EDR
Nombrar productos y servicios, así como sus funcionalidades y características, en el ámbito de la seguridad informática es, por decirlo simple, complicado. ¿Por qué? Justo por su complejidad…
La ciberseguridad no es un objeto unidimensional como podría ser un barco, por ejemplo. Existen varios tipos de barcos, pero aparte de esto, un barco suele ser un barco. Pero cuando de seguridad informática se trata, ¿cómo podríamos etiquetar de forma sencilla (y si se puede, llamativa) todo lo que un sistema moderno de ciberseguridad empresarial hace y, además de una forma que sea lo suficientemente fácil de entender? ¿Y cómo diferenciamos un sistema de seguridad de otro? Si ya suele ser difícil explicar estas diferencias en una descripción de pro lo menos un párrafo, ¿cómo lo hacemos en el nombre de un producto o servicio? Como ya dijimos: es complicado.
Quizás por eso es que algunos todavía asocian a Kaspersky con el “software antivirus”. Cuando realmente detectar y neutralizar malware mediante una base de datos de antivirus es solo una de todas nuestras tecnologías de seguridad actualmente, ya que en los últimos 25 años añadimos muchas otras. En la actualidad, la palabra antivirus es más una metáfora: es un término conocido, que se entiende y, por tanto, resulta una etiqueta útil (aunque no sea tan precisa o actualizada).
Pero ¿qué hay que hacer si debemos hablarle a la gente sobre la protección multifuncional y compleja para las infraestructuras de TI empresariales? Es entonces cuando aparecen unos extraños conjuntos de palabras. Posteriormente vienen todas las abreviaturas que esto conlleva, cuya idea original era la simplificación de esos extraños conjuntos de palabras, ¡pero que en realidad suelen crear más confusión! Y cada año que pasa vemos crecer la cantidad de términos y abreviaturas, y memorizarlos se vuelve cada vez más… complicado. Por esto, déjame darte un breve recorrido por todo este galimatías de nombres, términos, descripciones y abreviaturas tan necesarios como complejos, para que, con un poco de suerte, intentemos alcanzar el objetivo inicial de estas abreviaturas: aportar claridad.
De EPP a XDR
Pues bien, volvamos al barco o, mejor dicho, el antivirus.
Actualmente el nombre más exacto de este tipo de productos es “Protección de endpoints” o “Seguridad de endpoints”. A final de cuentas, como dijimos antes, lo que actualmente protege los endpoints no es solo el antivirus, sino una serie de medidas de seguridad. Y, en ocasiones, las distintas tecnologías de endpoint reciben un nombre actualizado la palabra “plataforma” incluida. Al parecer esto suena más apropiado y las describe con mayor precisión, además parece estar muy de moda al igual que su abreviatura: EPP (Plataforma de protección de endpoints).
Esencialmente, la plataforma de protección de endpoints es un concepto proveniente de la década de 1990. Todavía es necesaria, pero para una protección de calidad de la infraestructura distribuida son necesarios otros métodos. Se deben recopilar y analizar los datos de toda la red para no solo detectar incidentes aislados, sino también cadenas de ataque completas que no se limitan a un solo endpoint. Se necesita reaccionar ante las amenazas en toda la red, no solo en una computadora.
Si nos movemos a la siguiente década, más o menos a principios de los 2000, aparece un tipo de productos llamado SIEM: Sistema de gestión de eventos e información de seguridad. O sea, una herramienta para recopilar y analizar toda la telemetría de la seguridad informática de varios dispositivos y aplicaciones. Y no funciona solo para algo actual: un buen SIEM es capaz de realizar un análisis retrospectivo, comparando eventos del pasado y así descubrir ataques que duran varios meses o hasta años.
Entonces, en esta etapa (a principios de la década de los 2000, para quienes se perdieron) ya trabajamos con toda la red. Pero en SIEM no encontramos una “P” de “Protección”. La protección la proporciona la EPP (la Plataforma de protección de endpoints, por si te perdiste de nuevo). No obstante, la EPP no contempla los eventos de red; por ejemplo, podría pasar por alto fácilmente una APT (amenaza persistente avanzada por sus siglas en inglés).
Más tarde, al comenzar la década de 2010, surge una abreviatura más para llenar este vacío y cubrir ambas funciones de seguridad: EDR (Detección y respuesta en endpoint). Por una parte, esta realiza un monitoreo centralizado de toda la infraestructura de TI, lo que permite recopilar rastros de ataques de todos los hosts, por ejemplo. Por otra, un producto del tipo EDR no solo utiliza métodos EPP para la detección, sino también tecnologías más avanzadas como el análisis correlacional de eventos y la selección de anomalías con base en el aprendizaje automático y el análisis dinámico de objetos sospechosos en un sandbox, además de muchas otras herramientas de detección de amenazas que ayuden en la investigación y respuesta.
Y aquí en K, cuando hacemos EDR nos encargamos de poner nuestro sello, consiguiendo KEDR.
Hasta ahora, está muy bien genial. Pero… ¡podemos perfeccionarlo!
