EDR: significado y definición
La detección y respuesta en endpoints (EDR) es una categoría de herramientas que supervisan continuamente la información relacionada con las amenazas en las computadoras de las estaciones de trabajo y otros endpoints. El objetivo de la EDR es identificar las vulneraciones de seguridad en tiempo real y desarrollar una respuesta rápida frente a las amenazas potenciales. La detección y respuesta en endpoints, a veces conocida como detección y respuesta a las amenazas de endpoints (ETDR), describe las funcionalidades de un conjunto de herramientas cuyos detalles pueden variar según la implementación.
Gartner acuñó el término en 2013 para destacar lo que entonces se consideraba una nueva categoría de software de ciberseguridad.
¿Cómo funciona la EDR?
La EDR se centra en los endpoints, que pueden ser cualquier sistema informático de una red, como las estaciones de trabajo de usuarios finales o los servidores. Las soluciones de seguridad EDR ofrecen visibilidad en tiempo real y detección y respuesta proactivas. Lo logran a través de diversos métodos, como los siguientes:
Recopilación de información de los endpoints:
Se generan datos a nivel de los endpoints, que incluyen las comunicaciones, la ejecución de procesos y los inicios de sesión de los usuarios. Estos datos están anonimizados.
Envío de datos a la plataforma EDR:
Los datos anonimizados se envían desde todos los endpoints a una ubicación central, que suele ser una plataforma EDR basada en la nube. También puede funcionar en el lugar o como una nube híbrida, en función de las necesidades de una organización en particular.
Análisis de datos:
La solución usa aprendizaje automático para analizar los datos y realizar un análisis del comportamiento. La información obtenida se usa para establecer una línea de base de la actividad normal, de modo que se puedan identificar las anomalías que representan una actividad sospechosa. Algunas soluciones EDR incluyen inteligencia de amenazas para proporcionar contexto usando ejemplos reales de ciberataques. La tecnología compara la actividad de la red y de los endpoints con estos ejemplos para detectar ataques.
Identificación de la actividad sospechosa y respuesta a ella:
La solución identifica la actividad sospechosa y envía alertas a los equipos de seguridad y a las partes interesadas correspondientes. También inicia respuestas automatizadas en función de desencadenantes predeterminados. Un ejemplo de esto podría ser el aislamiento temporal de un endpoint para evitar que el malware se propague en la red.
Conservación de datos para su uso futuro:
Las soluciones EDR conservan los datos para respaldar futuras investigaciones y la búsqueda proactiva de amenazas. Los analistas y las herramientas usan estos datos para investigar ataques prolongados existentes o ataques que no se hayan detectado previamente.
El uso de la EDR está creciendo, impulsado en parte por el aumento de la cantidad de endpoints conectados a las redes y también por la mayor sofisticación de los ciberataques, que a menudo se centran en los endpoints como objetivos más fáciles para infiltrarse en una red.
Qué buscar en una solución EDR
Las funcionalidades de la EDR varían de un proveedor a otro, por lo que, antes de seleccionar una solución de EDR para tu organización, es importante investigar las funcionalidades de cualquier sistema propuesto y lo bien que puede integrarse con las funcionalidades de seguridad generales con las que ya cuentes. La solución EDR ideal es la que proporciona el mayor nivel de protección y requiere el menor esfuerzo e inversión, lo que le agrega valor a tu equipo de seguridad sin agotar los recursos. Estos son los atributos clave para tener en cuenta:
Visibilidad de los endpoints:
La visibilidad de todos tus endpoints te permite detectar las posibles amenazas en tiempo real para poder detenerlas inmediatamente.
Base de datos de amenazas:
Una EDR efectiva requiere que se recopilen datos significativos de los endpoints y se los enriquezca con el contexto para que el análisis pueda identificar señales de ataque.
Protección del comportamiento:
La EDR implica enfoques de comportamiento que busquen indicadores de ataque (IOA) y alerta a las partes interesadas sobre las actividades sospechosas antes de que se produzca una vulneración.
Información e inteligencia:
Las soluciones EDR que integran la inteligencia de amenazas pueden proporcionar contexto, como información sobre el presunto atacante u otros detalles sobre el ataque.
Respuesta rápida:
Las EDR que facilitan una respuesta rápida a los incidentes pueden prevenir un ataque antes de que se convierta en una vulneración, lo que permite que tu organización siga funcionando con normalidad.
