Blog de WatchGuard

Plataforma XDR integrada basada en API frente a plataforma unificada: ¿cuál es la diferencia?

Los términos “unificada” e “integrada” se suelen usar en forma indistinta en el mundo del software. Sin embargo, los líderes de seguridad deben comprender las diferencias entre las plataformas integradas profundamente unificadas y las basadas en API dentro de una organización, y cómo pueden afectar significativamente todo, desde el costo hasta la eficacia. En primer lugar, es fundamental definir los términos.

  • Integración basada en API: por lo general, las plataformas XDR integradas son producto del desarrollo conjunto de varios proveedores y constan de varias soluciones de seguridad creadas lógicamente por diferentes equipos con diferentes criterios; no comparten una estructura de datos, funcionalidades, etc. Además, estas diferencias arquitectónicas y de diseño se repiten para cada uno de los proveedores que se integran. Las soluciones XDR integradas suelen estar conectadas por API, tienen datos completamente diferentes con más de una base de datos no conectada, y no funcionan a la perfección junto con otras tecnologías.
  • Unificación profunda: las plataformas unificadas son desarrolladas por un proveedor con acceso al código fuente de las soluciones de seguridad y tienen una estructura de datos compartida. Esta permite a los proveedores integrar profundamente sus controles de seguridad y crear una plataforma unificada, casos de uso colaborativos que no se pueden implementar de otra manera y una estructura de datos compartida dentro de una base de datos unificada.

Ahora que entendemos mejor qué diferencia a las plataformas XDR unificadas e integradas, aquí hay seis motivos fundamentales por los que la implementación de una solución de detección y respuesta multidominio, o XDR, a través de API no es ideal.

Plataformas unificadas frente a plataformas XDR integradas: ¿cuál es la diferencia?

  1. Integraciones profundas a través de la unificación frente a la integración. Es más importante obtener una unificación integral de datos, registros y telemetría para lograr una integración nativa profunda y significativa que permita nuevas capacidades de detección y respuesta a lo largo del tiempo. La integración de los controles de seguridad a través de las API suele ser superficial, ya que no comparten la misma estructura de datos.
  2. XDR se vuelve vulnerable al versionado de API. La sostenibilidad de un XDR basado en API a medio y largo plazo es arriesgada. Los proveedores pueden aplicar cambios en la API que requieren actualizaciones constantes para aprovechar las funciones nuevas y existentes. Estos cambios y actualizaciones pueden causar problemas de integración y compatibilidad, lo que agrega más carga de trabajo a los equipos de seguridad.
  3. Falta de capacidades de integración estándar. Incluso a corto plazo, la falta de estándares en las API hace que las implementaciones de XDR dependan en gran medida de lo que otros proveedores implementan en su control de seguridad, lo que dificulta la recuperación constante de los mismos datos y la respuesta constante a los atacantes, independientemente de la solución integrada. Esto hace que sea difícil implementar un programa de seguridad consistente y completo de múltiples proveedores e interdominios.
  4. Falta de flexibilidad para evolucionar a la misma velocidad que los atacantes. Los atacantes evolucionan continuamente y crean nuevas técnicas de evasión. La búsqueda de las nuevas técnicas de los atacantes requiere nuevos sensores de actividad, y recopilar y automatizar los análisis del nuevo tipo de telemetría y datos. Es un trabajo muy activo y dinámico. Se requiere supervisar nuevos comportamientos, recopilar nueva telemetría e implementar nuevas capacidades de correlación de datos en múltiples dominios. En otras palabras, las detecciones y respuestas proactivas son una característica dinámica, mientras que la integración de API es estática; una vez realizada, permanece estática durante mucho tiempo, ya que es costoso evolucionar, lo que la convierte en un obstáculo para la eficacia de los equipos de seguridad.
  5. Problemas de seguridad y escalabilidad. No todas las API son seguras, lo cual es la principal preocupación de los proveedores cuando las usan. Las API pueden hacer que la plataforma integrada sea vulnerable a los ciberataques. También pueden hacer que el rendimiento de la plataforma dependa de su diseño y escalabilidad vertical y horizontal. Por lo tanto, si una API tiene algunos problemas de escalabilidad, afectará el rendimiento de la plataforma en general.
  6. Falta de acceso a la implementación para una integración profunda y adaptabilidad a los nuevos requisitos. La seguridad unificada eficaz entre dominios y la capacidad de detectar nuevas técnicas de ataque entre dominios solo son posibles si la integración de los controles de seguridad es nativa, cuenta con la misma estructura de datos y está dirigida por un solo proveedor con acceso al código fuente de control. Esta unificación en una sola plataforma de seguridad es la única forma posible de crear casos de uso que, de otro modo, no serían posibles. Vea los casos de uso del enfoque de seguridad “Better Together” de WatchGuard.

https://www.watchguard.com/wgrd-partners/comprehensive-security

Para obtener más información sobre la arquitectura y los beneficios de WatchGuard Unified Security Platform, descargue Razones Principales para comprar WatchGuard y visite la página web Enfoque de Unified Security Platform .

Comparte esto: