Las técnicas empleadas por los cibercriminales cada vez son más dirigidas y sofisticadas. Por ello no es suficiente proteger el endpoint  y el perímetro de la red.

Hay nuevos riesgos (como el factor humano) y diferentes vectores de ataque (malware, exploits, APT) que nos obligan a aumentar la seguridad de los usuarios.

Aquí, es donde entra en juego la herramienta EDR. Una evolución del antivirus tradicional. Sirve para dar visibilidad y responder a las amenazas avanzadas.

Veremos las diferencias que existen entre los términos EDR y EPP.

Después analizaremos en detalle los elementos diferenciales de las soluciones EDR. También, descubriremos por qué son tendencia en la seguridad del endpoint.

¿Qué es el endpoint?

El endpoint es cualquier dispositivo informático que esté conectado a una red (algunos ejemplos son equipos de escritorio, portátiles y dispositivos móviles).

¿Qué es EPP?

Endpoint Protection Platform (EPP por sus siglas en inglés), es la denominación actual para referirnos al antivirus tradicional.

Es una solución de seguridad diseñada para detectar y bloquear amenazas a nivel de dispositivo.

Incluye funciones de:

antivirus, antimalware, prevención de intrusiones (IPS), prevención de pérdida de datos (DLP)

y los más avanzados:

prevención de exploits, tecnología anti-ransomware. etc

Las herramientas de un antivirus tienen un enfoque preventivo. Utilizan firmas para identificar amenazas: El posible archivo malicioso, se compara con la base de datos. Si la firma coincide, se califica como malware.

También, ofrece una protección proactiva basada en la heurística:

Se analiza un archivo y se compara su comportamiento con X criterios que determinan si un archivo es malicioso.

El EPP es un mecanismo de defensa de primera línea. Es efectivo para bloquear sobre todo amenazas conocidas. Sin embargo, las últimas soluciones han evolucionado para utilizar una gama más amplia de técnicas de detección.

¿Qué es EDR en informática?

Endpoint Detection and Response (conocida por su siglas en inglés EDR) es una herramienta que proporciona monitorización y análisis continuo del endpoint y la red.

La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.

El EDR en sus inicios estaba más pensado para grandes empresas con SOC dedicados.

Hoy en día, la demanda de este tipo de soluciones se ha desplazado a empresas de todos los tamaños.

Evolución del mercado

La propia evolución del mercado ha llevado a que los distintos fabricantes vayan integrando en sus EPP funcionalidades EDR.

El objetivo es que la empresa esté protegida frente a cualquier posible incidente de seguridad.

Tanto si es una una amenaza tradicional, una aplicación vulnerable o una amenaza desconocida.

Proporciona herramientas adicionales para buscar amenazas desconocidas. Es posible realizar un análisis forense y responder de manera rápida y efectiva a los ataques.

La tecnologia EDR detecta ataques que nuestro antivirus ha pasado por alto.

Monitoriza y evalúa todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red).

Detecta ataques informáticos en tiempo real, y permite tomar medidas inmediatas si es necesario.

EDR vs EPP

Un EPP se centra únicamente en la prevención en el perímetro. Tiene como objetivo evitar que las amenazas ingresen en la red.

El EDR está enfocado en amenazas avanzadas, las diseñadas para evadir la primera capa de defensa y que logran penetrar en la red. Detecta esa actividad y contiene al adversario antes de que pueda moverse lateralmente en la red.

Cómo funciona un EDR

El EDR es más efectivo que un antivirus en la detección del malware desconocido puesto que utiliza una serie de técnicas novedosas, como son:

 

  • Machine learning y la analítica.
  • Sandboxing.
  • Alertas generadas por sistemas externos (IOC o indicadores de compromiso), categorización de los incidentes para actuar sobre los más críticos con rapidez.
  • Investigación de los incidentes desde el punto de vista histórico: se rastrea el origen y evolución del malware para tomar medidas preventivas de cara a incidentes futuros
  • Herramientas de remediación para eliminar los ficheros infectados, poner en cuarentena y volver al estado anterior a la infección.
que es un EDR en informatica

¿Cómo actúa el EDR?

EDR monitoriza la actividad de los endpoints y realiza una clasificación de los archivos según sean seguros, peligrosos o «desconocidos».

Cuando detecta archivos sospechosos (desconocidos) en uno de los endpoints, (p.e. un adjunto en un correo), automáticamente lo envía a la nube. Permanece aislado en un entorno de pruebas, y lo ejecuta imitando el comportamiento que tendría un usuario.

Mientras, un sistema de machine learning observa y aprende del comportamiento de la amenaza.

Tras observarlo un tiempo, se podrá determinar si es seguro o peligroso. Si se considera peligroso, se bloqueará en todos los endpoints.

De ese modo, si en el futuro se detecta de nuevo ese archivo en cualquiera de los endpoints, directamente lo bloqueará impidiendo su ejecución.

Caracteristicas EDR

Características clave del EDR.

Existen muchas soluciones EDR en el mercado, cada una con sus propias fortalezas y debilidades. Estas son las capacidades clave de detección y respuesta inteligente para endpoints

Detección.

Utilizan la IA (inteligencia artificial) para reducir la tasa de falsos positivos.

Los equipos pueden optimizar los recursos clave y centrarse en tareas de TI importantes en lugar de revisar un gran volúmen de alertas y falsos positivos.

Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware.

Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc.

Contención.

Permite un bloqueo avanzado de amenazas.

No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.

Investigación

Respuesta rápida frente a incidentes.

