Hoy en día la ciberseguridad tiene por necesidad adoptar un enfoque proactivo para que los administradores TI sean capaces de responder y adelantarse con las amenazas que la seguridad de red perimetral y endpoint no son capaces de llegar debido a las técnicas cada vez dirigidas y sofisticada, les explico brevemente;
Endpoint Detection and Response (conocida por su sigla en inglés EDR) es una herramienta que proporciona monitorización y análisis continuo del endpoint y la red. La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad. Hoy en día, la demanda de este tipo de soluciones se ha desplazado a empresas de todos los tamaños.
CONTENCION
Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware; Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc.
- DETECCION
Utiliza la inteligencia artificial para reducir la tasa de faldos positivos; Los equipos pueden optimizar los recursos claves y centrarse en tareas de TI importantes en lugar de revisar un gran volumen de alertas y falsos positivos.
Diseñados para vigilar y responder a una variedad de amenazas, no solo al malware; Es una defensa contra un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc.
- CONTENCION
Permite un bloqueo avanzado de amenazas; No sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.
- INVESTIGACION
Respuesta rápida frente a incidentes; Cualquier empresa está expuesta a ser víctima de un ciberataque. El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver a al trabajo cuanto antes.
- ELIMINACION
Reparación del endpoint a fondo; Para que puedan recuperar el estatus anterior a ser infectados.
BENEFICIOS DEL EDR
¿Cómo mejoran las herramientas EDR en nuestra seguridad?
- Mayor anticipación a los ataques dirigidos: Con el modelo de prevención (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.
- Menor tiempo de exposición a incidentes de seguridad; Gracias a un enfoque reactivo, podemos actuar en cuestión de pocos segundos o minutos.
- Proporcionan una visibilidad completa de las amenazas; de nuestros endpoints. Gracias a la investigación guiada, es más fácil comprender el origen de los incidentes, la ruta que ha seguido un ataque y el impacto o quien se ha visto afectado y cómo responder.
CASOS DE USO DEL EDR
La detección y respuesta inteligentes para endpoints ofrecen a los equipos de seguridad visibilidad y experiencia para responder a las preguntas más complejas sobre un incidente:
- «¿Qué ha sucedido después de la infección?»
- «¿ha habido propagación?»
- «¿qué otras máquinas se infectaron infectadas y no han mostrado síntomas?»
- «¿qué otros sistemas han descargado el mismo malware, pero aún no lo han ejecutado?
CONCLUSIONES
Las soluciones EDR, se han convertido en tendencia en la ciberseguridad corporativa y han venido para quedarse. Suponen un cambio de mentalidad para la seguridad del endpoint, pues se trata de adoptar un enfoque proactivo y adaptativo, en el que los administradores de TI sean capaces de responder y de adelantarse a las amenazas de seguridad.
Dada mi experiencia sugiero conocer antes de implementar evaluar mediante una prueba Poc gratuita de los fabricantes como McAfee EDR, donde conllevara a desarrollar la idea de concepto del producto.
