top of page
Buscar

¿Qué es EDR?


Cada punto final es una puerta de entrada potencial a la red de una organización. Si bien las soluciones antivirus tradicionales son herramientas efectivas para bloquear amenazas en grupos de dispositivos individuales o pequeños, a menudo no brindan la visibilidad necesaria para ver y actuar sobre indicadores de compromiso en la etapa más temprana posible.


Ahí es donde viene la detección y respuesta de punto final (EDR). Las herramientas EDR permiten a las organizaciones monitorear continuamente el entorno de destino y recopilar telemetría valiosa que se puede usar para clasificar e investigar incidentes, independientemente de la cantidad de puntos finales en el entorno.


En esta publicación de blog, mostraremos exactamente qué es EDR y cómo encaja en la estrategia de ciberseguridad más amplia de una organización.


¿Qué es EDR?

EDR es una categoría relativamente nueva de herramientas de ciberseguridad diseñada para brindar a las organizaciones una mejor visibilidad de sus puntos finales, detectar automáticamente posibles amenazas de seguridad y reducir los tiempos de respuesta a incidentes.


Mientras que muchos otros conceptos de ciberseguridad se centran exclusivamente en bloquear amenazas, EDR adopta un enfoque más holístico de la ciberseguridad al capturar grandes cantidades de datos e información contextual de cada punto final para detectar amenazas potenciales que quizás nunca antes se hayan visto en la naturaleza.


Si bien la visibilidad mejorada es el beneficio principal de EDR, todas las soluciones de EDR también incluyen capacidades de respuesta para responder a eventos en tiempo real. Muchas herramientas de EDR, incluido Emsisoft EDR, utilizan análisis de comportamiento y aprendizaje automático para identificar patrones de comportamiento sospechosos y contener o eliminar amenazas antes de que se produzcan daños significativos.


A pesar de estas funciones automatizadas, aún se requiere talento humano manual para analizar las alertas y extrapolar el significado de los datos generados por computadora. Las empresas más pequeñas, que pueden no tener los recursos para mantener un analista de seguridad interno, pueden considerar los servicios de un proveedor de servicios de seguridad administrados.


¿Cómo funciona EDR?

Las capacidades específicas de EDR pueden variar significativamente según el proveedor y cómo se haya implementado el sistema. Sin embargo, a un alto nivel, la mayoría de las herramientas de EDR proporcionan las mismas funciones básicas:


  • Recopilación de datos de puntos finales: los datos de telemetría (p. ej., actividades de procesos, cambios de archivos, actividad de registro, actividad de red, etc.) se recopilan de los puntos finales del entorno, normalmente a través de un agente de software implementado en cada punto final. Estos datos luego se envían a una plataforma centralizada donde se pueden organizar y analizar. La plataforma centralizada suele estar basada en la nube, aunque los requisitos de cumplimiento pueden requerir el uso de implementaciones locales en ciertas industrias.

  • Análisis de datos: la tecnología de aprendizaje automático ayuda a analizar e interpretar los datos sin procesar recopilados de los puntos finales. Muchas soluciones de EDR son capaces de usar estos datos para "aprender" cómo es el comportamiento normal del usuario, que luego se puede usar para resaltar las irregularidades de los terminales. El personal de seguridad también puede utilizar las herramientas de EDR para encontrar la causa raíz de un incidente profundizando en los datos para identificar el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

  • MITRE ATT&CK: muchas herramientas de EDR utilizan el marco MITRE ATT&CK, una base de conocimiento accesible a nivel mundial de tácticas y técnicas del adversario basadas en observaciones del mundo real, para categorizar eventos potencialmente dañinos. Esta información proporciona a los analistas de seguridad información valiosa sobre cómo y por qué de los ataques del mundo real, que luego se pueden utilizar para identificar y reforzar las brechas en la postura de seguridad de la organización.

