Rentabilice al máximo

su inversión en detección
y respuesta
Reduzca los costes en un 44 % consolidando herramientas y optimizando operaciones

Un programa de operaciones de seguridad eficaz pasa en primer lugar por elegir las
herramientas de detección y respuesta adecuadas. Con ellas, los equipos de seguridad
pueden detectar, investigar y contener rápidamente las amenazas.

Para proteger sus activos digitales, muchos equipos de seguridad se ven obligados a
aprovisionar diversas herramientas de detección y respuesta sin conexión entre sí. Aunque
estas herramientas tienen sentido individualmente, al ser productos desconectados entre sí,
los analistas de seguridad necesitan ir consultando diferentes
consolas para hacerse una idea exacta del contexto al revisar las Cortex XDR
alertas, algo que ralentiza la respuesta a los incidentes. Asimismo, • Detiene los ataques de
malware, ransomware y sin
estas herramientas obligan a las organizaciones a implementar y archivo gracias a la protección
mantener un conjunto cada vez mayor de agentes de software, integrada del endpoint.

sensores de red y servidores de logs locales, con la consiguiente • Detecta amenazas descono­
cidas difíciles de encon­
sobrecarga de trabajo para los equipos de TI. trar gracias al aprendizaje
automático.
Los productos de seguridad aislados añaden complejidad y resultan • Acelera las investigaciones
para mejorar los tiempos
deficientes en materia de seguridad. Para detener las amenazas de respuesta en caso de
sofisticadas, los equipos de seguridad deberían plantearse utilizar incidente.
Cortex XDR™, la primera aplicación de detección y respuesta del • Contiene amenazas que
podrían dar lugar a costosas
mundo que integra de forma nativa los datos de la red, los endpoints brechas de datos.
y la nube. Cortex XDR reduce el tiempo medio para contener las
amenazas, mejora la productividad de los analistas y aumenta la
eficiencia operativa.

Este documento demuestra cómo una empresa de 10 000 usuarios puede proteger su
negocio contra costosos incidentes y ahorrar un 44 % (889 284 dólares de media) utilizando
Cortex XDR en lugar de herramientas de detección y respuesta sin conexión entre sí.

Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 1
Las amenazas sigilosas requieren una nueva estrategia de seguridad
Los atacantes desarrollan continuamente nuevas tácticas para sortear los sistemas de defensa. Roban credenciales suplantando a usuarios legítimos para
pasar inadvertidos. Emplean la técnica de «vivir de la tierra», ya que para cometer los ataques utilizan aplicaciones que ya están instaladas en los endpoints.
Para infiltrarse en las organizaciones, incluso se valen de conexiones VPN y aplicaciones para compartir escritorio legítimas.
Para detener las amenazas activas, como por ejemplo atacantes que se desplazan lateralmente o personal malintencionado que intenta robar datos,
los equipos de seguridad necesitan herramientas capaces de identificar fácilmente las amenazas desconocidas y, al mismo tiempo, simplificar la
investigación y la contención de esas amenazas. Normalmente, esto obliga a implementar y gestionar varias herramientas desconectadas entre sí:
• La detección y respuesta en el endpoint (EDR, por sus siglas en inglés) registra la actividad de los endpoints en los dispositivos gestionados
para detectar posibles amenazas, proporcionar contexto para las investigaciones y adoptar las medidas manuales oportunas.
• El análisis del tráfico de red (NTA, por sus siglas en inglés) supervisa el tráfico de red y detecta anomalías de comportamiento que son
indicativas de ataques activos, como por ejemplo la actividad de comando y control, el movimiento lateral, la exfiltración de datos y el
malware.
• El análisis del comportamiento de entidades y usuarios (UEBA, por sus siglas en inglés) crea perfiles de los comportamientos de los usuarios y
entidades (dispositivos) para detectar amenazas tales como el abuso de la información privilegiada y los ataques basados en credenciales.
Estas tres tecnologías, entre otras, son las que se deben implementar «para mejorar la priorización, la visibilidad, la detección de amenazas y las
funciones de respuesta a incidentes», según el informe de la empresa de consultoría Gartner.1 Sin embargo, estas herramientas por separado
ofrecen una visión parcial limitada a una sola fuente de datos, lo que obliga a los analistas a correlacionar manualmente los datos de diversas
herramientas, además de precisar un alto grado de especialización.
Y, por si fuera poco, las organizaciones que desean utilizar las funcionalidades de EDR, NTA y UEBA normalmente deben gestionar una gran
cantidad de sensores de red, agentes de endpoints y servidores de logs específicos.

