Con lo nuevos riesgos (factor humano) y ciberataques se suman las diferentes vertientes de ataques informáticos (malware, exploits, APT´s) obligando a aumentar la seguridad a nuestros usuarios en todos los dispositivos móviles dentro y fuera de la infraestructura de TI.
¿Y dónde juega su papel EDR?.
Los antivirus tradicionales no contaban con una visibilidad ni operación estratégica para el manejo de ambientes on-premise, cloud e híbridos. Tras la emergencia sanitaria que se da desde el 2020 a la fecha, ¿las empresas se han visto en la necesidad de forjar en su ámbito laboral el denominado “Home-Office”, pero ¿qué seguridad podemos ofrecer ahí a este tipo de usuarios?
Un EDR a diferencia de EPP.
Endpoint Protection Platform (EPP) es el antivirus tradicional, el que es montado de manera on-premise en un equipo del usuario final o en una consola física en nuestra infraestructura del TI, y cada vez que el equipo se enciende se hace un análisis para ver si no se aloja en nuestra red y/o equipo end point alguna amenaza informática común (malware, troyano, virus, APT, phishing, etc.); son soluciones basadas con un enfoque preventivo. Utilizando firmas para identificar las amenzas: Es decir, las amenazas que circulan en la red o infraestructura del TI, será comparada con la base de datos del fabricante del Antivirus y si esta hace match o iguala con el patrón, será eliminado, puesto en cuarentena o aislado de la de la red.
Endpoint Detection and Response (EDR), hace diferente de primera instancia que se maneja desde una consola que puede estar en diferentes ambientes on-premise, cloud e híbrida, también protege a equipos móviles comos son, desktop, tablets laptops, smartphone y no importando si estos se encuentran en la infraestructura del TI, o en casa, en café Internet, o localmente o fuera del país.
Su análisis ante amenazas persistentes (APT) lo hace con mayor facilidad tanto para prevenir, detectar e identificar.
Cuentan con tecnología de nueva generación como es la Inteligencia Articial (AI) y Machine Learning (ML).
Hoy se pueden manejar desde pequeñas comunidades de redes hasta grandes SOC e infrastructuras de TI.
La visión de un EDR va más allá de EPP, pues tiene la capacidad de integrar herramientas para búsqueda de amenazas desconocidas. Y la posibilidad de realizar análisis forense de manera rápida y eficaz.
La tecnología EDR detecta ataques que nuestro antivirus ha pasado por alto. Monitoriza y evalúa todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red).
Detecta ataques informáticos en tiempo real, y permite tomar medidas inmediatas si es necesario.
EDR.
Un EPP se centra únicamente en la prevención en el perímetro. Tiene como objetivo evitar que las amenazas ingresen en la red.
El EDR está enfocado en amenazas avanzadas, las diseñadas para evadir la primera capa de defensa y que logran penetrar en la red. Detecta esa actividad y contiene al adversario antes de que pueda moverse lateralmente en la red.
Cómo funciona un EDR.
El EDR es más efectivo que un antivirus en la detección del malware desconocido puesto que utiliza una serie de técnicas novedosas, como son:
- Machine learning y la analítica.
- Sandboxing.
- Alertas generadas por sistemas externos (IOC o indicadores de compromiso), categorización de los incidentes para actuar sobre los más críticos con rapidez.
- Investigación de los incidentes desde el punto de vista histórico: se rastrea el origen y evolución del malware para tomar medidas preventivas de cara a incidentes futuros
- Herramientas de remediación para eliminar los ficheros infectados, poner en cuarentena y volver al estado anterior a la infección.
¿Cómo actúa el EDR?.
EDR monitoriza la actividad de los endpoints y realiza una clasificación de los archivos según sean seguros, peligrosos o «desconocidos».
Cuando detecta archivos sospechosos (desconocidos) en uno de los endpoints, (p.e. un adjunto en un correo), automáticamente lo envía a la nube. Permanece aislado en un entorno de pruebas, y lo ejecuta imitando el comportamiento que tendría un usuario.
Mientras, un sistema de machine learning observa y aprende del comportamiento de la amenaza.
Tras observarlo un tiempo, se podrá determinar si es seguro o peligroso. Si se considera peligroso, se bloqueará en todos los endpoints.
De ese modo, si en el futuro se detecta de nuevo ese archivo en cualquiera de los endpoints, directamente lo bloqueará impidiendo su ejecución.
Detección.
Utilizan la IA (inteligencia artificial) para reducir la tasa de falsos positivos.
Los equipos pueden optimizar los recursos clave y centrarse en tareas de TI importantes en lugar de revisar un gran volúmen de alertas y falsos positivos.
Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware.
Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc.
Contención.
Permite un bloqueo avanzado de amenazas.
No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.
Investigación
Respuesta rápida frente a incidentes.
Cualquier empresa está expuesta a ser víctima de un ciberataque. El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver a al trabajo cuanto antes.
Eliminación.
Reparación del endpoint a fondo.
Para que puedan recuperar el estatus anterior a ser infectados.
Comparativa entre distintas soluciones de EDR
Característica | ESET | Bitdefender | Sentinelone | Forcepoint | Kaspersky |
EPP | |||||
EDR | ✓ | ✓ | ✓ | ✓ | |
Antivirus | ✓ | ✓ | ✓ | ✓ | |
Antispam | ✓ | ✓ | ✓ | ✓ | |
Antimalware | ✓ | ✓ | ✓ | ✓ | |
APT’s | ✓ | ✓ | ✓ | ✓ | |
Seguridad |
✓ | ✓ | ✓ | ✓ | |
Machine Learning | ✓ | ✓ | ✓ | ✓ | ✓ |
Inteligencia Artificial | ✓ | ✓ | ✓ | ✓ | ✓ |
Sandboxing | ✓ | ✓ | |||
VPN | ✓ | ✓ | ✓ | ||
DLP | ✓ | ✓ | |||
Cifrado | ✓ | ||||
Threat Intelligence | ✓ | ✓ | ✓ | ✓ | |
Administración Cloud e híbrido |
✓ | ✓ | ✓ | ✓ | ✓ |
Windows Protect | ✓ | ✓ | ✓ | ✓ | ✓ |
MacOS Protect | ✓ | ✓ | ✓ | ✓ | ✓ |
Android Protect | ✓ | ✓ | ✓ | ✓ | ✓ |
iOS Protect | ✓ | ✓ | ✓ | ✓ | ✓ |
Soluciones EDR.