Solución basada en la nube:
Una solución de detección y respuesta en endpoints basada en la nube garantiza un impacto nulo sobre los endpoints, a la vez que permite que las funcionalidades de búsqueda, análisis e investigación continúen con precisión y en tiempo real.
Los detalles precisos y las funcionalidades de un sistema EDR pueden variar en función de la implementación. Una implementación de EDR puede incluir lo siguiente:
- una herramienta específica creada para el objetivo determinado;
- un pequeño componente de una herramienta más amplia de supervisión de la seguridad o
- una recopilación general de herramientas que se usan en combinación con otras.
Como los métodos de los atacantes evolucionan continuamente, los sistemas de protección tradicionales pueden quedarse atrás. Los expertos en ciberseguridad consideran que la EDR es una forma de protección avanzada contra las amenazas.
Por qué la EDR es fundamental para las empresas
La mayoría de las organizaciones están expuestas a una amplia gama de ciberataques. Estos van desde ataques simples y oportunistas, como el envío de un archivo adjunto de correo electrónico con un ransomware conocido, hasta ataques más avanzados en los que los ciberdelincuentes pueden tomar exploits o métodos de ataque conocidos e intentar ocultarlos usando técnicas de evasión como la ejecución de malware en la memoria.
Por ello, la seguridad de los endpoints es un aspecto esencial de la estrategia de ciberseguridad de una organización. Si bien las defensas basadas en la red son efectivas para bloquear una gran proporción de ciberataques, algunos se filtran y otros, como el malware transportado en medios extraíbles, pueden burlar estas defensas por completo. Una solución de defensa basada en los endpoints permite que las organizaciones implementen una mayor seguridad y aumenta sus posibilidades de identificar y responder a estas amenazas.
A medida que las organizaciones de todo el mundo migran cada vez más hacia el trabajo remoto, la importancia de una protección sólida de los endpoints aumenta. Es posible que los empleados que trabajan desde casa no estén protegidos contra las ciberamenazas al mismo nivel que los trabajadores en las instalaciones y podrían estar usando dispositivos personales que no cuenten con las actualizaciones y los parches de seguridad más recientes. Es probable que los empleados que trabajan a distancia estén menos atentos a su ciberseguridad que si estuvieran en una oficina tradicional.
Como resultado, las organizaciones y sus empleados están expuestos a riesgos adicionales de ciberseguridad. Una fuerte seguridad de los endpoints es esencial, ya que protege al empleado de las amenazas y puede evitar que los delincuentes usen la computadora de un trabajador remoto para atacar la red de la organización.
La corrección de una vulneración puede ser difícil y costosa, y quizás esta sea la razón más importante por la que es necesaria la EDR. Sin una solución EDR, las organizaciones pueden pasar semanas tratando de decidir qué acciones tomar y, a menudo, su única solución es restablecer la imagen inicial de las máquinas, lo que puede causar una gran interrupción, reducir la productividad y generar pérdidas financieras.
Diferencias entre la EDR y los antivirus
La EDR no es un software antivirus, aunque puede tener funcionalidades antivirus o usar datos de un producto antivirus. El software antivirus se encarga de proteger contra las ciberamenazas conocidas, mientras que un programa EDR identifica los nuevos exploits a medida que se ejecutan y puede detectar la actividad sospechosa de un atacante durante un incidente activo. Es por ello que el software EDR forma parte de la última generación de productos de ciberseguridad.
Prácticas recomendadas de la EDR
Deben tenerse en cuenta varias prácticas recomendadas al implementar la EDR en tu organización, como las siguientes:
No pasar por alto a los usuarios
Los usuarios representan uno de los mayores riesgos para cualquier sistema, debido a que pueden causar daños, ya sea intencionalmente o por error humano. Se debe educar a los usuarios sobre las ciberamenazas y los comportamientos de riesgo para aumentar su conocimiento sobre la seguridad y minimizar las responsabilidades que causan tácticas como el phishing o la ingeniería social. La capacitación constante o los simulacros de amenazas aumentarán el conocimiento de los usuarios sobre los problemas de ciberseguridad y acelerarán el tiempo de respuesta cuando se produzca un incidente.
