Hoy en día las empresas sufren muchos ciberataques y reciben muchas amenazas. Pero también la industria de la ciberseguridad ha sofisticado las herramientas de las que dispone para hacerles frente. Una de ellas son los sistemas endpoint detection and response o EDR, que recopilan información de que lo está pasando en los sistemas informáticos para detectar comportamientos sospechosos y dar una respuesta rápida.
Índice de temas
¿Qué es un sistema EDR?
¿Qué significa EDR? EDR es el acrónimo en inglés de endpoint detection response. En esencia, se trata de un sistema de protección para equipos informáticos, como PC, estaciones de trabajo o servidores, que combina las funcionalidades del antivirus tradicional con herramientas de monitorización e inteligencia artificial. Esta conjunción de tecnologías permite a los EDR analizar continuamente lo que pasa en los equipos y en la red y detectar en tiempo real riesgos y amenazas que, de forma silenciosa e inadvertida, pueden provocar un incidente de seguridad. Y desarrollar a continuación una respuesta rápida para hacerles frente.
Principales características de los sistemas EDR
Estos son los elementos distintivos que caracterizan a un sistema EDR:
Detección y respuesta en tiempo real
Los sistemas EDR controlan continuamente los endpoints (dispositivos finales, como ordenadores) para detectar comportamientos anómalos y amenazas en tiempo real.
Análisis de amenazas
Otro rasgo distintivo de los EDR es que utilizan inteligencia artificial y machine learning para analizar grandes volúmenes de datos y detectar amenazas avanzadas, como malware polimórfico, vulnerabilidades 0-day y ataques de ingeniería social.
Respuesta automática
Las soluciones EDR pueden responder automáticamente a las amenazas detectadas, aislando el dispositivo afectado y eliminando o mitigando la amenaza para minimizar el impacto.
Integración con otras soluciones
Los sistemas EDR suelen integrarse con otras soluciones de ciberseguridad como las herramientas SIEM o los sistemas de prevención y detección de intrusos (IPS/IDS).
Recopilación rigurosa de datos
Recopilan información detallada sobre el sistema operativo, hardware y procesos activos de los dispositivos, lo que ayuda a crear patrones de comportamiento y detectar anomalías.
Uso del sandboxing
Las soluciones EDR también se valen de entornos virtuales aislados para analizar el comportamiento de archivos sospechosos, lo que les permite no poner en riesgo el sistema real.
Diferencias entre un EDR y un antivirus (EPP)
¿Es lo mismo un sistema EDR que un antivirus? Ni mucho menos. Es verdad que el EDR comparte tareas con el antivirus tradicional o EPP (endpoint protection platform). Y se podría decir que es su evolución. En concreto, ambas soluciones tienen como objetivos la detección, identificación y prevención de los sistemas informáticos frente a malware, exploits o incluso ransomware.
Sin embargo, el EDR va un paso más allá y llega donde el antivirus no puede y planta cara a las amenazas de última generación. Mientras que los EPP se limitan a la protección del perímetro, evitando que las posibles amenazas accedan a la red, los sistemas EDR actúan frente a los mecanismos diseñados específicamente para penetrar en ella. Y así planta cara a amenazas avanzadas (APT), vulnerabilidades 0-day o ataques de ingeniería social, entre otras. Además, en caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder eliminar la amenaza o mitigar sus efectos.
Cómo funciona un EDR: paso a paso
Para cumplir con su cometido de protección, las soluciones de seguridad EDR hacen un trabajo precio de recopilación y análisis de datos, y a partir de ahí toman medidas o avisan a los posibles afectados por un ataque silencioso:
Primer paso: recopila datos de los endpoints
Los datos se generan a nivel de los endpoints o equipos informáticos, incluidas las comunicaciones, la ejecución de procesos y los inicios de sesión de los usuarios. Estos datos son anónimos.
Segundo paso: envío de datos a la plataforma EDR
Los datos anonimizados se envían desde todos los endpoints a una ubicación central, que suele ser una plataforma EDR basada en la nube. También puede funcionar en el lugar o como una nube híbrida, dependiendo de las necesidades de una organización en particular.
