{"id":25354,"date":"2022-10-06T11:30:20","date_gmt":"2022-10-06T17:30:20","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25354"},"modified":"2022-10-06T11:30:20","modified_gmt":"2022-10-06T17:30:20","slug":"introducing-kedr-optimum","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/introducing-kedr-optimum\/25354\/","title":{"rendered":"Presentamos Kaspersky EDR Optimum"},"content":{"rendered":"

Nombrar productos y servicios, as\u00ed como sus funcionalidades y caracter\u00edsticas, en el \u00e1mbito de la seguridad inform\u00e1tica es, por decirlo simple, complicado. \u00bfPor qu\u00e9? Justo por su complejidad\u2026<\/p>\n

La ciberseguridad no es un objeto unidimensional como podr\u00eda ser un barco, por ejemplo. Existen varios tipos de barcos, pero aparte de esto, un barco suele ser un barco. Pero cuando de seguridad inform\u00e1tica se trata, \u00bfc\u00f3mo podr\u00edamos etiquetar de forma sencilla (y si se puede, llamativa) todo lo que un sistema moderno de ciberseguridad empresarial hace y, adem\u00e1s de una forma que sea lo suficientemente f\u00e1cil de entender? \u00bfY c\u00f3mo diferenciamos un sistema de seguridad de otro? Si ya suele ser dif\u00edcil explicar estas diferencias en una descripci\u00f3n de pro lo menos un p\u00e1rrafo, \u00bfc\u00f3mo lo hacemos en el nombre de un producto o servicio? Como ya dijimos: es complicado.<\/p>\n

Quiz\u00e1s por eso es que algunos todav\u00eda asocian a Kaspersky con el \u201csoftware <\/em>antivirus\u201d. Cuando realmente detectar y neutralizar malware <\/em>mediante una base de datos de antivirus es solo una de todas nuestras tecnolog\u00edas de seguridad actualmente, ya que en los \u00faltimos 25 a\u00f1os a\u00f1adimos muchas otras. En la actualidad, la palabra antivirus es m\u00e1s una met\u00e1fora: es un t\u00e9rmino conocido, que se entiende y, por tanto, resulta una etiqueta \u00fatil (aunque no sea tan precisa o actualizada).<\/p>\n

Pero \u00bfqu\u00e9 hay que hacer si debemos hablarle a la gente sobre la protecci\u00f3n multifuncional y compleja para las infraestructuras de TI empresariales? Es entonces cuando aparecen unos extra\u00f1os conjuntos de palabras. Posteriormente vienen todas las abreviaturas que esto conlleva, cuya idea original era la simplificaci\u00f3n de esos extra\u00f1os conjuntos de palabras, \u00a1pero que en realidad suelen crear m\u00e1s confusi\u00f3n! Y cada a\u00f1o que pasa vemos crecer la cantidad de t\u00e9rminos y abreviaturas, y memorizarlos se vuelve cada vez m\u00e1s\u2026 complicado. Por esto, d\u00e9jame darte un breve recorrido por todo este galimat\u00edas de nombres, t\u00e9rminos, descripciones y abreviaturas tan necesarios como complejos, para que, con un poco de suerte, intentemos alcanzar el objetivo inicial de estas abreviaturas: aportar claridad.<\/p>\n

De EPP a XDR<\/h2>\n

Pues bien, volvamos al barco o, mejor dicho, el antivirus.<\/p>\n

Actualmente el nombre m\u00e1s exacto de este tipo de productos es \u201cProtecci\u00f3n de endpoints\u201d <\/em>o \u201cSeguridad de endpoints\u201d<\/em>. A final de cuentas, como dijimos antes, lo que actualmente protege los endpoints <\/em>no es solo el antivirus, sino una serie de medidas de seguridad. Y, en ocasiones, las distintas tecnolog\u00edas de endpoint<\/em> reciben un nombre actualizado la palabra \u201cplataforma\u201d incluida. Al parecer esto suena m\u00e1s apropiado y las describe con mayor precisi\u00f3n, adem\u00e1s parece estar muy de moda al igual que su abreviatura: EPP<\/a> (Plataforma de protecci\u00f3n de endpoints<\/em>).<\/p>\n

