Un «endpoint» es un dispositivo informático remoto que se comunica con una red a la que está conectado. Los ejemplos de «endpoint» incluyen: ordenadores de escritorio, portátiles, tablets, servidores, estaciones de trabajo, etc.
Lo mínimo que debería tener un «endpoint», o sea, un dispositivo informático conectado a Internet es un antivirus, pero ¿son suficientes?. En realidad, no.
Los antivirus tradicionales utilizan firmas para identificar amenazas como virus, troyanos y gusanos. El archivo sospechoso se compara con la base de datos del antivirus, de forma que si la firma coincide se califica como «malware». Algunos antivirus van un paso más allá, comparando el comportamiento del archivo sospechoso con criterios que determinan que es un archivo malicioso. En tal caso, el antivirus lo pondrá en cuarentena o, directamente, lo eliminará.
El problema de los antivirus tradicionales es que no son capaces de frenar los ciberataques complejos, como ataques de ingeniería social, vulnerabilidades 0-day, amenazas persistentes o APT, etc.
Endpoint Detection and Response (EDR)
Los sistemas o herramientas EDR (Endpoint Detection and Response) combinan el antivirus tradicional con herramientas de monitorización e inteligencia artificial para detectar y prevenir las amenazas más complejas, así como su posterior eliminación o mitigación.
Entre sus principales ventajas se encuentran las siguientes:
- La monitorización es automática y en tiempo real.
- Permiten evaluar, de forma exhaustiva, el estado de los dispositivos y la red.
- La información se recopila en una sola consola, posibilitando, en caso de ataque, que el análisis forense se ejecute rápidamente.
- Permiten rastrear el origen y la evolución del «malware» para tomar medidas preventivas de cara a incidentes futuros.
- Están en constante aprendizaje, lo que garantiza su actualización.
No obstante, estas herramientas también presentan debilidades:
- Requieren recursos humanos y técnicos para gestionar la información que generan a diario.
- Su configuración es más complicada que la de un antivirus tradicional.
- No todos los sistemas operativos son compatibles.
- Las conexiones cifradas no pueden ser monitorizadas.
- Los «endpoints» monitorizados pueden ir más lentos debido al flujo constante de información y notificación de alertas.
¿Cómo actúa el EDR?
A grandes rasgos, cuando el EDR detecta un archivo sospechoso lo envía anonimizado a la nube para ejecutarlo en un entorno seguro, garantizando un impacto nulo en los «endpoints». Tras analizarlo, el EDR concluye si es seguro o peligroso. Si lo considera «peligroso» lo bloquea en todos los «endpoints» monitorizados, de forma que si detecta, nuevamente, ese archivo en cualquiera de los «endpoints» lo bloquea, impidiendo su ejecución.
Conclusiones
Las defensas tradicionales son incapaces de bloquear cierto porcentaje de ataques cibernéticos.
Los antivirus para detener el «malware» necesitan conocerlo, mientras que el EDR puede actuar contra «malware» no conocido gracias a mecanismos de inteligencia artificial y análisis del comportamiento, aparte de analizar el archivo sospechoso en un entorno seguro (la nube).
Para garantizar la seguridad combinen los EDR con más elementos, como «firewalls», IPS (Sistemas de Prevención de Intrusos), VPN (Red Privada Virtual), entre otras soluciones. Piensen que, cuantas más barreras ponga, más segura estará la información de su organización, y no resulta tan caro como puedan pensar.
Un último consejo: no hagan uso de los antivirus con versiones de prueba gratuitos. Les pongo un ejemplo: Avast, que deberá pagar una multa de 16,5 millones de dólares tras la investigación iniciada por la Comisión Federal de Comercio de los Estados Unidos y es que Avast entre 2014 y 2020 cedió los datos de navegación de sus usuarios a más de un centenar de terceros mediante su filial Jumpshot que, tras ser adquirida en 2014 por Avast, pasó de ser un proveedor de software antivirus a un analista de datos.