La carrera entre la ciberseguridad y el cibercrimen está más disputada que nunca. Como hemos advertido en otros artículos, la seguridad informática tiene que mantenerse a la vanguardia, no solo de la tecnología más reciente, sino también de las nuevas técnicas de ciberataques. Una forma de empezar a trabajar este punto es mediante la solución EDR. Pero ¿Qué es?
EDR: ¿Qué es?
De manera simple podemos decir, que la solución EDR es una herramienta que protege las redes internas y los dispositivos conectados a ellas. Es decir, los dispositivos endpoint. Si trabajas en un entorno de trabajo remoto, esta solución de seguridad debería resultar de lo más atractiva.
Se trata de una evolución natural de la tecnología EPP, o de los antivirus tradicionales como los sniffers. Antes de seguir delineando el concepto de solución EDR vamos a definir algunos conceptos claves.
¿Qué es Endpoint?
Cuando nos referimos a Endpoint hacemos alusión a cualquier dispositivo que se conecta a una red. Son muy comunes en el teletrabajo. Pueden ser computadoras, celulares o tablets.
EDR vs. EPP ¿Cómo se diferencian?
El EPP, o Endpoint Protection Platform, es la nueva forma de referirnos a los antivirus tradicionales. Funcionan a nivel de dispositivo y, normalmente, son la primera barrera de protección y respuesta a incidentes.
Poseen un carácter preventivo y proactivo a través de la identificación de firmas y la heurística. Es decir, gracias a la comparación con las amenazas listadas en su base de datos pueden identificar cualquier ciberataque.
Pero, existe un problema con esta tecnología. Los EPP sólo pueden detectar y prevenir aquellos ataques cuyas técnicas ya sean conocidas, o que se hayan instalado previamente en el dispositivo. Lo que dejaba la puerta abierta a nuevas amenazas desconocidas. La solución EDR vino a solucionar este problema.
¿Qué es EDR en seguridad?
EDR en seguridad significa Endpoint Detection and Response. Lo que se traduce como detección y respuesta de punto final.
La solución EDR se encarga de monitorizar y prevenir amenazas avanzadas, a través de un análisis continuo de la red.
Evolución del mercado de ciberseguridad con las soluciones EDR
Anteriormente, la solución EDR era una herramienta propia de grandes empresas con equipos técnicos especializados. Sin embargo, en la actualidad, cada vez son más los EPP que incluyen algunas de las funciones de esta tecnología.
Es que no se puede hablar de la elección de un producto sobre otro. Sino que, en un plano ideal, el propósito es que trabajen juntos. Mientras que los antivirus son el primer sistema de defensa ante incidentes de seguridad conocidos, la solución EDR se encargará de bloquear aquellas amenazas complejas que logren eludir la primera barrera.
Actualmente, también existen metodologías similares a la EDR pero con distintos enfoques, como el XDR o el MDR.
¿Cómo funciona una solución EDR? Principales características
Como mencionamos anteriormente, la solución EDR se encarga de monitorizar el tráfico de red de un endpoint, y clasifica los archivos según los considere seguros, peligrosos o desconocidos.
De esta forma, si llega un archivo desconocido a través del adjunto de un email, este lo destinará a un sandbox específico en la nube. En este entorno aislado, interactúa con el incurriendo en acciones comunes de los usuarios. En caso de que se verifique su potencial de peligro, se procederá a bloquearlo de los demás endpoint.
Pero, mientras tanto, el sistema de machine learning aprenderá de estas interacciones para saber cómo responder y tratar con ella en un futuro.
1 | Detección
A través del uso de la inteligencia artificial, la solución EDR disminuye la tasa de falsos positivos.
Gracias a la IA, el sistema EDR permite identificar múltiples variedades de amenazas de forma automática sin monopolizar el tiempo y las tareas del equipo de TI.
2 | Contención
Además de contener las amenazas, la solución EDR permite contener la seguridad de un sistema mientras está bajo ataque.
3 | Investigación
La solución EDR responderá rápidamente a cualquier incidente de seguridad gracias a sus investigaciones previas. De esta forma, permite una restauración mucho más veloz del sistema a sus valores normales.
4 | Eliminación
Luego de contener y bloquear el ataque cibernético, esta herramienta permite reparar completamente el endpoint para sellar brechas de seguridad previas, o nuevas, al incidente.
Elementos de una solución EDR
Muchas veces, un antivirus y un sistema de control de acceso no es suficiente para blindar la seguridad de una empresa. El trabajo y la eficacia de una solución EDR se centra en su estrategia y los elementos que emplea para llevarlos a cabo. Algunos de ellos son:
- Inteligencia Artificial
- Machine Learning
- Entornos Sandbox
- Creación de listas blancas y negras de correos, páginas web y direcciones IP.
- Integración con otras soluciones de seguridad, como los antivirus
- Herramientas de monitoreo en tiempo real.
- Dispositivos de análisis forense
Principales ventajas de una solución EDR
Así que, en definitiva, podemos decir que la solución EDR nos ofrece los siguientes beneficios:
La solución EDR permite anticiparse a los ataques dirigidos
La estrategia post y pre infección de la solución EDR realizan un análisis completo, y a tiempo real, de los patrones de comportamiento de un incidente. Por lo que será más fácil prevenirla.
La seguridad de los Endpoint está menos tiempo expuesta en un incidente
El enfoque reactivo de esta solución de seguridad permite responder ante una emergencia en cuestión de segundos.
Los sistemas EDR permiten una visualización completa de las amenazas
El sistema de investigación guiada de la solución EDR permite comprender dónde se originó la emergencia, cuál fue la ruta que siguió, y cómo impactó al sistema.
¿Cuándo debo implementar una solución EDR?
La recomendación principal siempre será unir herramientas de ciberseguridad con una formación en ciberseguridad para empleados. Sin embargo, también consideramos oportuno implementar una solución EDR en conjunto con otra solución de seguridad tradicional. Pero, en los siguientes casos es conveniente darle más protagonismo al EDR:
- Ataques de phishing.
- Documentos de Office o PDFs maliciosos con scripts de malware.
- Malware sin archivos.
- Malware polimorfos.
Antes de invertir en una Solución EDR, ten en cuenta:
- ¿Tengo los recursos necesarios para aprovechar la tecnología de una solución EDR?
- ¿Tengo un equipo TI capacitado para la tarea o necesito contratar un SOC externo?
- ¿La solución EDR que pienso implementar cuenta con una interfaz sencilla de utilizar?
Conclusión
En este artículo analizamos la importancia creciente de la utilización de la solución EDR en los entornos de trabajo remoto. También vimos su funcionamiento y sus principales elementos para proteger a las empresas de México de los ciberataques.
Existen metodologías similares a la EDR pero con distintos enfoques, como el XDR o el MDR.