Rompa los silos de detección y respuesta

Cortex XDR es la primera aplicación de detección y respuesta basada en la nube del mundo que integra de forma nativa los datos de la red, los
endpoints y la nube para detener los ataques sofisticados. Al combinar las funcionalidades de EDR, NTA y UEBA, Cortex XDR proporciona una
protección completa, simplifica las operaciones y permite a los equipos de seguridad tener una mayor visibilidad sobre toda la empresa sin contraer
el síndrome de la «silla giratoria». Cortex XDR:
• Utiliza Cortex Data Lake, un repositorio de datos escalable basado en la nube, para agrupar automáticamente los datos de la red, los endpoints
y la nube.
• Detecta automáticamente amenazas desconocidas y altamente evasivas mediante análisis de comportamiento y reglas personalizables.
Los modelos de aprendizaje automático analizan infinidad de datos almacenados en Cortex Data Lake para descubrir las amenazas con una
precisión inigualable.
• Acelera las investigaciones al revelar la causa original y la cronología del incidente, lo que permite a cualquier analista verificar rápidamente las
amenazas, sea experto o no.

Varios modelos de detección y respuesta

Para las organizaciones, cada brecha en los datos representa un coste medio de 7,91 millones de dólares en Estados Unidos y de 3,86 millones de
dólares en todo el mundo.2 La cifra se eleva a 100 millones de dólares o más en el caso de las brechas de datos a gran escala.3 Es incuestionable
que las organizaciones necesitan invertir en herramientas de detección y respuesta, pese a que muchas de ellas solo ofrecen funciones limitadas
(véase la figura 1). Para igualar la funcionalidad de Cortex XDR, una organización necesitaría adquirir, implementar y administrar varios productos
desconectados entre sí.

Funciones XDR* EDR EPP NTA UEBA

Detección, investigación y respuesta basadas
en endpoints

Prevención de malware, exploits y ataques basada

en endpoints

Detección, investigación y respuesta basadas en la red

Análisis del comportamiento de los usuarios, detección

y respuesta
Agrupación automatizada de datos de la red, los
endpoints y la nube para mejorar la detección y
simplificar las investigaciones
* Cortex XDR, Cortex Data Lake y Traps

Figura 1: Funciones de las principales herramientas de seguridad

1. «How to Plan, Design, Operate and Evolve a SOC» (en inglés), Gartner, 6 de septiembre de 2018, https://www.gartner.com/en/
documents/3889122/how-to-plan-design-operate-and-evolve-a-soc.
2. «2018 Cost of a Data Breach Study: Global Overview» (en inglés), Ponemon Institute, julio de 2018, https://www.ibm.com/downloads/
cas/861MNWN2.
3. «The 18 biggest data breaches of the 21st century» (en inglés), CSO Online, 20 de diciembre de 2018, https://www.csoonline.com/
article/2130877/the-biggest-data-breaches-of-the-21st-century.html.

Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 2
Coste total de propiedad de Cortex XDR en comparación con las herramientas desconectadas entre sí
La estimación del coste total de propiedad se basa en una empresa media de 10 000 usuarios, tal como se muestra en las
figuras 2 y 3.