Cualquier empresa está expuesta a ser víctima de un ciberataque. El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver a al trabajo cuanto antes.

Eliminación.

Reparación del endpoint a fondo.

Para que puedan recuperar el estatus anterior a ser infectados.

edr endpoint

Beneficios del EDR

¿Cómo mejoran las herramientas EDR nuestra seguridad?

  1. Mayor anticipación a los ataques dirigidos. Con el modelo de prevención  (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.
  2. Menor tiempo de exposición a incidentes de seguridad. Gracias a un enfoque reactivo, podemos actuar en cuestión de pocos segundos o minutos.
  3. Proporcionan una visibilidad completa de las amenazas de nuestros endpoints. Gracias a la investigación guiada, es más fácil comprender el origen de los incidentes, la ruta que ha seguido un ataque y el impacto o quien se ha visto afectado y cómo responder.

Casos de uso del EDR

La detección y respuesta inteligentes para endpoints ofrecen a los equipos de seguridad visibilidad y experiencia para responder a las preguntas más complejas sobre un incidente:

  1. «¿Qué ha sucedido después de la infección?»
  2. «¿ha habido propagación?»
  3. «¿qué otras máquinas se infectaron infectadas y no han mostrado síntomas?»
  4. «¿qué otros sistemas han descargado el mismo malware pero aún no lo han ejecutado?»

¿En qué tipo de escenarios está recomendado el EDR?

Dónde el antivirus tradicional no es capaz de llegar y sí el EDR.

Ataques de phishing. Un cibercriminal roba nuestras credenciales y accede a nuestros sistemas de forma legítima. Actividades como tratar de elevar privilegios o moverse horizontalmente a otros endpoints dejará un rastro que no podrá ser detectado por nuestro antivirus.

Documentos de Office con macros maliciosas embebidas o Pfds que contengan código javascript malicioso. El antivirus comprueba sólo el documento inicial y no actúa si lanza un script para descargar malware. El malware podría entonces acechar en segundo plano sin ser detectado, infectar al usuario y moverse por la red.

Malware sin archivos. El cibercriminal carga y ejecuta un código malicioso enteramente desde la memoria del equipo sin afectar al sistema de archivos. Como no hay ningún archivo que analizar, el antivirus no detectará actividad sospechosa.

Malware altamente polimorfo. Los virus polimorfos van cambiando de forma continúa su comportamiento para evitar ser detectados por un antivirus.

Aspectos a tener en cuenta antes de invertir en una solución EDR

Antes de adquirir una solución de este tipo, debemos sopesar diversos factores.

¿Qué tipo de recursos tengo para adoptar una solución EDR?

Es cierto que las soluciones EDR van ganando adeptos entre las pymes, pero también es cierto que muchas de ellas carecen de los recursos para maximizar los beneficios de esta tecnología.

El uso de funciones avanzadas de EDR, como el análisis forense, el análisis de actividades sospechosas y la inteligencia artificial (IA) supone dedicar recursos (humanos y técnicos) para gestionar toda la información que el EDR genera en el día a día.

¿Tenemos un equipo de seguridad de TI dedicado?

¿Necesitaremos contratar a más personas o contratar un SOC con un partner especializado?

Si no tenemos o no queremos destinar recursos propios al despliegue, migración y configuración de las soluciones EDR, podemos contar con técnicos externos especializados y certificados en el uso de estas herramientas.

También, existe un nuevo servicio de soporte gestionado, en el que el partner ayuda al departamento TI interno, a realizar el despliegue y puesta en marcha de la solución.

Además, su soporte técnico se encargará de la monitorización, búsqueda, detección y respuesta a amenazas las 24 horas. Éste es el conocido como servicio MTR (Managed Threat Response).

¿Es una Herramienta EDR fácil de gestionar?

Como comentamos al principio, en su origen, las soluciones EDR estaban orientadas a SOC con personal técnico dedicado a analizar los ataques y darles respuesta.

Los fabricantes saben que la mayoría de las empresas no disponen de esos recursos.

Por esto, están facilitando interfaces de gestión sencillas. Los usuarios pueden acceder en un par de clicks a toda la información de sus endpoints, recibir alertas, ver las detecciones y realizar las investigaciones guiadas.

Conclusiones.

Las soluciones EDR, se han convertido en tendencia en la ciberseguridad corporativa y han venido para quedarse.

Suponen un cambio de mentalidad para la seguridad del endpoint, pues se trata de adoptar un enfoque proactivo y adaptativo, en el que los administradores de TI sean capaces de responder y de adelantarse a las amenazas de seguridad.

Carbon Black, CroswStrike, Cylance y SentinelOne son referentes en este tipo de soluciones.

Otros fabricantes como BitDefender, Kaspersky, Sophos, Trend Micro, Panda Security o Symantec también han incorporado el EDR en sus propuestas.

Parece que en 2020 el mercado de soluciones de EDR seguirá en auge.

Sí te ha gustado nuestro artículo sobre EDR o si consideras que le puede resultar interesante a alguien conocido, te pedimos que nos ayudes a difundirlo a través de las redes sociales 😉

Shares
Summary
¿Qué es un EDR? ¿Por qué es diferente de un antivirus?
Article Name
¿Qué es un EDR? ¿Por qué es diferente de un antivirus?
Description
El EDR es una evolución del antivirus tradicional. Sirve para dar visibilidad y responder a las amenazas avanzadas.
Author
Publisher Name
tecnozero
Publisher Logo
Shares
Share This