Comprender la Endpoint Detection and Response

EDR: significado y definición

Endpoint Detection and Response (EDR) es una categoría de herramientas que supervisan continuamente la información relacionada con las amenazas en las computadoras de las estaciones de trabajo y otros endpoints. El objetivo de la EDR es identificar las vulneraciones de seguridad en tiempo real y desarrollar una respuesta rápida a las amenazas potenciales. La Endpoint Detection and Response, a veces conocida como detección y respuesta a las amenazas de los endpoints (ETDR), describe las capacidades de un conjunto de herramientas, cuyos detalles pueden variar según la implementación.

El término fue acuñado por primera vez por Gartner en 2013 para destacar lo que entonces se consideraba una nueva categoría de software de ciberseguridad.

¿Cómo funciona EDR?

La EDR se centra en los endpoints, que pueden ser cualquier sistema informático de una red, como estaciones de trabajo de usuarios finales o servidores. Las soluciones de seguridad EDR ofrecen visibilidad en tiempo real y detección y respuesta proactivas. Lo logran a través de diversos métodos, como los siguientes:

Recopilar datos de los endpoints:

Los datos se generan a nivel de los endpoints, incluidas las comunicaciones, la ejecución de procesos y los inicios de sesión de los usuarios. Estos datos son anónimos.

Enviar datos a la plataforma EDR:

Los datos anonimizados se envían desde todos los endpoints a una ubicación central, que suele ser una plataforma EDR basada en la nube. También puede funcionar en el lugar o como una nube híbrida, dependiendo de las necesidades de una organización en particular.

Analizar los datos:

La solución usa el aprendizaje automático para analizar los datos y realizar un análisis del comportamiento. La información se usa para establecer una línea de base de la actividad normal, de modo que se puedan identificar las anomalías que representan una actividad sospechosa. Algunas soluciones EDR incluyen inteligencia de amenazas para proporcionar contexto usando ejemplos reales de ciberataques. La tecnología compara la actividad de la red y de los endpoints con estos ejemplos para detectar ataques.

Marcar la actividad sospechosa y determinar cómo responder:

La solución marca la actividad sospechosa y envía alertas a los equipos de seguridad y a las partes interesadas. También inicia respuestas automatizadas en función de desencadenantes predeterminados. Un ejemplo de esto podría ser el aislamiento temporal de un endpoint para evitar que el malware se propague por la red. 

Conservar datos para su uso futuro: 

Las soluciones EDR conservan los datos para apoyar futuras investigaciones y la búsqueda proactiva de amenazas. Los analistas y las herramientas usan estos datos para investigar ataques prolongados existentes o ataques no detectados previamente.

El uso de la EDR está creciendo, impulsado en parte por el aumento de la cantidad de endpoints conectados a las redes y en parte por la mayor sofisticación de los ciberataques, que a menudo se centran en los endpoints como objetivos más fáciles para infiltrarse en una red.

Qué buscar en un solución EDR

Las capacidades de la EDR varían de un proveedor a otro, por lo que, antes de seleccionar una solución de EDR para tu organización, es importante investigar las capacidades de cualquier sistema propuesto y lo bien que puede integrarse con tus capacidades de seguridad generales existentes. La solución EDR ideal es la que proporciona el mayor nivel de protección y requiere el menor esfuerzo e inversión, agregando valor a tu equipo de seguridad sin agotar los recursos. Estos son los atributos clave a tener en cuenta:

Visibilidad de los endpoints:

La visibilidad de todos tus endpoints te permite ver las posibles amenazas en tiempo real para poder detenerlas inmediatamente.

Base de datos de amenazas:

Una EDR efectiva requiere datos importantes recopilados de los endpoints y los enriquece con el contexto para que el análisis pueda identificar señales de ataque.

Protección de comportamiento:

La EDR implica enfoques de comportamiento que buscan indicadores de ataque (IOA) y alertan a las partes interesadas de actividades sospechosas antes de que se produzca una vulneración.

Información e inteligencia:

Las soluciones EDR que integran la inteligencia de amenazas pueden proporcionar contexto, como información sobre el presunto atacante u otros detalles sobre el ataque.

Respuesta rápida:

Las EDR que facilitan una respuesta rápida a los incidentes pueden prevenir un ataque antes de que se convierta en una vulneración, permitiendo que tu organización siga funcionando con normalidad.