Número total de usuarios 10 000

Número total de dispositivos gestionados
25 000
y no gestionados
Cortafuegos actuales Cortafuegos de nueva generación de Palo Alto Networks
Gestión actual de los cortafuegos Dispositivos Panorama™
Antivirus actual Agente antivirus obsoleto
• Reemplazar el antivirus
• Reducir el tiempo medio de respuesta (MTTR, por sus siglas en inglés) en un 50 %
Objetivos del proyecto
• Mejorar la visibilidad de todos los dispositivos gestionados y no gestionados
• Almacenar los logs de Panorama durante 30 días

Coste de un analista de ciberseguridad 107 600 dólares/año4

Coste de un administrador de TI 81 866 dólares/año5

Figura 2: Organización de ejemplo

Función Plataforma de Palo Alto Networks Herramientas de seguridad por separado

Detección y respuesta en el endpoint (EDR)
y protección del endpoint (EPP, por sus
siglas en inglés)
Análisis del tráfico de red6
Análisis de comportamiento de los usuarios
y entidades
Clasificación y priorización de alertas, y
gastos generales de investigación
Creación y ajuste de políticas de alertas
para los centros de operaciones de
seguridad
Costes de funcionamiento de servidores de
software, hardware y de logs
Recopilación de logs de la red
Almacenamiento de logs para la gestión de
la seguridad de la red
Coste total de propiedad
(precio de catálogo)
337 500 dólares/año para Cortex XDR
y Traps con retención de los datos de los
endpoints durante 30 días
246 375 dólares/año para Cortex XDR
con retención de los datos de la red durante
30 días
0 dólares; incluido en Cortex XDR
215 200 dólares/año para 2 analistas de
ciberseguridad
53 800 dólares/año para 0,5 analistas de
ciberseguridad
122 799 dólares/año para 1,5 administra­
dores de TI y de sistemas de escritorio
Con Cortex
173 000 dólares/año para Cortex Data Lake,
incluida la asistencia técnica
1 148 674 dólares/año
(precio de catálogo)
450 000 dólares/año para agentes
EPP y EDR separados con 30 días de
almacenamiento
425 000 dólares/año para dispositivos NTA
y terminales de acceso o generadores de
flujo
250 000 dólares/año para el análisis UEBA
o la suscripción para el sistema SIEM
opcionales
376 660 dólares/año para 3,5 analistas7
107 600 dólares/año para 1 analista de
ciberseguridad8
245 598 dólares al año para 3 administra­
dores de TI y de sistemas de escritorio9
Sin Cortex
133 100 dólares para dispositivos de
recopilación de logs Panorama M-600
redundantes y asistencia técnica prémium10
2 037 958 dólares/año

Figura 3: Coste total de propiedad (precio de catálogo en EE. UU.)

4. Basado en un salario medio de 79 738 dólares con un 135 % de gastos indirectos en impuestos, prestaciones sociales, bonificaciones y gastos de oficina. Infor­
mación salarial extraída de Glassdoor.com el 20 de junio de 2019.

5. Basado en un salario medio de 60 642 dólares anuales con un 135 % de gastos indirectos en impuestos, prestaciones sociales, bonificaciones y gastos de oficina.
Información salarial extraída de Glassdoor.com el 20 de junio de 2019.

6. Cortex XDR incluye el análisis del tráfico de red, pero los clientes deben recopilar los logs de tráfico de la red, lo cual aumenta las necesidades de almacenamiento
y, por tanto, de los costes de suscripción.

7. Las herramientas independientes reducen la productividad, requieren más personal y aumentan los gastos de clasificación, priorización e investigación de alertas.

8. Cortex XDR incluye casi 200 reglas indicadoras conductuales de riesgos (BIOC, por sus siglas en inglés) predefinidas, así como algoritmos de detección de análisis
listos para usar. El análisis de métricas anónimas basadas en la nube facilita el desarrollo de reglas predefinidas como parte de las actualizaciones de productos, lo
que reduce los costes de ajuste de las políticas.

9. Las herramientas independientes conllevan un gasto extra para administrar y mantener agentes EPP y EDR separados; sensores NTA; y servidores de almace­
namiento, análisis y administración de logs en las propias instalaciones.

10. Con un sistema de gestión centralizado como Panorama, Cortex Data Lake elimina la necesidad de almacenar todos los logs en un dispositivo dedicado.
Panorama se puede integrar en Cortex Data Lake para visualizar los logs de los cortafuegos en la interfaz de usuario de Panorama.