  • Respuesta automática: cualquier evento o actividad que la herramienta EDR considere sospechosa genera automáticamente una alerta para que el personal de seguridad investigue. Además de generar una alerta, algunas herramientas de EDR pueden tomar medidas directamente en función de la gravedad determinada, utilizando capacidades de respuesta automatizadas basadas en reglas para eliminar o contener amenazas básicas automáticamente. Si bien a menudo todavía se requiere la intervención humana para resolver ataques más sofisticados, las respuestas automáticas son cruciales para ayudar a las organizaciones a minimizar los tiempos de respuesta a incidentes.

  • Retención de datos: el personal de seguridad puede revisar los datos históricos durante los procesos de respuesta a incidentes para determinar cómo ocurrió un ataque. Los conocimientos obtenidos de las herramientas EDR pueden ser extremadamente valiosos para ayudar a una organización a fortalecer la seguridad contra futuros ataques. Las herramientas EDR basadas en la nube ofrecen tranquilidad adicional: incluso en el peor de los casos que implique la destrucción completa de los dispositivos, los administradores aún pueden usar el historial de eventos almacenado en la nube para analizar la secuencia de eventos que conducen hasta el final. momento final antes de que el atacante pudiera desactivar el sistema de seguridad. Un atacante no puede acceder a los datos EDR basados ​​en la nube, ya que están protegidos con autenticación de dos factores, que requiere la entrada desde un dispositivo separado.


¿Por qué es importante EDR?

EDR ha llegado a ser visto como una parte integral de la postura de seguridad más amplia de una organización a medida que las ciberamenazas evolucionan y se vuelven cada vez más sofisticadas.


La prevención por sí sola no garantiza la protección. Si bien las defensas basadas en el perímetro son efectivas para bloquear la gran mayoría de los ataques cibernéticos, siempre existe la posibilidad, por pequeña que sea, de que algo se escape y comprometa un punto final. Y las amenazas que se cuelan suelen ser las más destructivas.


Hemos visto esto una y otra vez en los últimos años, con grupos de ransomware con buenos recursos que invierten mucho tiempo y recursos en ataques operados por humanos que están cuidadosamente diseñados para eludir las soluciones de ciberseguridad tradicionales. Después de comprometer una organización, los operadores de ransomware pueden pasar días o incluso semanas en la red de destino preparando el entorno para maximizar el impacto de un ataque. Estos ataques dirigidos y cuidadosamente planificados a menudo están diseñados específicamente para pasar desapercibidos por las soluciones de seguridad y los equipos de seguridad si una organización no tiene una buena visibilidad en todos sus puntos finales.


Las organizaciones deben operar con la creencia de que un atacante, en algún momento, pasará por alto sus muros exteriores. Cuando llega ese día, EDR es crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo.


Herramientas EDR de Emsisoft

Emsisoft está desarrollando actualmente un sólido conjunto de herramientas EDR para ayudar a los usuarios a obtener una mejor visibilidad de sus dispositivos protegidos por Emsisoft. Emsisoft EDR presenta una serie de capas de protección que trabajan juntas para identificar comportamientos sospechosos, bloquear ataques automáticamente y brindar a los equipos de seguridad información detallada sobre amenazas potenciales.


Las capas de protección de Emsisoft EDR incluyen:


  • Escáner bajo demanda.

  • Guardia de archivos.

  • Protección web.

  • Seguridad del navegador.

  • Bloqueador de comportamiento.

  • MITRE ATT.

  • Caza de amenazas, OSquery.

Lo mejor de todo es que Emsisoft EDR estará disponible de forma gratuita para nuestros clientes comerciales y empresariales, lo que les dará a las empresas más pequeñas y a los MSP que atienden a empresas más pequeñas acceso a los beneficios de EDR sin romper el presupuesto.


Los clientes de Emsisoft Business Security recibirán una versión ligera de Emsisoft EDR como un complemento sin costo para sus suscripciones regulares.


Los clientes de Emsisoft Enterprise Security recibirán Emsisoft EDR con retención de datos como un complemento sin costo para su suscripción regular.


Estén atentos durante las próximas semanas a medida que publiquemos más información sobre Emsisoft EDR.

41 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page