Solución basada en la nube:

Una solución de detección y respuesta a los endpoints basada en la nube garantiza un impacto nulo en los endpoints, a la vez que permite que las capacidades de búsqueda, análisis e investigación continúen con precisión y en tiempo real.

Los detalles y capacidades precisas de un sistema EDR pueden variar en función de la implementación. Una implementación de EDR puede incluir lo siguiente:

• Una herramienta específica creada para determinado objetivo;
• Un pequeño componente de una herramienta más amplia de supervisión de la seguridad; o
• Una colección general de herramientas usadas en combinación con otras.

Como los atacantes evolucionan continuamente sus métodos, los sistemas de protección tradicionales pueden quedarse atrás. Los expertos en ciberseguridad consideran que la EDR es una forma de protección avanzada contra las amenazas.

Por qué la EDR es importante para las empresas

La mayoría de las organizaciones están expuestas a una amplia gama de ciberataques. Estos van desde ataques simples y oportunistas, desde un actor de amenazas que envía un archivo adjunto de correo electrónico con un ransomware conocido, hasta ataques más avanzados en los que los actores de amenazas pueden tomar exploits o métodos de ataque conocidos e intentar ocultarlos usando técnicas de evasión como la ejecución de malware en la memoria.

Por ello, la seguridad de los endpoints es un aspecto esencial de la estrategia de ciberseguridad de una organización. Aunque las defensas basadas en la red son efectivas para bloquear una gran proporción de ciberataques, algunos se filtran y otros, como el malware transportado en medios extraíbles, pueden burlar estas defensas por completo. Una solución de defensa basada en los endpoints permite a una organización implementar una mayor seguridad y aumenta sus posibilidades de identificar y responder a estas amenazas.

A medida que las organizaciones de todo el mundo migran cada vez más hacia el trabajo remoto, la importancia de una protección sólida de los endpoints aumentó. Los empleados que trabajan desde casa pueden no estar protegidos contra las ciberamenazas en el mismo nivel que los trabajadores en las instalaciones y pueden estar usando dispositivos personales sin las últimas actualizaciones y parches de seguridad. Los empleados que trabajan remoto pueden estar menos atentos a su ciberseguridad que si estuvieran en una oficina tradicional.

Como resultado, las organizaciones y sus empleados están expuestos a riesgos adicionales de ciberseguridad. Una fuerte seguridad de los endpoints es esencial, ya que protege al empleado de las amenazas y puede evitar que los delincuentes usen la computadora de un trabajador remoto para atacar la red de la organización.

La corrección de una vulneración puede ser difícil y costosa, y quizás esta sea la razón más importante por la que la EDR es necesaria. Sin una solución EDR, las organizaciones pueden pasar semanas tratando de decidir qué acciones tomar, y, a menudo, su única solución es restablecer la imagen inicial de las máquinas, lo que puede causar una gran interrupción que reduzca la productividad y dé como resultado pérdidas financieras.

Diferencias entre la EDR y los antivirus

La EDR no es un software antivirus, aunque puede tener capacidades antivirus o usar datos de un producto antivirus. El software antivirus se encarga de proteger contra las ciberamenazas conocidas, mientras que un programa EDR identifica los nuevos exploits a medida que se ejecutan y puede detectar la actividad sospechosa de un atacante durante un incidente activo. Es por ello que el software EDR forma parte de la última generación de productos de ciberseguridad.

Prácticas recomendadas de la EDR

Existen varias prácticas recomendadas que deben tenerse en cuenta al implementar la EDR en tu organización, como las siguientes:

No pasar por alto a los usuarios

Los usuarios representan uno de los mayores riesgos para cualquier sistema, ya que pueden causar daños ya sea por intención maliciosa o por error humano. Educa a loss usuarios sobre las ciberamenazas y los comportamientos de riesgo para aumentar su conocimiento sobre la seguridad y minimizar las responsabilidades causadas por tácticas como el phishing o la ingeniería social. La capacitación constante o los simulacros de amenazas aumentarán el conocimiento de los usuarios sobre los problemas de ciberseguridad y acelerarán el tiempo de respuesta cuando se produzca un incidente.

Algunos usuarios podrían encontrar alternativas si una solución EDR es intrusiva para la experiencia del usuario. Por ejemplo, esto podría incluir la desactivación de las funciones de defensa para mejorar su experiencia. Sin embargo, si una solución es demasiado flexible a las peticiones de los usuarios, los atacantes pueden encontrarla fácil de manipular. Puede ayudar ser lo más transparente posible para el usuario final, para asegurarse de que entienda el porqué de estas soluciones. Cuando se requiera la interacción con el usuario, las comunicaciones deben ser claras y directas. El sistema no debería revelar información innecesaria del sistema, como datos personales o arquitecturas IP.