Volvamos a avanzar de nuevo, esta vez hasta principios de la década de 2020, cuando se introduce una nueva abreviatura que causó un furor inmediato en la industria de la ciberseguridad: la XDR (Detección y respuesta extendidas). Esto, metafóricamente hablando, es como un EDR con esteroides. El sistema analiza los datos no solo de los endpoints (estaciones de trabajo), sino también de otras fuentes como las puertas de enlace de correo y los recursos en la nube, lo que tiene mucho sentido, ya que los ataques a la infraestructura pueden provenir desde cualquier punto de entrada.
La XDR puede enriquecer mucho más su experiencia con más datos de:
- servicios de análisis de amenazas (el nuestro se llama TIP (Threat Intelligence Portal),
- sistemas de análisis de tráfico de red (el nuestro – KATA),
- sistemas de monitoreo de eventos de seguridad.
Estos datos también pueden provenir de servicios similares proporcionados por terceros.
La XDR también cuenta con capacidades avanzadas de respuesta. Cada vez se automatizan más y más acciones de protección, mientras que antes todas se hacían de manera manual. Ahora el sistema de seguridad puede responder solo a eventos basados en reglas maliciosas y escenarios introducidos por expertos.
Kaspersky Anti-Targeted Attack Platform con características de la XDR.
¿Complicar o simplificar?
Espero que ahora quede claro que cualquier EDR o XDR representa una basta colección de tecnologías complejas. No obstante, las funcionalidades de los EDR o XDR de distintos proveedores pueden tener variaciones. Un ejemplo: cada proveedor determina qué y cuánto introducen sus expertos en un EDR/XDR para reflejar mejor y, por lo tanto, esquivar las amenazas de la actualidad. Por tanto, aunque todos se llaman EDR/XDR, no necesariamente son iguales.
Por ejemplo, en la plataforma Kaspersky XDR, además de las capacidades XDR que ya mencionamos, también existe un módulo que proporciona formación interactiva para ampliar los conocimientos cibernéticos de los empleados de las empresas-clientes. ¡Y no hay otra XDR que haga lo mismo! Creo que esto es algo digno de resaltar e inclusivo una buena razón para presumir, ¿no?
Seguramente habrá muchos escépticos que piensen que, si añadimos todo lo que tenemos a la protección empresarial, ¿no será demasiado? Un laberinto que se torna muy complejo y engorroso, así como complicado de entender y dominar. Y pensarán: “¿Qué sigue?”, “¿Se trata de estrategias de marketing en las que se lanzará el YDR para el año entrante y luego el ZDR al siguiente año?
Ok, entendemos su punto de vista y el de nuestros clientes. Con el pasar de los años, nos percatamos de que, en la ciberseguridad empresarial, no todas las empresas necesitan el pack completo en realidad. Con frecuencia somos testigos de que lo que realmente necesitan es un conjunto básico de herramientas EDR con instrucciones claras y concisas de cómo usarlas. Este es el caso de las pequeñas y medianas empresas que cuentan con equipos pequeños de especialistas en seguridad informática.
Entonces, ¿qué hacemos para satisfacer las necesidades más básicas? Creamos nuestro nuevo y mejorado KEDR Optimum: “detección avanzada, investigación simple y respuestas automatizadas en un paquete sencillo de utilizar para proteger su empresa de las amenazas más recientes”. Por ejemplo, en sus nuevas tarjetas de alerta, además de descripciones detalladas sobre eventos sospechosos y amenazas, ahora también hay una sección de Respuesta guiada. Esta proporciona recomendaciones paso a paso para la investigación y la respuesta frente a las amenazas descubiertas.
Recomendaciones de Kaspersky Endpoint Detection and Response Optimum.
Este tipo de recomendaciones se crearon gracias a décadas de trabajo y dedicación de nuestros principales expertos y vienen en forma de enlaces con descripciones detalladas de los procedimientos de protección. Esto no solo mejora la velocidad de respuesta, sino que también permite a los nuevos especialistas en seguridad informática incrementar sus habilidades, por ejemplo, con ventanas emergentes interactivas:
Ventana emergente interactiva de Kaspersky Endpoint Detection and Response Optimum.
Otra cosa que ahora puede hacer KEDR Optimum es estar al pendiente de los especialistas en seguridad informática que puedan bloquear por accidente este o aquel objeto crítico del sistema. A final de cuentas, el malware suele iniciarse, en ocasiones, mediante archivos legítimos del sistema operativo y el bloqueo de estos puede dificultar el funcionamiento de toda la infraestructura de TI. Con KEDR Optimum, estás cubierto.
Y para finalizar, debo mencionar un último detalle sobre KEDR Optimum. Todo esto lo he escrito yo, el Sr. K., pero ¿te gustaría una opinión más imparcial? ¡Sin problema! Puedes echar un vistazo a los laboratorios de pruebas independientes y descubrir su opinión, por ejemplo: IDC, Radicati y SE Lab. Aquí lo encuentras 100 % transparente e imparcial.