Tercer paso: análisis propiamente dicho de los datos
La solución usa el aprendizaje automático para analizar los datos y realizar un análisis del comportamiento. La información se usa para establecer una línea de base de la actividad normal, de modo que se puedan identificar las anomalías que representan una actividad sospechosa. Algunas herramientas EDR incluyen inteligencia de amenazas para proporcionar contexto usando ejemplos reales de ciberataques. La tecnología compara la actividad de la red y de los endpoints con estos ejemplos para detectar ataques.
Cuarto paso: detección de actividad sospechosa y respuesta
La solución de EDR marca la actividad sospechosa y envía alertas a los equipos de seguridad de la compañía y a las partes interesadas. También inicia respuestas automatizadas en función de desencadenantes predeterminados. Un ejemplo de esto podría ser el aislamiento temporal de un endpoint para evitar que el malware se propague por la red.
Quinto paso: conserva los datos en el futuro
Las soluciones EDR conservan los datos para apoyar futuras investigaciones y la búsqueda proactiva de amenazas. Los analistas y las herramientas usan estos datos para investigar ataques prolongados existentes o ataques no detectados previamente.
Ventajas de los sistemas EDR
Frente a los antivirus de toda la vida, los sistemas EDR aportan ventajas incuestionables. Una de ellas está en la recopilación de información que hace. Por un lado, detecta información exhaustiva y detallada de las características del dispositivo (sistema operativo, hardware, procesos activos…). Y, por otro, almacena información de forma automática, lo que le permite crear patrones de detección automatizados para la detección. De esta forma, las herramientas EDR pueden anticiparse a ataques dirigidos.
Además, controla sistemas y archivos de configuración, con el fin de avisar al usuario en caso de modificación o accesos sospechosos a los mismos. Y, por último, localiza toda la información en una sola estancia, lo que agiliza las investigaciones en caso de incidentes. Esto permite tener una visión global de las amenazas contra endpoints y redunda en una disminución de los tiempos de exposición a incidentes, puesto que la actuación para mitigarlos puede durar segundos o minutos.
Desventajas de los sistemas EDR
A pesar de todas las ventajas que aportan los sistemas EDR a las empresas a la hora de proteger su información y activos tecnológicos, estas herramientas también tienen algunos puntos débiles. Por ejemplo, hay casos en que no son capaces de monitorizar dispositivos con sistemas operativos no soportados por la herramienta.
Además, la puesta en marcha y configuración de una herramienta EDR no son procesos sencillos. Y, cuando menos, son más complicados que los que tienen que ver con un antivirus.
También su uso puede ser fatigoso porque los EDR están notificando constantemente alertas, y generan muchos falsos positivos y negativos. Y, por último, hay que tener en cuenta el precio. El coste de un sistema EDR es más elevado que el del tradicional antivirus o EPP.
Aspectos a tener en cuenta para dar con el mejor sistema EDR
Las capacidades de un sistema EDR varían de un proveedor a otro. Como en otros muchos ámbitos, la mejor opción del mercado será la que presente una mejor relación calidad-capacidades/precio.
Visibilidad de endpoints y base de datos de amenazas
En este sentido, un buen EDR deberá ofrecer una buena visibilidad de los endpoints, con el fin de detectar lasposibles amenazas en tiempo real para poder detenerlas inmediatamente. También deberá construir una buena base de datos de amenazas en función de los datos que recopila y del contexto en el que se producen.
Indicadores de ataque y sistemas de alerta
Eso conlleva dar con buenos indicadores de ataque y disponer de sistemas de alerta para los interesados antes de que se produzca daño.
Información de contexto y respuesta rápida
Una solución EDR óptima también deberá proporcionar datos de contexto, como información sobre el presunto atacante. Y, por último, tendrá que facilitar una respuesta rápida ante incidentes, con el fin de prevenir el ataque y mantener la operativa de la empresa.
Mejor en la nube
Además, si está en la nube tendrá un impacto nulo en el rendimiento de los endpoints, a la vez que permite que las capacidades de búsqueda, análisis e investigación continúen con precisión y en tiempo real.
