¿Qué es EDR en informática?

Inteligencia Artificial en Salud

¿Qué es EDR en informática?

0

   Todos se podrían estar preguntando  – ¿Qué es EDR en informática?

Endpoint Detection and Response (conocida por su siglas en inglés EDR) es una herramienta que proporciona monitorización y análisis continuo del endpoint y la red.

La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.

El EDR en sus inicios estaba más pensado para grandes empresas con SOC dedicados.

Hoy en día, la demanda de este tipo de soluciones se ha desplazado a empresas de todos los tamaños.

Evolución del mercado

La propia evolución del mercado ha llevado a que los distintos fabricantes vayan integrando en sus EPP funcionalidades EDR.

El objetivo es que la empresa esté protegida frente a cualquier posible incidente de seguridad.

Tanto si es una una amenaza tradicional, una aplicación vulnerable o una amenaza desconocida.

Proporciona herramientas adicionales para buscar amenazas desconocidas. Es posible realizar un análisis forense y responder de manera rápida y efectiva a los ataques.

La tecnologia EDR detecta ataques que nuestro antivirus ha pasado por alto.

Monitoriza y evalúa todas las actividades de la red (eventos de los usuarios, archivos, procesos, registros, memoria y red).

Detecta ataques informáticos en tiempo real, y permite tomar medidas inmediatas si es necesario.

EDR vs EPP

Un EPP se centra únicamente en la prevención en el perímetro. Tiene como objetivo evitar que las amenazas ingresen en la red.

El EDR está enfocado en amenazas avanzadas, las diseñadas para evadir la primera capa de defensa y que logran penetrar en la red. Detecta esa actividad y contiene al adversario antes de que pueda moverse lateralmente en la red.

¿Qué es EDR en informática? y Cómo funciona ?

El EDR es más efectivo que un antivirus en la detección del malware desconocido puesto que utiliza una serie de técnicas novedosas, como son:

  •  Machine learning y la analítica.
  • Sandboxing.
  • Alertas generadas por sistemas externos (IOC o indicadores de compromiso), categorización de los incidentes para actuar sobre los más críticos con rapidez.
  • Investigación de los incidentes desde el punto de vista histórico: se rastrea el origen y evolución del malware para tomar medidas preventivas de cara a incidentes futuros
  • Herramientas de remediación para eliminar los ficheros infectados, poner en cuarentena y volver al estado anterior a la infección.
que es un EDR en informatica

¿Cómo actúa el EDR?

EDR monitoriza la actividad de los endpoints y realiza una clasificación de los archivos según sean seguros, peligrosos o «desconocidos».

Cuando detecta archivos sospechosos (desconocidos) en uno de los endpoints, (p.e. un adjunto en un correo), automáticamente lo envía a la nube. Permanece aislado en un entorno de pruebas, y lo ejecuta imitando el comportamiento que tendría un usuario.

Mientras, un sistema de machine learning observa y aprende del comportamiento de la amenaza.

Tras observarlo un tiempo, se podrá determinar si es seguro o peligroso. Si se considera peligroso, se bloqueará en todos los endpoints.

De ese modo, si en el futuro se detecta de nuevo ese archivo en cualquiera de los endpoints, directamente lo bloqueará impidiendo su ejecución.

Caracteristicas EDR

¿Qué es EDR en informática?Características clave.

Existen muchas soluciones EDR en el mercado, cada una con sus propias fortalezas y debilidades. Estas son las capacidades clave de detección y respuesta inteligente para endpoints

Detección.

Utilizan la IA (inteligencia artificial) para reducir la tasa de falsos positivos.

Los equipos pueden optimizar los recursos clave y centrarse en tareas de TI importantes en lugar de revisar un gran volúmen de alertas y falsos positivos.

Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware.

Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc.

Contención.

Permite un bloqueo avanzado de amenazas.

No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.

Investigación

Respuesta rápida frente a incidentes.

Cualquier empresa está expuesta a ser víctima de un ciberataque. El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver a al trabajo cuanto antes.

Eliminación.

Reparación del endpoint a fondo.

Para que puedan recuperar el estatus anterior a ser infectados.

edr endpoint

Beneficios del EDR

¿Cómo mejoran las herramientas EDR nuestra seguridad?

  1. Mayor anticipación a los ataques dirigidos. Con el modelo de prevención  (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.
  2. Menor tiempo de exposición a incidentes de seguridad. Gracias a un enfoque reactivo, podemos actuar en cuestión de pocos segundos o minutos.
  3. Proporcionan una visibilidad completa de las amenazas de nuestros endpoints. Gracias a la investigación guiada, es más fácil comprender el origen de los incidentes, la ruta que ha seguido un ataque y el impacto o quien se ha visto afectado y cómo responder.