Esencialmente, la plataforma de protecci\u00f3n de endpoints<\/em> es un concepto proveniente de la d\u00e9cada de 1990. Todav\u00eda es necesaria, pero para una protecci\u00f3n de calidad de la infraestructura distribuida son necesarios otros m\u00e9todos. Se deben recopilar y analizar los datos de toda la red para no solo detectar incidentes aislados, sino tambi\u00e9n cadenas de ataque completas que no se limitan a un solo endpoint<\/em>. Se necesita reaccionar ante las amenazas en toda la red, no solo en una computadora.<\/p>\n

Si nos movemos a la siguiente d\u00e9cada, m\u00e1s o menos a principios de los 2000, aparece un tipo de productos llamado SIEM<\/a>: Sistema de\u00a0gesti\u00f3n de eventos\u00a0e\u00a0informaci\u00f3n de seguridad. O sea, una herramienta para recopilar y analizar toda la telemetr\u00eda de la seguridad inform\u00e1tica de varios dispositivos y aplicaciones. Y no funciona solo para algo actual: un buen SIEM es capaz de realizar un an\u00e1lisis retrospectivo, comparando eventos del pasado y as\u00ed descubrir ataques que duran varios meses o hasta a\u00f1os.<\/p>\n

Entonces, en esta etapa (a principios de la d\u00e9cada de los 2000, para quienes se perdieron) ya trabajamos con toda la red. Pero en SIEM no encontramos una \u201cP\u201d de \u201cProtecci\u00f3n\u201d. La protecci\u00f3n la proporciona la EPP (la Plataforma de protecci\u00f3n de endpoints<\/em>, por si te perdiste de nuevo). No obstante, la EPP no contempla los eventos de red; por ejemplo, podr\u00eda pasar por alto f\u00e1cilmente una APT<\/a> (amenaza persistente avanzada por sus siglas en ingl\u00e9s).<\/p>\n

M\u00e1s tarde, al comenzar la d\u00e9cada de 2010, surge una abreviatura m\u00e1s para llenar este vac\u00edo y cubrir ambas funciones de seguridad: EDR<\/a> (Detecci\u00f3n y respuesta en endpoint<\/em>). Por una parte, esta realiza un monitoreo centralizado de toda la infraestructura de TI, lo que permite recopilar rastros de ataques de todos los hosts, <\/em>por ejemplo. Por otra, un producto del tipo EDR no solo utiliza m\u00e9todos EPP para la detecci\u00f3n, sino tambi\u00e9n tecnolog\u00edas m\u00e1s avanzadas como el an\u00e1lisis correlacional<\/a> de eventos y la selecci\u00f3n de anomal\u00edas con base en el aprendizaje autom\u00e1tico<\/a> y el an\u00e1lisis din\u00e1mico de objetos sospechosos en un sandbox<\/em><\/a>, adem\u00e1s de muchas otras herramientas de detecci\u00f3n de amenazas<\/a> que ayuden en la investigaci\u00f3n y respuesta<\/a>.<\/p>\n

Y aqu\u00ed en K, cuando hacemos EDR nos encargamos de poner nuestro sello, consiguiendo KEDR<\/a>.<\/p>\n

Hasta ahora, est\u00e1 muy bien<\/span> genial. Pero\u2026 \u00a1podemos perfeccionarlo!<\/p>\n

Volvamos a avanzar de nuevo, esta vez hasta principios de la d\u00e9cada de 2020, cuando se introduce una nueva abreviatura que caus\u00f3 un furor inmediato en la industria de la ciberseguridad: la XDR<\/a> (Detecci\u00f3n y respuesta extendidas<\/a>). Esto, metaf\u00f3ricamente hablando, es como un EDR con esteroides. El sistema analiza los datos no solo de los endpoints<\/em> (estaciones de trabajo), sino tambi\u00e9n de otras fuentes como las puertas de enlace de correo y los recursos en la nube, lo que tiene mucho sentido, ya que los ataques a la infraestructura pueden provenir desde cualquier punto de entrada.<\/p>\n

La XDR puede enriquecer mucho m\u00e1s su experiencia con m\u00e1s datos de:<\/p>\n