Las técnicas empleadas por los cibercriminales cada vez son más dirigidas y sofisticadas, por ello no es suficiente proteger el endpoint  y el perímetro de la red.  Hay nuevos riesgos (como el factor humano) y diferentes vectores de ataque (malware, exploits, APT) que nos obligan a aumentar la seguridad de los usuarios. Aquí es donde entra en juego la herramienta Endpoint Detection and Response (conocida por su siglas en inglés EDR), una evolución del antivirus tradicional que sirve para dar visibilidad y responder a las amenazas avanzadas.

¿Qué es un EPP?

Endpoint Protection Platform (o EPP) es una solución de seguridad diseñada para detectar y bloquear amenazas a nivel de dispositivo. Incluye funciones de antivirus, antimalware, prevención de intrusiones (IPS), prevención de pérdida de datos (DLP) y los más avanzados prevención de exploits, tecnología anti-ransomware. etc

Las soluciones tradicionales de EPP son preventivas por naturaleza, generalmente usan un enfoque basado en firmas para identificar amenazas: El posible archivo malicioso se compara con la base de datos y si coincide se califica como malware. También ofrece una protección proactiva basada en la heurística: se analiza un archivo y se compara su comportamiento con X criterios que determinan si un archivo es malicioso. 

l

El EPP es un mecanismo de defensa en primera línea, efectivo para bloquear sobre todo amenazas conocidas. Sin embargo, las últimas soluciones han evolucionado para utilizar una gama más amplia de técnicas de detección.

 

¿Qué es un EDR?

La solución EDR proporciona monitorización y análisis continuo del endpoint y la red. La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.

El EDR en sus inicios estaba más pensado para grandes empresas con SOC dedicados. Pero hoy en día, la demanda de este tipo de soluciones se ha desplazado a empresas de todos los tamaños. También la propia evolución del mercado lleva a que los distintos fabricantes vayan integrando en sus EPP funcionalidades EDR: el objetivo es que la empresa esté protegida frente a cualquier posible incidente de seguridad, ya sea una amenaza tradicional, una aplicación vulnerable o una amenaza desconocida.

l

EDR proporciona herramientas adicionales para buscar amenazas desconocidas, realizar un análisis forense y responder de manera rápida y efectiva a los ataques.

¿Cuál es la diferencia entre un Antivirus y las herramientas EDR?

Un EPP (antivirus) se centra únicamente en la prevención en el perímetro. Tiene como objetivo evitar que las amenazas ingresen en la red.

 

El EDR está enfocado en amenazas avanzadas, las diseñadas para evadir la primera capa de defensa y que logran penetrar en la red. Detecta esa actividad y contiene al adversario antes de que pueda moverse lateralmente en la red.

 

¿Por qué utilizar el EDR?

 

Algunos de los beneficios que ofrece a las empresas que lo utilizan son:

  1. Mayor anticipación a los ataques dirigidos. Con el modelo de prevención  (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.
  2. Menor tiempo de exposición a incidentes de seguridad. Gracias a un enfoque reactivo, podemos actuar en cuestión de pocos segundos o minutos.
  3. Proporcionan una visibilidad completa de las amenazas de nuestros endpoints. Gracias a la investigación guiada, es más fácil comprender el origen de los incidentes, la ruta que ha seguido un ataque y el impacto o quien se ha visto afectado y cómo responder.

 

Características clave del EDR

  

Caracteristicas EDR

Existen muchas soluciones EDR en el mercado, cada una con sus propias fortalezas y debilidades. Estas son las capacidades clave de detección y respuesta inteligente para endpoints:

Detección

Utilizan la IA (inteligencia artificial) para reducir la tasa de falsos positivos.

Los equipos pueden optimizar los recursos clave y centrarse en tareas de TI importantes en lugar de revisar un gran volúmen de alertas y falsos positivos.

Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware.

Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc

Contención

Permite un bloqueo avanzado de amenazas

No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.

Investigación

Respuesta rápida frente a incidentes

Cualquier empresa está expuesta a ser víctima de un ciberataque. El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver a al trabajo cuanto antes.

Eliminación

Reparación del endpoint a fondo

Para que puedan recuperar el estatus anterior a ser infectados. 

Ten cuenta si…

¿Es una Herramienta EDR basada en la nube?

De esta forma, el personal puede recibir alertas, ver las detecciones y realizar las investigaciones desde una única consola. Todo ello con impacto mínimo en los endpoints.

¿Necesitará ser administrado por personal especializado?

Es cierto que las soluciones EDR van ganando adeptos entre las pymes, pero también es cierto que muchas de ellas carecen de los recursos para maximizar los beneficios de esta tecnología. El uso de funciones avanzadas de EDR, como el análisis forense, el análisis de actividades sospechosas y la inteligencia artificial (IA) requiere de trabajo y recursos. Tengamos en cuenta que podrá ser necesario un equipo de seguridad dedicado.

 

Lo ideal es encontrar un software EDR que proporcione el más alto nivel de protección con la mínima cantidad de esfuerzo e inversión, ofreciendo un gran valor a nuestro personal técnico pero sin consumir muchos recursos.

 

Conclusiones

Las soluciones EDR, se han convertido en tendencia en la ciberseguridad corporativa y han venido para quedarse. Suponen un cambio de mentalidad para la seguridad del endpoint, pues se trata de adoptar un enfoque proactivo y adaptativo, en el que los administradores de TI sean capaces de responder y de adelantarse a las amenazas de seguridad.

Carbon Black, CroswStrike, Cylance y SentinelOne son referentes en este tipo de soluciones. Otros fabricantes como BitDefender, Kaspersky, Sophos, Trend Micro, Panda Security o Symantec también han incorporado el EDR en sus propuestas. Parece que en 2020 el mercado de soluciones de EDR seguirá en auge ¿Qué opináis?

 

Shares
Shares
Share This