¿Qué es EDR en informática?  Casos de uso del EDR

La detección y respuesta inteligentes para endpoints ofrecen a los equipos de seguridad visibilidad y experiencia para responder a las preguntas más complejas sobre un incidente:

  1. «¿Qué ha sucedido después de la infección?»
  2. «¿ha habido propagación?»
  3. «¿qué otras máquinas se infectaron infectadas y no han mostrado síntomas?»
  4. «¿qué otros sistemas han descargado el mismo malware pero aún no lo han ejecutado?»

¿En qué tipo de escenarios está recomendado el EDR?

Dónde el antivirus tradicional no es capaz de llegar y sí el EDR.

  • Ataques de phishing. Un cibercriminal roba nuestras credenciales y accede a nuestros sistemas de forma legítima. Actividades como tratar de elevar privilegios o moverse horizontalmente a otros endpoints dejará un rastro que no podrá ser detectado por nuestro antivirus.
  • Documentos de Office con macros maliciosas embebidas o PDFs que contengan código javascript malicioso. El antivirus comprueba sólo el documento inicial y no actúa si lanza un script para descargar malware. El malware podría entonces acechar en segundo plano sin ser detectado, infectar al usuario y moverse por la red.
  • Malware sin archivos. El cibercriminal carga y ejecuta un código malicioso enteramente desde la memoria del equipo sin afectar al sistema de archivos. Como no hay ningún archivo que analizar, el antivirus no detectará actividad sospechosa.
  • Malware altamente polimorfo. Los virus polimorfos van cambiando de forma continúa su comportamiento para evitar ser detectados por un antivirus.

Aspectos a tener en cuenta antes de invertir en una solución EDR

Antes de adquirir una solución de este tipo, debemos sopesar diversos factores.

¿Qué tipo de recursos tengo para adoptar una solución EDR?

Es cierto que las soluciones EDR van ganando adeptos entre las pymes. Sin embargo, también es cierto, que muchas de ellas carecen de los recursos para maximizar los beneficios de esta tecnología.

El uso de funciones avanzadas de EDR, como el análisis forense, el análisis de actividades sospechosas y la inteligencia artificial (IA) supone dedicar recursos humanos y técnicos para gestionar toda la información que el EDR genera en el día a día.

¿Tenemos un equipo de seguridad de TI dedicado?

¿Necesitaremos contratar a más personas o contratar un SOC con un partner especializado?

Si no tenemos o no queremos destinar recursos propios al despliegue, migración y configuración de las soluciones EDR, podemos contar con técnicos externos especializados y certificados en el uso de estas herramientas.

También, existe un nuevo servicio de soporte gestionado. En este, el partner ayuda al departamento TI interno, a realizar el despliegue y puesta en marcha de la solución.

Además, su soporte técnico se encargará de la monitorización, búsqueda, detección y respuesta a amenazas las 24 horas. Éste es el conocido como servicio MTR (Managed Threat Response).

¿Es una Herramienta EDR fácil de gestionar?

Como comentamos al principio, en su origen, las soluciones EDR estaban orientadas a SOC. Debían contar con personal técnico dedicado a analizar los ataques y darles respuesta.

Los fabricantes saben que la mayoría de las empresas no disponen de esos recursos.

Por esto, están facilitando interfaces de gestión sencillas. Los usuarios pueden acceder en un par de clicks a toda la información de sus endpoints. Así como recibir alertas, ver las detecciones y realizar las investigaciones guiadas.

 

 

 

Conclusiones.

Las soluciones EDR, se han convertido en tendencia en la ciberseguridad corporativa. Han venido para quedarse.

Suponen un cambio de mentalidad para la seguridad del endpoint. Se trata de adoptar un enfoque proactivo y adaptativo. Ahora, los administradores de TI son capaces de responder y de adelantarse a las amenazas de seguridad.

Incibe ofrece algunas soluciones  de EDR.  Veamos las en este enlace.

 

Carbon Black, CroswStrike, Cylance y SentinelOne son referentes en este tipo de soluciones.

Otros fabricantes como BitDefender, Kaspersky, Sophos, Trend Micro, Panda Security o Symantec también han incorporado el EDR en sus propuestas.

Parece que en 2020 el mercado de soluciones de EDR seguirá en auge.  ¿Qué es EDR en informática?

¿Qué es EDR en informática?  ha sido tomado de:  Tecnozero.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Barcelona, 08172

juan@juanbarrios.com

alessandropastegnaro.me

© 2024 Juan Barrios

HTML Snippets Powered By : XYZScripts.com