{"id":27753,"date":"2022-10-06T09:54:22","date_gmt":"2022-10-06T07:54:22","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27753"},"modified":"2022-10-06T12:43:15","modified_gmt":"2022-10-06T10:43:15","slug":"introducing-kedr-optimum","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/introducing-kedr-optimum\/27753\/","title":{"rendered":"Presentamos Kaspersky EDR Optimum"},"content":{"rendered":"

Nombrar productos y servicios<\/strong>, y tambi\u00e9n sus diversas funciones y caracter\u00edsticas, en<\/strong> el \u00e1mbito de la seguridad inform\u00e1tica<\/strong> es<\/strong>, en una palabra, complicado<\/strong>. \u00bfPor qu\u00e9? Por su complejidad\u2026<\/p>\n

La ciberseguridad no es un objeto unidimensional como, por ejemplo, un barco. Hay barcos de diferentes tama\u00f1os, pero aparte de esto, un barco suele ser un barco. Pero en el \u00e1mbito de la seguridad inform\u00e1tica, \u00bfc\u00f3mo se podr\u00eda etiquetar de forma sencilla (y llamativa, si es posible) todo lo que hace un sistema moderno de ciberseguridad empresarial y de una forma que sea suficientemente f\u00e1cil de entender? \u00bfY c\u00f3mo se puede diferenciar un sistema de seguridad de otro? Si ya suele ser dif\u00edcil explicar estas diferencias en una descripci\u00f3n de al menos un p\u00e1rrafo, \u00bfc\u00f3mo se puede hacer en el nombre de un producto o servicio? Como hemos dicho: Es complicado.<\/p>\n

Quiz\u00e1s es por eso por lo que algunos todav\u00eda asocian a Kaspersky con el \u201csoftware <\/em>antivirus\u201d<\/strong>. Pero, en realidad, detectar y neutralizar malware <\/em>basado en una base de datos de antivirus es hoy solo una de todas nuestras tecnolog\u00edas de seguridad<\/strong>, en los \u00faltimos 25 a\u00f1os hemos ido a\u00f1adiendo muchas otras. La palabra antivirus hoy en d\u00eda es m\u00e1s una met\u00e1fora: es un t\u00e9rmino conocido, que se entiende y, por lo tanto, es una etiqueta \u00fatil (aunque no sea demasiado precisa o est\u00e9 actualizada).<\/p>\n

Pero \u00bfqu\u00e9 debemos hacer si necesitamos hablar a la gente sobre la protecci\u00f3n multifuncional y compleja para las infraestructuras de TI empresariales? Aqu\u00ed es donde aparecen unos extra\u00f1os conjuntos de palabras<\/strong>. Luego est\u00e1n todas las abreviaturas que vienen con ellos<\/strong>, cuya idea original era la simplificaci\u00f3n de esos extra\u00f1os conjuntos de palabras, \u00a1pero que normalmente solo crean m\u00e1s confusi\u00f3n<\/strong>! Y cada a\u00f1o que pasa aumenta la cantidad de t\u00e9rminos y abreviaturas, y memorizarlos todos se vuelve cada vez m\u00e1s\u2026 complicado. As\u00ed que perm\u00edteme hacer un breve recorrido por todo este galimat\u00edas de nombres, t\u00e9rminos, descripciones y abreviaturas complejos pero necesarios, para intentar lograr, con suerte, a alcanzar el objetivo inicial de estas abreviaturas: aportar claridad<\/strong>.<\/p>\n

De EPP a XDR<\/h2>\n

Pues bien, volvamos al barco, o m\u00e1s bien, el antivirus.<\/p>\n

El nombre m\u00e1s exacto de esta clase de productos en la actualidad es \u201cProtecci\u00f3n de endpoints\u201d <\/em>o \u201cSeguridad de endpoints\u201d<\/em>. Al fin y al cabo, como comentamos anteriormente, no es solo el antivirus lo que protege actualmente los endpoints<\/em>, sino una serie de medidas de seguridad. Y, a veces, las diversas tecnolog\u00edas de endpoint<\/em> reciben un nombre actualizado que incluye la palabra \u201cplataforma\u201d. Parece que esto suena m\u00e1s apropiado y que las describe con mayor precisi\u00f3n, adem\u00e1s tambi\u00e9n parece estar m\u00e1s de moda, igual que su abreviatura: EPP<\/a> (Plataforma de protecci\u00f3n de endpoints<\/em><\/strong>).<\/p>\n

