Las técnicas empleadas por los cibercriminales cada vez son más dirigidas y sofisticadas, por ello no es suficiente proteger el endpoint  y el perímetro de la red.  Hay nuevos riesgos (como el factor humano) y diferentes vectores de ataque (malware, exploits, APT) que nos obligan a aumentar la seguridad de los usuarios. Aquí es donde entra en juego la herramienta Endpoint Detection and Response (conocida por su siglas en inglés EDR), una evolución del antivirus tradicional que sirve para dar visibilidad y responder a las amenazas avanzadas.

¿Qué es un EPP?

Endpoint Protection Platform (o EPP) es una solución de seguridad diseñada para detectar y bloquear amenazas a nivel de dispositivo. Incluye funciones de antivirus, antimalware, prevención de intrusiones (IPS), prevención de pérdida de datos (DLP) y los más avanzados prevención de exploits, tecnología anti-ransomware. etc

Las soluciones tradicionales de EPP son preventivas por naturaleza, generalmente usan un enfoque basado en firmas para identificar amenazas: El posible archivo malicioso se compara con la base de datos y si coincide se califica como malware. También ofrece una protección proactiva basada en la heurística: se analiza un archivo y se compara su comportamiento con X criterios que determinan si un archivo es malicioso. 

El EPP es un mecanismo de defensa en primera línea, efectivo para bloquear sobre todo amenazas conocidas. Sin embargo, las últimas soluciones han evolucionado para utilizar una gama más amplia de técnicas de detección.

¿Qué es un EDR?

EDR es la siguiente capa de seguridad: proporciona herramientas adicionales para buscar amenazas desconocidas, realizar un análisis forense y responder de manera rápida y efectiva a los ataques.

 

La solución EDR proporciona monitorización y análisis continuo del endpoint y la red. La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.

El EDR en sus inicios estaba más pensado para grandes empresas con SOC dedicados. Pero hoy en día, la demanda de este tipo de soluciones se ha desplazado a empresas de todos los tamaños. También la propia evolución del mercado lleva a que los distintos fabricantes vayan integrando en sus EPP funcionalidades EDR: el objetivo es que la empresa esté protegida frente a cualquier posible incidente de seguridad, ya sea una amenaza tradicional, una aplicación vulnerable o una amenaza desconocida.

Recuerda

Un EPP se centra únicamente en la prevención en el perímetro. El EDR está enfocado en amenazas avanzadas, aquellas que están diseñadas para evadir la primera capa de defensa y que logran penetrar en la red.

 

Es imposible que un antivirus bloquee el 100% de las amenazas. Por lo que la solución de seguridad del endpoint ideal integra capacidades EPP y EDR.

 

 

Funcionalidades de un EDR. ¿Qué incluye? 

EDR vs EPP

 

Esta herramienta combina una variedad de funciones como el análisis de comportamiento, bloqueo de comportamiento, control de aplicaciones y listas blancas de aplicaciones, monitorización de la red y respuesta a incidentes.

¿Qué ventajas tiene un EDR con respecto a un antivirus tradicional?

 

Algunos de los beneficios que ofrece a las empresas que lo utilizan son:

Mayor anticipación a los ataques dirigidos. Con el modelo de prevención  (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.

Menor tiempo de exposición a incidentes de seguridad. Gracias a un enfoque reactivo, podemos actuar en cuestión de pocos segundos o minutos.

Proporcionan una visibilidad completa de las amenazas de nuestros endpoints. Gracias a la investigación guiada, es más fácil comprender el origen de los incidentes, la ruta que ha seguido un ataque y el impacto o quien se ha visto afectado y cómo responder.

 

Características clave de un EDR

  

Caracteristicas EDR

Una buena solución EDR, debe contar con las siguientes características:

 

Las ofertas más novedosas en EDR utilizan la IA para reducir la tasa de falsos positivos.

Los equipos pueden optimizar los recursos clave y centrarse en tareas de TI importantes en lugar de revisar un gran volúmen de alertas y falsos positivos.

Una de las cosas que diferencia a un producto EDR de otras herramientas de seguridad del endpoint es que están diseñados para vigilar y responder a una variedad de amenazas, no solo al malware.

Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc

Permite un bloqueo avanzado de amenazas

No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.

Y una buena capacidad de respuesta a incidentes

Cualquier empresa está expuesta a ser víctima de un ciberataque, pero lo que diferencia a una solución EDR de otra es su capacidad de respuesta.

Reparación del endpoint a fondo

Para que puedan recuperar el estatus anterior a ser infectados.

¿Necesitará ser administrado por personal especializado?

Es cierto que las soluciones EDR van ganando adeptos entre las pymes, pero también es cierto que muchas de ellas carecen de los recursos para maximizar los beneficios de esta tecnología. El uso de funciones avanzadas de EDR, como el análisis forense, el análisis de actividades sospechosas y la inteligencia artificial (IA) requiere de trabajo y recursos. Tengamos en cuenta que podrá ser necesario un equipo de seguridad dedicado.

 

Conclusion

Las soluciones EDR, se han convertido en tendencia en la ciberseguridad corporativa y han venido para quedarse. Suponen un cambio de mentalidad para la seguridad del endpoint, pues se trata de adoptar un enfoque proactivo y adaptativo, en el que los administradores de TI sean capaces de responder y de adelantarse a las amenazas de seguridad.

Carbon Black, CroswStrike, Cylance y SentinelOne son referentes en este tipo de soluciones. Otros fabricantes como BitDefender, Kaspersky, Sophos, Trend Micro, Panda Security o Symantec también han incorporado el EDR en sus propuestas. Parece que en 2020 el mercado de soluciones de EDR seguirá en auge ¿Qué opináis?

 

Shares
Shares
Share This