Presentamos Kaspersky EDR Optimum

Kaspersky Endpoint Detection and Response Optimum: ciberseguridad empresarial efectiva.

Nombrar productos y servicios, y también sus diversas funciones y características, en el ámbito de la seguridad informática es, en una palabra, complicado. ¿Por qué? Por su complejidad…

La ciberseguridad no es un objeto unidimensional como, por ejemplo, un barco. Hay barcos de diferentes tamaños, pero aparte de esto, un barco suele ser un barco. Pero en el ámbito de la seguridad informática, ¿cómo se podría etiquetar de forma sencilla (y llamativa, si es posible) todo lo que hace un sistema moderno de ciberseguridad empresarial y de una forma que sea suficientemente fácil de entender? ¿Y cómo se puede diferenciar un sistema de seguridad de otro? Si ya suele ser difícil explicar estas diferencias en una descripción de al menos un párrafo, ¿cómo se puede hacer en el nombre de un producto o servicio? Como hemos dicho: Es complicado.

Quizás es por eso por lo que algunos todavía asocian a Kaspersky con el “software antivirus”. Pero, en realidad, detectar y neutralizar malware basado en una base de datos de antivirus es hoy solo una de todas nuestras tecnologías de seguridad, en los últimos 25 años hemos ido añadiendo muchas otras. La palabra antivirus hoy en día es más una metáfora: es un término conocido, que se entiende y, por lo tanto, es una etiqueta útil (aunque no sea demasiado precisa o esté actualizada).

Pero ¿qué debemos hacer si necesitamos hablar a la gente sobre la protección multifuncional y compleja para las infraestructuras de TI empresariales? Aquí es donde aparecen unos extraños conjuntos de palabras. Luego están todas las abreviaturas que vienen con ellos, cuya idea original era la simplificación de esos extraños conjuntos de palabras, ¡pero que normalmente solo crean más confusión! Y cada año que pasa aumenta la cantidad de términos y abreviaturas, y memorizarlos todos se vuelve cada vez más… complicado. Así que permíteme hacer un breve recorrido por todo este galimatías de nombres, términos, descripciones y abreviaturas complejos pero necesarios, para intentar lograr, con suerte, a alcanzar el objetivo inicial de estas abreviaturas: aportar claridad.

De EPP a XDR

Pues bien, volvamos al barco, o más bien, el antivirus.

El nombre más exacto de esta clase de productos en la actualidad es “Protección de endpoints” o “Seguridad de endpoints”. Al fin y al cabo, como comentamos anteriormente, no es solo el antivirus lo que protege actualmente los endpoints, sino una serie de medidas de seguridad. Y, a veces, las diversas tecnologías de endpoint reciben un nombre actualizado que incluye la palabra “plataforma”. Parece que esto suena más apropiado y que las describe con mayor precisión, además también parece estar más de moda, igual que su abreviatura: EPP (Plataforma de protección de endpoints).

La Plataforma de protección de endpoints es, en esencia, un concepto que se remonta a la década de 1990. Todavía es necesaria, pero para una protección de calidad de la infraestructura distribuida se requieren otros métodos. Los datos deben recopilarse y analizarse de toda la red para detectar no solo incidentes singulares, sino también cadenas completas de ataques que no se limitan a un solo endpoint. Es necesario reaccionar ante las amenazas en toda la red, no solo en un ordenador.

Si avanzamos rápidamente una década más o menos, a principios de la década de los 2000, aparece una clase de productos llamados SIEM: Sistema de gestión de eventos e información de seguridad. Es decir, una herramienta para la recopilación y el análisis de toda la telemetría de la seguridad informática de varios dispositivos y aplicaciones. Y no solo para la actualidad: un buen SIEM puede realizar un análisis retrospectivo, comparar eventos del pasado y descubrir ataques que duran varios meses o incluso años.

Entonces, en esta etapa (a principios de la década de los 2000, para los más despistados) ya estamos trabajando con toda la red. Pero en SIEM no encontramos una “P” de “Protección”. La protección la proporciona la EPP (la Plataforma de protección de endpoints, por si te has perdido). Sin embargo, la EPP no contempla los eventos de red; por ejemplo, podría pasar por alto fácilmente una APT (amenaza persistente avanzada).

Después, a principios de la década de 2010, aparece otra abreviatura para llenar este vacío y cubrir ambas funciones de seguridad: EDR (Detección y respuesta en endpoint). Por un lado, esta proporciona un monitoreo centralizado de toda la infraestructura de TI, lo que permite, por ejemplo, recopilar rastros de ataques de todos los hosts. Por otro lado, un producto del tipo EDR para la detección no solo utiliza métodos EPP, sino también tecnologías más avanzadas como el análisis correlacional de eventos y la selección de anomalías en base al aprendizaje automático y el análisis dinámico de objetos sospechosos en un sandbox, además de otra gran variedad de herramientas de detección de amenazas para ayudar en la investigación y respuesta.

Y cuando hacemo EDR nosotros aquí enK, ponemos nuestro sello, consiguiendo KEDR.

Hasta ahora, está muy bien genial. Pero… ¡aún se puede perfeccionar!