Algunos usuarios podrían encontrar alternativas si una solución EDR es intrusiva para la experiencia del usuario. Por ejemplo, esto puede incluir la desactivación de las funciones de defensa para mejorar su experiencia. Sin embargo, si una solución es demasiado flexible a las peticiones de los usuarios, los atacantes pueden encontrarla fácil de manipular. Puede ayudar ser lo más transparente posible para el usuario final, para asegurarse de que entienda el porqué de estas soluciones. Cuando se requiera la interacción con el usuario, las comunicaciones deben ser claras y directas. El sistema no debería revelar información innecesaria del sistema, como datos personales o arquitecturas IP.
Integrar con otras herramientas
Las soluciones EDR están diseñadas para proteger los endpoints, pero no proporcionan una cobertura de seguridad completa para todos los activos digitales de la organización. La EDR debe funcionar como un aspecto de tu estrategia global de seguridad de la información junto con otras herramientas como el antivirus, la administración de parches, los firewalls, el cifrado y la protección de DNS.
Usar la segmentación de la red
Aunque algunas soluciones EDR aíslan los endpoints al responder a las amenazas, no sustituyen la segmentación de la red. Por ejemplo:
- Una red segmentada permite restringir los endpoints a servicios y depósitos de datos específicos. Esto puede reducir significativamente el riesgo de pérdida de datos y el nivel de daño que podría causar un ataque exitoso.
- Los conmutadores de Ethernet (ESP) pueden proporcionar una protección de red adicional. Los ESP permiten ocultar la estructura de la red, lo que asegura que los atacantes no puedan moverse fácilmente entre los segmentos de la red.
Adoptar medidas preventivas
Nunca se debe confiar únicamente en las respuestas activas a las amenazas, sino que es necesario combinar la respuesta activa con medidas preventivas. Asegurarse de que los sistemas se mantienen actualizados y con todos los parches, con protocolos y listas de dependencia integrales, reducirá la cantidad de amenazas contra las que hay que protegerse.
Audita regularmente tus sistemas para comprobar que las herramientas y los protocolos sigan estando debidamente configurados y aplicados. Prueba la funcionalidad de los sistemas y las herramientas mediante la realización de modelos de amenazas y pruebas de penetración de forma continua.
Lo ideal es que tu organización cuente con un plan integral de respuesta a incidentes que especifique quiénes responderán y cómo en caso de ataque. Tener un plan te ayudará a disminuir el tiempo de respuesta a los incidentes y te proporcionará una estructura para analizar los datos recopilados luego del evento.
Usar los recursos disponibles
Si usas herramientas de terceros, aprovecha cualquier recurso educativo que te proporcione tu proveedor de EDR. Muchos proveedores ofrecen capacitaciones o seminarios web para mantener a los clientes al día sobre las últimas funciones y las prácticas recomendadas. Algunas empresas ofrecen cursos breves sobre diversos temas de seguridad con costos bajos o nulos.
Puedes encontrar herramientas y recursos útiles sobre recursos comunitarios y organizaciones de intercambio y análisis de información (ISAO). Entre las organizaciones comunitarias más conocidas cuyos sitios web contienen datos y conocimientos útiles sobre ciberseguridad se encuentran la Base de Datos Nacional de Vulnerabilidades (NVD) y el proyecto Open Web Application Security (OWASP).
Diferencias entre la EDR y la XDR
Las herramientas tradicionales de EDR se centran únicamente en los datos de los endpoints, y brindan visibilidad sobre las posibles amenazas. A medida que siguen evolucionando los retos a los que se enfrentan los equipos de seguridad, como la sobrecarga de eventos, las herramientas de enfoque limitado, la falta de integración, la escasez de habilidades y la falta de tiempo, también lo hacen las soluciones EDR.
La XDR, o la detección y respuesta ampliadas, es un enfoque más reciente de la detección y respuesta a las amenazas en los endpoints. La “X” se refiere a “ampliada” y abarca cualquier fuente de datos, como aquellos de la red, de la nube, de terceros y de los endpoints, al reconocer las limitaciones de investigar las amenazas en silos aislados. Los sistemas XDR usan una combinación de análisis, heurística y automatización para generar información a partir de estas fuentes, lo que mejora la seguridad en comparación con las herramientas de seguridad aisladas. El resultado es la simplificación de las investigaciones en todas las operaciones de seguridad, que reduce el tiempo necesario para descubrir, investigar y responder a las amenazas.
Productos relacionados:
- Kaspersky Endpoint Detection and Response Expert
- Kaspersky Endpoint Detection and Response Optimum
- Kaspersky Endpoint Security for Business
Más información: