Documentos de Académico
Documentos de Profesional
Documentos de Cultura
su inversión en detección
y respuesta
Reduzca los costes en un 44 % consolidando herramientas y optimizando operaciones
Un programa de operaciones de seguridad eficaz pasa en primer lugar por elegir las
herramientas de detección y respuesta adecuadas. Con ellas, los equipos de seguridad
pueden detectar, investigar y contener rápidamente las amenazas.
Para proteger sus activos digitales, muchos equipos de seguridad se ven obligados a
aprovisionar diversas herramientas de detección y respuesta sin conexión entre sí. Aunque
estas herramientas tienen sentido individualmente, al ser productos desconectados entre sí,
los analistas de seguridad necesitan ir consultando diferentes
consolas para hacerse una idea exacta del contexto al revisar las Cortex XDR
alertas, algo que ralentiza la respuesta a los incidentes. Asimismo, • Detiene los ataques de
malware, ransomware y sin
estas herramientas obligan a las organizaciones a implementar y archivo gracias a la protección
mantener un conjunto cada vez mayor de agentes de software, integrada del endpoint.
sensores de red y servidores de logs locales, con la consiguiente • Detecta amenazas descono
cidas difíciles de encon
sobrecarga de trabajo para los equipos de TI. trar gracias al aprendizaje
automático.
Los productos de seguridad aislados añaden complejidad y resultan • Acelera las investigaciones
para mejorar los tiempos
deficientes en materia de seguridad. Para detener las amenazas de respuesta en caso de
sofisticadas, los equipos de seguridad deberían plantearse utilizar incidente.
Cortex XDR™, la primera aplicación de detección y respuesta del • Contiene amenazas que
podrían dar lugar a costosas
mundo que integra de forma nativa los datos de la red, los endpoints brechas de datos.
y la nube. Cortex XDR reduce el tiempo medio para contener las
amenazas, mejora la productividad de los analistas y aumenta la
eficiencia operativa.
Este documento demuestra cómo una empresa de 10 000 usuarios puede proteger su
negocio contra costosos incidentes y ahorrar un 44 % (889 284 dólares de media) utilizando
Cortex XDR en lugar de herramientas de detección y respuesta sin conexión entre sí.
Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 1
Las amenazas sigilosas requieren una nueva estrategia de seguridad
Los atacantes desarrollan continuamente nuevas tácticas para sortear los sistemas de defensa. Roban credenciales suplantando a usuarios legítimos para
pasar inadvertidos. Emplean la técnica de «vivir de la tierra», ya que para cometer los ataques utilizan aplicaciones que ya están instaladas en los endpoints.
Para infiltrarse en las organizaciones, incluso se valen de conexiones VPN y aplicaciones para compartir escritorio legítimas.
Para detener las amenazas activas, como por ejemplo atacantes que se desplazan lateralmente o personal malintencionado que intenta robar datos,
los equipos de seguridad necesitan herramientas capaces de identificar fácilmente las amenazas desconocidas y, al mismo tiempo, simplificar la
investigación y la contención de esas amenazas. Normalmente, esto obliga a implementar y gestionar varias herramientas desconectadas entre sí:
• La detección y respuesta en el endpoint (EDR, por sus siglas en inglés) registra la actividad de los endpoints en los dispositivos gestionados
para detectar posibles amenazas, proporcionar contexto para las investigaciones y adoptar las medidas manuales oportunas.
• El análisis del tráfico de red (NTA, por sus siglas en inglés) supervisa el tráfico de red y detecta anomalías de comportamiento que son
indicativas de ataques activos, como por ejemplo la actividad de comando y control, el movimiento lateral, la exfiltración de datos y el
malware.
• El análisis del comportamiento de entidades y usuarios (UEBA, por sus siglas en inglés) crea perfiles de los comportamientos de los usuarios y
entidades (dispositivos) para detectar amenazas tales como el abuso de la información privilegiada y los ataques basados en credenciales.
Estas tres tecnologías, entre otras, son las que se deben implementar «para mejorar la priorización, la visibilidad, la detección de amenazas y las
funciones de respuesta a incidentes», según el informe de la empresa de consultoría Gartner.1 Sin embargo, estas herramientas por separado
ofrecen una visión parcial limitada a una sola fuente de datos, lo que obliga a los analistas a correlacionar manualmente los datos de diversas
herramientas, además de precisar un alto grado de especialización.
