¿Qué es un EDR? ¿Cómo funciona y cómo puede mejorar tu Ciberseguridad?

Es un ir y venir: los cibercriminales desarrollan mecanismos de ataque, los especialistas de ciberseguridad encuentran formas de contraatacar, los criminales dan con una forma para evadir las medidas preventivas y los desarrolladores encuentran nuevas tecnologías para proteger de nueva cuenta. No es nada nuevo y es como ha funcionado esta industria desde finales de los noventa, desde las primeras amenazas que comprometieron al antecesor de la Internet, hasta las amenazas complejas de hoy en día.

Uno de los desarrollos de mayor auge y alcance en los últimos años es el EDR (Endpoint Detection and Response, Detección y respuesta en terminales): seguro has escuchado que es una de las mejores herramientas de protección y que, en este momento, es más una necesidad que un lujo el contar con este mecanismo para proteger tu perímetro. El último año nos ha enseñado que no se debe escatimar en recursos para proteger a tus activos y hemos podido observar la importancia de implementar canales y mecanismos de comunicación e intercambio de datos provistos de seguridad continua. En ese sentido, las labores remotas que se han desempeñado de una manera sorprendentemente efectiva en muchas organizaciones, también nos ha permitido sopesar la importancia de una seguridad efectiva en las terminales, desde donde acceden los usuarios. Sin importar el tamaño o giro de la organización, es una necesidad el implementar, hoy en día, un mecanismo de seguridad avanzado, con herramientas robustas de detección, visibilidad y respuesta instantánea a amenazas complejas.

Aunque parezca emocionante el obtener un mecanismo de seguridad tan robusto como un EDR, es necesario entender qué es y cómo funciona, para poder determinar de qué manera se puede integrar a tu organización sin generar disrupciones a tu equipo de TI.

¿Qué es un EDR?

Podemos comenzar diciendo que un EDR no es un antivirus o, mejor dicho, es mucho más que un antivirus. El término EDR fue creado por Anton Chuvakin de Gartner en el 2013 para definir a aquellas herramientas que se enfocan en detectar e investigar actividades sospechosas, así como los rastros de otros problemas en las terminales. De manera funcional, estas soluciones son un elemento de seguridad en dispositivos de usuario que proveen de monitoreo continuo y de respuesta ante amenazas complejas, contrario a los antivirus y soluciones antimalware (definidas como EPP - Endpoint Protection Platform) que se enfocan meramente en detectar y detener. En este sentido, los Endpoint Detection and Response amplían el funcionamiento de las EPP, pues permiten observar y tomar acción ante aquello que fue omitido por las barreras de detección de malware y amenazas conocidas; es decir, al momento de elegir un EDR, no es para reemplazar tu protección primaria, sino para complementar su funcionamiento.

Los componentes de un EDR

Las herramientas de detección y respuesta en terminales suelen tener un mismo objetivo: identificar, investigar y reaccionar de manera mucho más eficiente ante malware complejo, el cual suele evadir las protecciones primarias presentes en un dispositivo. Las herramientas que un buen EDR suele implementar son:

• Un motor de detección que use técnicas de inteligencia como análisis basado aprendizaje de máquinas, así como emuladores de sandbox para detectar y prevenir la infección de determinados tipos de malware.

• Una función de análisis en tiempo real que monitorea el sistema y la memoria con el fin de encontrar patrones de comportamiento y detectar amenazas desconocidas.

• Inteligencia de amenazas aplicada, basada en la información de diversas fuentes de análisis.

• Visibilidad a través de todos los dispositivos en la red.

• Monitoreo y compilación en tiempo real de eventos e información para usar en analíticas.

• Herramientas forenses para investigar brechas pasadas y para cazar amenazas que circulen de manera no identificada.

• Generación de alertas automáticas para detonar un proceso de respuesta a incidentes.

• Filtrado para evadir falsos positivos y evitar una sobrecarga de alertas inútiles.

