Por qué los CISO deben mirar más allá del marketing y enfocarse en la calidad de detección
La evolución de la ciberseguridad empresarial ha dado un nuevo paso. El reciente informe de Forrester, The Extended Detection and Response Platforms Landscape, Q4 2023, marca un hito: el mercado de EDR (Endpoint Detection and Response) ha sido oficialmente absorbido por el ecosistema de XDR (Extended Detection and Response). La firma analista ha decidido retirar su tradicional evaluación de proveedores de EDR y centrarse exclusivamente en el mercado XDR.
¿Significa esto que XDR es la solución definitiva para reemplazar tu SIEM? No necesariamente.
XDR: la evolución natural del EDR, pero no el reemplazo total del SIEM
Según Forrester, XDR representa una evolución del EDR que ahora incorpora de forma nativa otras superficies de detección como identidad, correo electrónico, carga en la nube y más. Es una plataforma construida sobre infraestructura de big data, orientada a mejorar la experiencia del analista con capacidades de detección de alta calidad, investigación completa y respuesta rápida.
Sin embargo, esto no significa que todos los problemas que enfrentan hoy los responsables de ciberseguridad con los SIEM desaparezcan al migrar a una plataforma XDR.
El gran error: tratar a XDR como reemplazo de SIEM
Uno de los desafíos actuales es la falsa promesa de algunos proveedores de XDR que buscan posicionarse como una alternativa directa a las plataformas de gestión de información y eventos de seguridad (SIEM). La realidad, como muestra el gráfico de Forrester, es que las capacidades de un SIEM —como la gestión completa de logs, alertas sobre cualquier dato de registro y funciones robustas de reporting— siguen siendo críticas y no siempre están completamente integradas en las plataformas XDR.
Esto deja claro que:
- XDR incluye EDR por defecto, pero no sustituye por completo las funciones avanzadas de un SIEM.
- La experiencia del analista debe estar al centro de la solución, algo que los SIEM tradicionales aún no han logrado resolver del todo y que XDR intenta mejorar.
- Las plataformas híbridas XDR-SIEM enfrentan desafíos operativos, especialmente en la duplicación del almacenamiento de datos o la ingesta desde fuentes externas.
¿Qué deben tener en cuenta los CISO y líderes de seguridad?
La consolidación de herramientas de seguridad no debe implicar sacrificar la calidad de detección o la eficiencia del análisis. Por eso, los líderes deben evaluar los siguientes puntos al considerar XDR:
- Evitar el enfoque híbrido que depende de múltiples integraciones externas. Esto genera complejidad y puede degradar el rendimiento.
- Centrarse en plataformas XDR nativas, que optimicen la detección sobre superficies propias y no sobrecarguen al analista.
- Priorizar plataformas que entiendan al profesional de ciberseguridad, diseñadas para su flujo de trabajo real y no solo desde el discurso comercial.
- Desconfiar de los proveedores que prometen resolver todos los problemas con una única plataforma. Es preferible una solución eficaz que cumpla su propósito específico a una sobrecargada de funciones.
Conclusión: el futuro de la detección no es una etiqueta, es la calidad
La consolidación del mercado XDR marca una nueva etapa en la defensa cibernética. No obstante, aún estamos lejos de una solución que reemplace completamente a los SIEM, especialmente en entornos donde la visibilidad total, la gobernanza del dato y la gestión de logs siguen siendo esenciales.
En palabras de Forrester, el éxito de las plataformas XDR dependerá de su capacidad para evitar los errores del pasado: diseñar para quien hace el trabajo, no para cumplir checklists. Los líderes de seguridad deben exigir claridad, calidad de detección y foco en el valor real.