Integrar con otras herramientas

Las soluciones EDR están diseñadas para proteger los endpoints, pero no proporcionan una cobertura de seguridad completa para todos los activos digitales de la organización. La EDR debe funcionar como un aspecto de tu estrategia global de seguridad de la información junto con otras herramientas como el antivirus, la administración de parches, los firewalls, el cifrado y la protección de DNS.

Usar la segmentación de la red

Aunque algunas soluciones EDR aíslan los endpoints al responder a las amenazas, no sustituyen la segmentación de la red. Por ejemplo:

• Una red segmentada te permite restringir los endpoints a servicios y depósitos de datos específicos. Esto puede reducir significativamente el riesgo de pérdida de datos y el nivel de daño que un ataque exitoso podría infligir.
• Los Ethernet switch path (conmutadores de Ethernet, ESP) pueden proporcionar una protección de red adicional. Los ESP permiten ocultar la estructura de la red, asegurando que los atacantes no puedan moverse fácilmente entre los segmentos de la red.

Adoptar medidas preventivas

Nunca debes confiar únicamente en las respuestas activas a las amenazas, sino que debes combinar la respuesta activa con medidas preventivas. Asegurarse de que los sistemas se mantienen actualizados y con todos los parches, con protocolos y listas de dependencia integrales, reducirá la cantidad de amenazas contra las que hay que protegerse.

Audita regularmente tus sistemas para comprobar que las herramientas y los protocolos siguen estando debidamente configurados y aplicados. Prueba la funcionalidad de los sistemas y las herramientas mediante la realización de modelos de amenazas y pruebas de penetración de forma continua.

Lo ideal es que tu organización cuente con un plan integral de respuesta a incidentes que especifique quiénes y cómo responderán en caso de ataque. Tener un plan te ayudará a aumentar el tiempo de respuesta a los incidentes y te proporcionará una estructura para analizar los datos recopilados luego del evento.

Usar los recursos disponibles

Si usas herramientas de terceros, haz uso de cualquier recurso educativo proporcionado por tu proveedor de EDR. Muchos proveedores ofrecen capacitaciones o seminarios web para mantener a los clientes al día sobre las últimas funciones y las prácticas recomendadas. Algunas empresas ofrecen cursos breves sobre diversos temas de seguridad con costos bajos o nulos.

Puedes encontrar herramientas y recursos útiles sobre recursos comunitarios y organizaciones de intercambio y análisis de información (ISAO). Entre las organizaciones comunitarias más conocidas cuyos sitios web contienen datos y conocimientos útiles sobre ciberseguridad se encuentran la Base de Datos Nacional de Vulnerabilidades (NVD) y el proyecto Open Web Application Security (OWASP).

Diferencias entre la EDR y la XDR

Las herramientas tradicionales de EDR se centran únicamente en los datos de los endpoints, proporcionando visibilidad a las amenazas sospechosas. A medida que los retos a los que se enfrentan los equipos de seguridad, como la sobrecarga de eventos, las herramientas de enfoque limitado, la falta de integración, la escasez de habilidades y la falta de tiempo, siguen evolucionando, también lo hacen las soluciones EDR.

La XDR, o la detección y respuesta ampliadas, es un enfoque más reciente de la detección y respuesta a las amenazas en los endpoints. La “X” es por “ampliada” y representa cualquier fuente de datos, como los datos de la red, la nube, de terceros y de los endpoints, reconociendo las limitaciones de investigar las amenazas en enfoques aislados. Los sistemas XDR usan una combinación de análisis, heurística y automatización para generar información a partir de estas fuentes, mejorando la seguridad en comparación con las herramientas de seguridad aisladas. El resultado es la simplificación de las investigaciones en todas las operaciones de seguridad, reduciendo el tiempo necesario para descubrir, investigar y responder a las amenazas.

Productos relacionados:

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business,

Más información:

• ¿Qué es la seguridad de endpoints?
• Cómo el concepto de confianza cero está dando forma a la ciberseguridad a escala
• ¿Qué es el robo de datos y cómo evitarlo?
• Cómo proteger la privacidad online cuando lo laboral se mezcla con lo personal