Seguimos avanzando rápidamente, esta vez hasta principios de la década de 2020, aquí es cuando se introduce una nueva abreviatura que en seguida causa furor en la industria de la ciberseguridad: la XDR (Detección y respuesta extendidas). Esto, por decirlo metafóricamente, es como EDR con esteroides. Este sistema analiza los datos no solo de los endpoints (estaciones de trabajo), sino también de otras fuentes, por ejemplo, las puertas de enlace de correo y los recursos en la nube, lo que tiene mucho sentido, ya que los ataques a la infraestructura pueden venir de cualquier tipo de punto de entrada.

La XDR puede enriquecer aún más su experiencia con más datos de:

  • servicios de análisis de amenazas (el nuestro se llama TIP Threat Intelligence Portal),
  • sistemas de análisis de tráfico de red (el nuestro – KATA),
  • sistemas de monitoreo de eventos de seguridad.

Estos datos también pueden llegar a través de servicios similares proporcionados por terceros.

Las capacidades de respuesta de la XDR también son avanzadas. Cada vez se están automatizando más acciones de protección, mientras que, anteriormente, todas se hacían de forma manual. Ahora el sistema de seguridad puede responder por sí solo a eventos basados ​​en reglas maliciosas y escenarios introducidos ​​por expertos.

Kaspersky Anti-Targeted Attack Platform con características de la XDR.

Kaspersky Anti-Targeted Attack Platform con características de la XDR.

¿Complicar o simplificar?

Espero que ahora quede claro que cualquier EDR o XDR representa una gran colección compleja de tecnologías. Sin embargo, las funcionalidades de los EDR o XDR de diferentes proveedores pueden variar mucho. Por ejemplo, cada proveedor determina qué y cuánto introducen sus expertos en un EDR/XDR para reflejar mejor y, por lo tanto, sortear los ataques actuales. Por lo tanto, aunque todos se llaman EDR/XDR, no son todos iguales.

Por ejemplo, en la plataforma Kaspersky XDR, además de las capacidades XDR enumeradas anteriormente, también existe un módulo que proporciona una formación interactiva para ampliar los conocimientos cibernéticos de los empleados de las empresas-clientes. ¡Y ninguna otra XDR hace esto! Creo que esto es algo digno de exaltar e incluso una buena razón por la que presumir, ¿no?

En realidad, seguro que hay muchos escépticos, y estos podrían pensar que, si añadimos todo lo que tenemos a la protección empresarial, ¿no será demasiado? Un laberinto que se vuelve demasiado complejo, engorroso y difícil de entender y dominar. Y pensarán: “¿Qué será lo siguiente?”, “¿Se trata de estrategias de marketing en las que se lanzará el YDR para el año que viene y luego el ZDR el año siguiente?

Vale, entendemos tu punto de vista y el de nuestros clientes. Con el paso de los años, nos hemos dado cuenta de que, en la ciberseguridad empresarial, realmente no todas las empresas necesitan el pack completo. Frecuentemente vemos que lo que realmente necesitan es un conjunto básico de herramientas EDR con instrucciones de cómo usarlas que sean claras y prácticas. Este es principalmente el caso de las pequeñas y medianas empresas que cuentan con pequeños equipos de especialistas en seguridad informática.

Entonces, ¿qué hemos hecho para satisfacer las necesidades más básicas? Hemos creado nuestro nuevo y mejorado KEDR Optimum: “detección avanzada, investigación simple y respuestas automatizadas en un paquete fácil de usar para proteger su empresa de las amenazas más recientes“. Por ejemplo, en sus nuevas tarjetas de alerta, además de descripciones detalladas de eventos sospechosos y amenazas, ahora también hay una sección de Respuesta guiada. Esta proporciona recomendaciones paso a paso para la investigación y la respuesta frente a las amenazas descubiertas.

Recomendaciones de Kaspersky Endpoint Detection and Response Optimum.

Recomendaciones de Kaspersky Endpoint Detection and Response Optimum.

Este tipo de recomendaciones se han creado gracias a décadas de trabajo y dedicación de nuestros principales expertos y vienen en forma de enlaces con descripciones detalladas de los procedimientos de protección. Esto no solo aumenta la velocidad de reacción, sino que también permite a los nuevos especialistas en seguridad informática mejorar sus habilidades, por ejemplo, con ventanas emergentes interactivas:

Ventana emergente interactiva de Kaspersky Endpoint Detection and Response Optimum.

Ventana emergente interactiva de Kaspersky Endpoint Detection and Response Optimum.

Otra cosa que KEDR Optimum puede hacer ahora es estar pendiente de los especialistas en seguridad informática que puedan bloquear accidentalmente este o aquel objeto crítico del sistema. A fin de cuentas, el malware a veces suele iniciarse utilizando archivos legítimos del sistema operativo y el bloqueo de dichos archivos puede dificultar el funcionamiento de toda la infraestructura de TI. Con KEDR Optimum, estás cubierto.

Y finalmente, tengo que mencionar un último detalle sobre KEDR Optimum. Todo lo anterior lo he escrito yo, el Sr. K., pero ¿prefieres una opinión más imparcial? ¡No hay problema! Puedes echar un vistazo a los laboratorios de pruebas independientes para ver qué opinan, por ejemplo: IDC, Radicati y SE Lab. Aquí lo tienes 100 % transparente e imparcial.

Consejos