATT&CK.
- Más Información: Threat Hunting
Incident response: Es un servicio gestionado reactivo de respuesta ante incidentes. Este servicio entra en funcionamiento cuando hay un incidente de seguridad y tiene como objetivo identificar y contener un actor malicioso y recuperar la actividad.
- Más información: Incident Response