Cortex de Palo Alto Networks | Rentabilice al máximo su inversión en detección y respuesta | Informe técnico 3
Metodología
Los cálculos de los costes operativos se basan en entrevistas rigurosas realizadas a responsables y ejecutivos de TI y seguridad. El
ahorro de costes se atribuye a: la automatización; la agrupación dinámica de datos de la red, los endpoints y la nube; la integración de
reglas y respuestas listas para usar; la eliminación de la recopilación y gestión de logs en las propias instalaciones; y la consolidación de
sensores y puntos de aplicación con herramientas de prevención. Además, hay que tener en cuenta dos aspectos importantes:
• Los precios de catálogo de las herramientas de seguridad independientes varían según el proveedor.
• Los proveedores de seguridad, como Palo Alto Networks, pueden aplicar descuentos en sus precios de catálogo.

Reducción del coste total de propiedad con Cortex XDR

Todos los días, los responsables de la seguridad equilibran las estrategias defensivas con la realidad presupuestaria. Para estar preparados
frente a las crecientes amenazas, deben invertir en tecnologías que se adapten rápidamente para aventajar a los atacantes sin necesidad
de implementar más herramientas desconectadas entre sí.
Cortex XDR es la elección inteligente para detener ataques sofisticados, reduciendo al mismo tiempo los costes operativos y evitando el
crecimiento disperso de la red. Cortex XDR:
• Reduce los costes de configuración y mantenimiento. Al ser una aplicación basada en la nube, Cortex XDR evita la necesidad
de aprovisionar recursos adicionales de software, hardware o almacenamiento de logs en las instalaciones, lo que reduce los
gastos de capital y de explotación. Puede utilizar los productos existentes de Palo Alto Networks, como los sensores y los puntos
de aplicación, a fin de agilizar la implementación y la gestión. Los datos de seguridad se almacenan en Cortex Data Lake, un
repositorio de datos escalable y basado en la nube que ofrece una gestión automática.
• Disminuye los costes operativos al simplificar las investigaciones. Cortex XDR agrupa dinámicamente los datos de la red, los
endpoints y la nube, lo que permite a los analistas investigar las alertas sin tener que ir de una consola a otra y realizar análisis
manuales.
• Reduce los costes de búsqueda de las amenazas al automatizar la detección con el aprendizaje automático. Cortex XDR
identifica con precisión las amenazas únicas de cada entorno de cliente creando perfiles de comportamiento de usuarios
y dispositivos, lo que ayuda a no tener que buscar manualmente las tácticas, técnicas y procedimientos de ataque. De los
diez proveedores evaluados con el sistema de control MITRE ATT&CK™, Cortex XDR fue el que exhibió una cobertura más
completa, lo que garantiza a las empresas que puede descubrir automáticamente amenazas encubiertas.
• Evita los elevados costes de ajuste de las políticas y estudios de consultoría. Cortex XDR es una solución de detección de
amenazas lista para usar, con algoritmos de detección de análisis de comportamiento y casi 200 reglas de comportamiento
predefinidas, lo que evita la necesidad de crear políticas de detección. A diferencia de la mayoría de las herramientas de UEBA,
Cortex XDR aporta un valor inmediato sin necesidad de efectuar extensos estudios de consultoría.
Con Cortex XDR, los equipos de seguridad pueden consolidar varios productos de detección y respuesta en una sola plataforma,
migrar la gestión de datos a la nube y reducir los gastos de gestión de logs para reducir el coste total de propiedad de la detección y
respuesta en un 44 %. Cortex XDR es el arma secreta para mejorar los resultados de seguridad y optimizar la eficiencia operativa.

Oval Tower
De Entrée 99 - 197
1101HE Ámsterdam
Países Bajos
Tel.: +31 20 888 1883
www.paloaltonetworks.es
© 2019 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial
registrada de Palo Alto Networks. Hay una lista de nuestras marcas comercia-
les disponible en https://www.paloaltonetworks.com/company/trademarks.
html. El resto de las marcas mencionadas en este documento pueden ser
marcas comerciales de sus respectivas empresas.
maximize-the-roi-of-detection-and-response-wp-091119-es