¿Qué es XDR?

La tecnología XDR es la evolución natural de las soluciones antivirus para poder detectar y responder a aquellas amenazas donde un antivirus no es suficiente. En la actualidad los antivirus están limitados a sus bases de conocimiento para detectar un malware, pero no pueden detectar si un virus infecta tu entorno y este no ha sido catalogado por la solución antivirus, o si la amenaza es más allá de un malware (por ejemplo: insiders, ciberdelincuentes u otros actores maliciosos), donde es necesario analizar no un binario, sino un comportamiento completo.

La tecnología XDR se instala en los endpoints (y en otras fuentes de registro de actividad en la red, como por ejemplo en los cortafuegos) para recopilar todos los registros de actividad y enviarla a una plataforma centralizada, donde se convierte en telemetría, que es analizada por el XDR para identificar si corresponde a una amenaza o no.

Hay que puntualizar que XDR es la extensión directa de la tecnología EDR. La diferencia entre ambas es que las capacidades de un XDR se amplían más allá de los endpoints para enriquecer en mayor medida tanto la telemetría que recopila como las capacidades de responder ante amenazas.

La gestión de por parte de un tercero de la solución XDR se denomina MDR (managed detection and response). Un servicio MDR puede incluir la búsqueda proactiva de incidentes de seguridad, que se denomina Threat Hunting.