Y, por si fuera poco, las organizaciones que desean utilizar las funcionalidades de EDR, NTA y UEBA normalmente deben gestionar una gran
cantidad de sensores de red, agentes de endpoints y servidores de logs específicos.
1. «How to Plan, Design, Operate and Evolve a SOC» (en inglés), Gartner, 6 de septiembre de 2018, https://www.gartner.com/en/
documents/3889122/how-to-plan-design-operate-and-evolve-a-soc.
2. «2018 Cost of a Data Breach Study: Global Overview» (en inglés), Ponemon Institute, julio de 2018, https://www.ibm.com/downloads/
cas/861MNWN2.
3. «The 18 biggest data breaches of the 21st century» (en inglés), CSO Online, 20 de diciembre de 2018, https://www.csoonline.com/
article/2130877/the-biggest-data-breaches-of-the-21st-century.html.
Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 2
Coste total de propiedad de Cortex XDR en comparación con las herramientas desconectadas entre sí
La estimación del coste total de propiedad se basa en una empresa media de 10 000 usuarios, tal como se muestra en las
figuras 2 y 3.
4. Basado en un salario medio de 79 738 dólares con un 135 % de gastos indirectos en impuestos, prestaciones sociales, bonificaciones y gastos de oficina. Infor
mación salarial extraída de Glassdoor.com el 20 de junio de 2019.
5. Basado en un salario medio de 60 642 dólares anuales con un 135 % de gastos indirectos en impuestos, prestaciones sociales, bonificaciones y gastos de oficina.
Información salarial extraída de Glassdoor.com el 20 de junio de 2019.
6. Cortex XDR incluye el análisis del tráfico de red, pero los clientes deben recopilar los logs de tráfico de la red, lo cual aumenta las necesidades de almacenamiento
y, por tanto, de los costes de suscripción.
7. Las herramientas independientes reducen la productividad, requieren más personal y aumentan los gastos de clasificación, priorización e investigación de alertas.
8. Cortex XDR incluye casi 200 reglas indicadoras conductuales de riesgos (BIOC, por sus siglas en inglés) predefinidas, así como algoritmos de detección de análisis
listos para usar. El análisis de métricas anónimas basadas en la nube facilita el desarrollo de reglas predefinidas como parte de las actualizaciones de productos, lo
que reduce los costes de ajuste de las políticas.
9. Las herramientas independientes conllevan un gasto extra para administrar y mantener agentes EPP y EDR separados; sensores NTA; y servidores de almace
namiento, análisis y administración de logs en las propias instalaciones.
10. Con un sistema de gestión centralizado como Panorama, Cortex Data Lake elimina la necesidad de almacenar todos los logs en un dispositivo dedicado.
Panorama se puede integrar en Cortex Data Lake para visualizar los logs de los cortafuegos en la interfaz de usuario de Panorama.
Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 3
Metodología
Los cálculos de los costes operativos se basan en entrevistas rigurosas realizadas a responsables y ejecutivos de TI y seguridad. El
ahorro de costes se atribuye a: la automatización; la agrupación dinámica de datos de la red, los endpoints y la nube; la integración de
reglas y respuestas listas para usar; la eliminación de la recopilación y gestión de logs en las propias instalaciones; y la consolidación de
sensores y puntos de aplicación con herramientas de prevención. Además, hay que tener en cuenta dos aspectos importantes:
• Los precios de catálogo de las herramientas de seguridad independientes varían según el proveedor.
• Los proveedores de seguridad, como Palo Alto Networks, pueden aplicar descuentos en sus precios de catálogo.
Oval Tower © 2019 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial
De Entrée 99 - 197 registrada de Palo Alto Networks. Hay una lista de nuestras marcas comercia-
1101HE Ámsterdam les disponible en https://www.paloaltonetworks.com/company/trademarks.
Países Bajos html. El resto de las marcas mencionadas en este documento pueden ser
Tel.: +31 20 888 1883 marcas comerciales de sus respectivas empresas.
maximize-the-roi-of-detection-and-response-wp-091119-es
www.paloaltonetworks.es