![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/22111810\/EDR.jpg\")
<\/p>\nCuando se trata de estrategias de seguridad inform\u00e1tica, a las empresas les interesa una cuesti\u00f3n: \u00bfQu\u00e9 medidas son suficientes? Durante mucho tiempo, la opini\u00f3n com\u00fan sosten\u00eda que bastaba con una estrategia pasiva (proteger el per\u00edmetro de la red y los terminales). Pero cada vez hay m\u00e1s empresas que terminan siendo v\u00edctimas de ataques dirigidos y avanzados, por lo que queda claro que se necesitan nuevos m\u00e9todos de protecci\u00f3n, como el EDR, o Endpoint Detection and Response<\/i>.<\/p>\nPor qu\u00e9 las estrategias pasivas no bastan<\/h3>\n
Las estrategias pasivas funcionan con las amenazas m\u00e1s extendidas: correos con troyanos, phishing, vulnerabilidades conocidas, etc. En otras palabras, dichas estrategias son efectivas cuando los atacantes apuntan a un gran n\u00famero de personas y esperan a que alguna pique el anzuelo. Se trata de un negocio ilegal, pero que cumple con las pr\u00e1cticas empresariales al buscar un equilibrio, en este caso, un balance entre la complejidad del ataque (y su coste) y el beneficio esperado.<\/p>\n
<\/p>\n
Pero, si tu empresa se convierte en un objetivo interesante (y si es una empresa grande, es probable que lo haga), podr\u00eda terminar siendo un objetivo espec\u00edfico. Los ciberdelincuentes podr\u00edan estar interesados en varios aspectos de tu empresa, como por ejemplo las transacciones financieras, los secretos empresariales o los datos de los usuarios. O puede que simplemente busquen sabotearte para ayudar a tu competencia. Pi\u00e9nsalo por un momento: \u00bfpodr\u00eda estar alguien interesado en atacar alguna empresa de tu sector?<\/p>\n
Por todo ello, los delincuentes empiezan a invertir en ataques dirigidos y complejos. Investigan el software<\/i> que usa tu empresa, buscan vulnerabilidades todav\u00eda desconocidas y desarrollan exploits<\/i> a medida. Buscar\u00e1n formas de acceder entre los socios, los proveedores y sobornando a antiguos empleados, o puede que busquen empleados descontentos para organizar el ataque desde dentro. En el \u00faltimo de los casos, los delincuentes no usar\u00e1n ning\u00fan tipo de malware<\/i> y har\u00e1n uso de las herramientas leg\u00edtimas que una soluci\u00f3n de seguridad tradicional no considerar\u00eda como amenazas.<\/p>\nPor qu\u00e9 es peligroso esperar<\/h3>\n
Es posible que un sistema pasivo detecte un ataque dirigido o alg\u00fan tipo de actividad asociada con uno, pero, aunque lo haga, el sistema simplemente detectar\u00e1 el incidente, lo que no te ayudar\u00e1 a determinar con rapidez qu\u00e9 es lo que ha sucedido en realidad, qu\u00e9 informaci\u00f3n se ha visto afectada por el incidente, c\u00f3mo detenerlo y c\u00f3mo prevenir que vuelva a suceder.<\/p>\n
Si tu empresa solo usa herramientas tradicionales para proteger los equipos, los empleados del servicio de seguridad no siempre podr\u00e1n responder a tiempo a un ataque. Se ver\u00e1n obligados a esperar hasta que ocurra un ciberincidente y solo entonces ser\u00e1 cuando puedan iniciar una investigaci\u00f3n. Adem\u00e1s, es posible que no lo detecten porque estar\u00e1n desempe\u00f1ando sus funciones diarias.<\/p>\n
Los analistas suelen obtener esta informaci\u00f3n mucho despu\u00e9s. Solo despu\u00e9s de llevar a cabo una minuciosa investigaci\u00f3n, que normalmente requiere de trabajo manual, se reportar\u00e1 el incidente al departamento correspondiente. Hasta en las grandes empresas con centros de respuesta importantes, los tres roles (especialista, analista y experto en respuesta) los lleva a cabo en muchos casos la misma persona.<\/p>\n
De acuerdo con nuestras estad\u00edsticas, suelen pasar unos 214 d\u00edas de media desde el momento de la infecci\u00f3n hasta que la empresa detecta una amenaza compleja. En el mejor de los casos, los especialistas de seguridad inform\u00e1tica encuentran alguna pista del ataque, pero ya suele ser cuando lo \u00fanico que pueden hacer es calcular las p\u00e9rdidas e intentar reiniciar los sistemas.<\/p>\n
Es necesario adoptar un nuevo enfoque que se adapte para proteger la propiedad intelectual de las empresas, as\u00ed como su reputaci\u00f3n y dem\u00e1s aspectos importantes. Las estrategias para proteger el per\u00edmetro de la red y los equipos se deben ajustar y reforzar mediante herramientas para una b\u00fasqueda activa y unificada que permita responder de manera adecuada a las amenazas de la seguridad inform\u00e1tica.<\/p>\n
La estrategia True Cybersecurity emplea un concepto de investigaci\u00f3n activa, conocido como threat hunting<\/i> (b\u00fasqueda de amenazas). Se trata de una tarea dif\u00edcil, pero el uso de herramientas especializadas puede simplificarlo. El EDR\u00a0es una de ellas y permite que los encargados de la ciberseguridad recopilen informaci\u00f3n para neutralizar un ataque. Los sistemas EDR usan informaci\u00f3n sobre las amenazas para controlar los procesos activos en las redes corporativas.<\/p>\n
En teor\u00eda, el threat hunting<\/i> debe llevarse a cabo sin el EDR, pero una operaci\u00f3n de este tipo suele ser m\u00e1s cara que efectiva. Pero todav\u00eda hay m\u00e1s: puede afectar de un modo negativo a los procesos corporativos porque requiere de analistas que comprueben todo el espectro de equipos.<\/p>\n
En resumen, EDR permite a los expertos recopilar con rapidez toda la informaci\u00f3n que necesiten , analizarla (tanto autom\u00e1tica como manualmente), tomar decisiones y, adem\u00e1s, eliminar de forma remota cualquier archivo o malware<\/i> mediante una interfaz de control unificado. Tambi\u00e9n les permite poner en cuarentena cualquier objeto e iniciar cualquier proceso necesario para la recuperaci\u00f3n de los sistemas, y todo sin que el usuario se d\u00e9 cuenta de nada, pues no se requiere un acceso f\u00edsico al terminal ni tampoco interrumpir el flujo de trabajo.<\/p>\n