Es necesario decir que no todos lo EDR funcionan de la misma forma, pues pueden variar desde su foco de análisis hasta los mecanismos que utilizan para recopilar y comparar datos. En este sentido, de acuerdo a tu organización, no todas las soluciones existentes pueden brindarle a tu organización lo que necesitas para estar seguro, por ejemplo, las operaciones de Threat Hunting (cacería de amenazas) requieren de una experiencia específica y no muchos de los departamentos de TI pueden operarlo. Es por ello que, antes de ponerte a investigar cuáles son las funciones especificas de cada una de las soluciones en el mercado, establezcas de forma puntual en qué quieres enfocarte y cuáles son tus verdaderas necesidades, para encontrar la herramienta que funcione para tus operaciones.

EDR contra las ciberamenazas específicas

Para salvaguardar tu red de TI de las amenazas digitales, lo mejor es tener un acercamiento de varios niveles, es decir, implementar filtros que sean cada vez más granulares para detectar amenazas elusivas. Cuando un malware accede a una terminal, un motor de protección puede activarse para identificar y neutralizar la gran mayoría de códigos maliciosos, esto puede ocurrir al usar modelos de análisis estructural del código, análisis de comportamiento y etc... Estos procesos automatizados tienen la capacidad de filtrar casi todos los programas dañinos; sin embargo amenazas mucho más complejas, diseñadas para evadir estas detecciones pueden causar daños sustanciales, y son éstas las que deben ser detenidas. Ese es el trabajo del EDR: al proveer de visibilidad sobre los puntos finales a tu equipo de TI, se facilita la búsqueda y el monitoreo, para poder dar con estas amenazas antes de que efectúen su daño.

Incluso si tu primera barrera EPP ha actuado para detener un proceso infeccioso, no significa que la amenaza ha terminado. Es decir, quizá el hacker pueda aún permanecer conectado al dispositivo más allá del malware (un ataque sin malware). En este sentido, el EDR tiene la capacidad de brindar información contextual sobre el ataque, con el fin de evitar que cualquier componente vulnerable pase desapercibido.

Por último, muchas de las amenazas actuales son desarrolladas de forma sumamente rápida, y el no poder detectarlas implica un grave riesgo para cualquier organizacion. Es por eso que una respuesta rápida, eficaz, robusta y, en muchos casos, con componentes automatizados basados en fuentes de inteligencia legítimas, es la mejor salvaguarda para tu sistema.

Las herramientas más robustas para protegerte

Un plan que incluya la implementación de herramientas avanzadas es un factor clave para resurgir tras un Ciberataque de forma exitosa. Un plan de Respuesta a Incidentes, implementa por naturaleza un EDR dentro de los servicios de monitoreo, con el fin de obtener visibilidad y detectar anomalías a través de todas tus terminales y estaciones de trabajo, desde el instante en el que una amenaza penetra a una red y antes de que logre causar daños o transmitir información.

Soluciones como esta pueden ser desplegadas por el Centro de Respuesta a Incidentes de Nordstern-Kaspersky, cuyo equipo especializado tiene la capacidad de brindarle a tu empresa la fortaleza necesaria en la implementación de tu plan de seguridad de TI.

El CRI de Nordstern ha sido reconocido por Kaspersky, volviéndolo el primero en el continente latinoamericano y el tercero a nivel mundial avalado por la marca líder en Ciberseguridad. Nuestro conocimiento, brindando soluciones de Seguridad Administrada por más de 15 años, a la par de las herramientas y la inteligencia de Kaspersky, hacen de nuestro Centro de Respuesta a Incidentes una solución robusta y adaptable a las necesidades de tu negocio.

Si crees que has sido víctima de un ciberataque o quieres proteger de forma proactiva los activos de tu organización, contáctate con uno de nuestros expertos, quienes te ayudarán a implementar una solución apegada a tus necesidades. Da clic en la siguiente imagen.