La Plataforma de protecci\u00f3n de endpoints<\/em> es, en esencia, un concepto que se remonta a la d\u00e9cada de 1990. Todav\u00eda es necesaria, pero para una protecci\u00f3n de calidad de la infraestructura distribuida se requieren otros m\u00e9todos. Los datos deben recopilarse y analizarse de toda la red para detectar no solo incidentes singulares, sino tambi\u00e9n cadenas completas de ataques que no se limitan a un solo endpoint<\/em>. Es necesario reaccionar ante las amenazas en toda la red, no solo en un ordenador.<\/p>\n

Si avanzamos r\u00e1pidamente una d\u00e9cada m\u00e1s o menos, a principios de la d\u00e9cada de los 2000, aparece una clase de productos llamados SIEM<\/a>: Sistema de\u00a0gesti\u00f3n de eventos\u00a0e\u00a0informaci\u00f3n de seguridad.<\/strong> Es decir, una herramienta para la recopilaci\u00f3n y el an\u00e1lisis de toda la telemetr\u00eda de la seguridad inform\u00e1tica de varios dispositivos y aplicaciones. Y no solo para la actualidad: un buen SIEM puede realizar un an\u00e1lisis retrospectivo, comparar eventos del pasado y descubrir ataques que duran varios meses o incluso a\u00f1os.<\/p>\n

Entonces, en esta etapa (a principios de la d\u00e9cada de los 2000, para los m\u00e1s despistados) ya estamos trabajando con toda la red. Pero en SIEM no encontramos una \u201cP\u201d de \u201cProtecci\u00f3n\u201d. La protecci\u00f3n la proporciona la EPP (la Plataforma de protecci\u00f3n de endpoints<\/em>, por si te has perdido). Sin embargo, la EPP no contempla los eventos de red; por ejemplo, podr\u00eda pasar por alto f\u00e1cilmente una APT<\/a> (amenaza persistente avanzada).<\/p>\n

Despu\u00e9s, a principios de la d\u00e9cada de 2010, aparece otra abreviatura para llenar este vac\u00edo y cubrir ambas funciones de seguridad: EDR<\/a> (Detecci\u00f3n y respuesta en endpoint<\/em>)<\/strong>. Por un lado, esta proporciona un monitoreo centralizado de toda la infraestructura de TI, lo que permite, por ejemplo, recopilar rastros de ataques de todos los hosts<\/em>. Por otro lado, un producto del tipo EDR para la detecci\u00f3n no solo utiliza m\u00e9todos EPP, sino tambi\u00e9n tecnolog\u00edas m\u00e1s avanzadas como el an\u00e1lisis correlacional<\/a> de eventos y la selecci\u00f3n de anomal\u00edas en base al aprendizaje autom\u00e1tico<\/a> y el an\u00e1lisis din\u00e1mico de objetos sospechosos en un sandbox<\/em><\/a>, adem\u00e1s de otra gran variedad de herramientas de detecci\u00f3n de amenazas<\/a> para ayudar en la investigaci\u00f3n y respuesta<\/a>.<\/p>\n

Y cuando hacemo EDR nosotros aqu\u00ed enK, ponemos nuestro sello, consiguiendo KEDR<\/a>.<\/p>\n

Hasta ahora, est\u00e1 muy bien<\/span> genial. Pero\u2026 \u00a1a\u00fan se puede perfeccionar!<\/p>\n

Seguimos avanzando r\u00e1pidamente, esta vez hasta principios de la d\u00e9cada de 2020, aqu\u00ed es cuando se introduce una nueva abreviatura que en seguida causa furor en la industria de la ciberseguridad: la XDR<\/a> (Detecci\u00f3n y respuesta extendidas<\/a>)<\/strong>. Esto, por decirlo metaf\u00f3ricamente, es como EDR con esteroides. Este sistema analiza los datos no solo de los endpoints<\/em> (estaciones de trabajo), sino tambi\u00e9n de otras fuentes, por ejemplo, las puertas de enlace de correo y los recursos en la nube, lo que tiene mucho sentido, ya que los ataques a la infraestructura pueden venir de cualquier tipo de punto de entrada.<\/p>\n

La XDR puede enriquecer a\u00fan m\u00e1s su experiencia con m\u00e1s datos de:<\/p>\n