Blog de WatchGuard

Plataformas XDR unificadas VS integradas: ¿cuál es la diferencia?

Los términos unificado e integrado a menudo se usan indistintamente en el mundo del software. Sin embargo, los líderes de seguridad deben comprender las diferencias entre las plataformas integradas profundamente unificadas y basadas en API dentro de una organización y cómo pueden afectar significativamente todo, desde el costo hasta la eficiencia. Primero, es esencial definir los términos.

  • Integración basada en API: las plataformas XDR integradas suelen ser desarrolladas por varios proveedores y consisten en varias soluciones de seguridad creadas lógicamente por diferentes equipos con diferentes criterios; no comparten estructura de datos, funcionalidades, etc. Además, estas diferencias arquitectónicas y de diseño se repiten para cada uno de los proveedores que se integran. A menudo, las soluciones XDR integradas están conectadas por API, tienen datos completamente diferentes con más de una base de datos desconectada y no funcionan a la perfección junto con otras tecnologías.
  • Profundamente unificado: las plataformas unificadas son desarrolladas por un proveedor con acceso al código fuente de las soluciones de seguridad y tienen una estructura de datos compartida. Permite a los proveedores integrar profundamente sus controles de seguridad y crear una plataforma unificada, casos de uso colaborativos que no se pueden implementar de otra manera y una estructura de datos compartida dentro de una base de datos unificada.

Ahora que comprendemos mejor lo que distingue a las plataformas XDR unificadas e integradas, aquí hay seis razones críticas por las que implementar una solución de respuesta y detección de múltiples dominios, un XDR, a través de API no es lo ideal.

Plataformas XDR unificadas VS integradas: ¿cuál es la diferencia?



1. Integraciones profundas a través de la unificación frente a la integración

Es más importante obtener una unificación completa de datos, registros y telemetría para una integración nativa profunda y significativa que permita nuevas capacidades de detección y respuesta a lo largo del tiempo. La integración de controles de seguridad a través de API suele ser superficial, ya que no comparten la misma estructura de datos.

2. XDR se vuelve vulnerable a las versiones de API

La sostenibilidad de un XDR basado en API a medio y largo plazo es arriesgada. Los proveedores pueden aplicar cambios en la API que requieran actualizaciones constantes para aprovechar las funciones nuevas y existentes de la API. Estos cambios y actualizaciones pueden generar problemas de integración y compatibilidad, lo que agrega más carga de trabajo a los equipos de seguridad.

3. Falta de capacidades de integración estándar

Incluso a corto plazo, la falta de estándares en las API hace que las implementaciones de XDR dependan en gran medida de lo que implementan otros proveedores en su control de seguridad, lo que dificulta la recuperación constante de los mismos datos y la respuesta constante a los atacantes, independientemente de la solución integrada. Esto hace que sea un desafío implementar un programa de seguridad consistente y completo de múltiples proveedores y entre dominios.

4. Falta de flexibilidad para evolucionar a la misma velocidad que los actores de amenazas



Los actores de amenazas evolucionan continuamente y crean nuevas técnicas de evasión. La búsqueda de nuevas técnicas de actores de amenazas requiere nuevos sensores de actividad, recopilando y automatizando el análisis del nuevo tipo de telemetría y datos. Es un trabajo muy activo y dinámico. Requiere monitorear nuevos comportamientos, recopilar nueva telemetría e implementar nuevas capacidades de correlación de datos en múltiples dominios. En otras palabras, las detecciones y respuestas proactivas son una función dinámica, mientras que la integración de la API es estática; una vez realizado, permanece estático durante mucho tiempo, ya que es costoso evolucionar, lo que se convierte en un lastre para la eficacia de la seguridad de los equipos de seguridad.

5. Problemas de seguridad y escalabilidad

No todas las API son seguras, que es la principal preocupación de los proveedores cuando las usan. Las API pueden hacer que la plataforma integrada sea vulnerable a los ciberataques. Las API también pueden hacer que el rendimiento de la plataforma dependa de su diseño y escalabilidad vertical y horizontal. Por lo tanto, si una API tiene algunos problemas de escalabilidad, afectará el rendimiento de la plataforma en general.

6. Falta de acceso a la implementación para una integración profunda y adaptabilidad a nuevos requisitos

La seguridad unificada eficiente entre dominios y la capacidad de detectar nuevas técnicas de ataque entre dominios solo son posibles si la integración de los controles de seguridad es nativa, con la misma estructura de datos y dirigida por un único proveedor con acceso al código fuente de control. Esta unificación en una sola plataforma de seguridad es la única forma posible de construir casos de uso que de otro modo no serían posibles. Vea los casos de uso del enfoque de seguridad "Better Together" de WatchGuard.

Para obtener más información sobre la arquitectura y los beneficios de la plataforma de seguridad unificada de WatchGuard, descargue las principales razones para comprar WatchGuard y visite la página web del enfoque de Unified Security Platform.