Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Endpoint Detection and Response (EDR)

Un «endpoint» es un dispositivo informático remoto que se comunica con una red a la que está conectado. Los ejemplos de «endpoint» incluyen: ordenadores de escritorio, portátiles, tablets, servidores, estaciones de trabajo, etc.

Lo mínimo que debería tener un «endpoint», o sea, un dispositivo informático conectado a Internet es un antivirus, pero ¿son suficientes?. En realidad, no.

Los antivirus tradicionales utilizan firmas para identificar amenazas como virus, troyanos y gusanos. El archivo sospechoso se compara con la base de datos del antivirus, de forma que si la firma coincide se califica como «malware». Algunos antivirus van un paso más allá, comparando el comportamiento del archivo sospechoso con criterios que determinan que es un archivo malicioso. En tal caso, el antivirus lo pondrá en cuarentena o, directamente, lo eliminará. 

El problema de los antivirus tradicionales es que no son capaces de frenar los ciberataques complejos, como ataques de ingeniería social, vulnerabilidades 0-day, amenazas persistentes o APT, etc. 

Endpoint Detection and Response (EDR)

Los sistemas o herramientas EDR (Endpoint Detection and Response) combinan el antivirus tradicional con herramientas de monitorización e inteligencia artificial para detectar y prevenir las amenazas más complejas, así como su posterior eliminación o mitigación.

Entre sus principales ventajas se encuentran las siguientes:

  • La monitorización es automática y en tiempo real.
  • Permiten evaluar, de forma exhaustiva, el estado de los dispositivos y la red. 
  • La información se recopila en una sola consola, posibilitando, en caso de ataque, que el análisis forense se ejecute rápidamente.
  • Permiten rastrear el origen y la evolución del «malware» para tomar medidas preventivas de cara a incidentes futuros.
  • Están en constante aprendizaje, lo que garantiza su actualización.

No obstante, estas herramientas también presentan debilidades:

  • Requieren recursos humanos y técnicos para gestionar la información que generan a diario.
  • Su configuración es más complicada que la de un antivirus tradicional.
  • No todos los sistemas operativos son compatibles.
  • Las conexiones cifradas no pueden ser monitorizadas.
  • Los «endpoints» monitorizados pueden ir más lentos debido al flujo constante de información y notificación de alertas.

¿Cómo actúa el EDR?

A grandes rasgos, cuando el EDR detecta un archivo sospechoso lo envía anonimizado a la nube para ejecutarlo en un entorno seguro, garantizando un impacto nulo en los «endpoints». Tras analizarlo, el EDR concluye si es seguro o peligroso. Si lo considera «peligroso» lo bloquea en todos los «endpoints» monitorizados, de forma que si detecta, nuevamente, ese archivo en cualquiera de los «endpoints» lo bloquea, impidiendo su ejecución.

Conclusiones

Las defensas tradicionales son incapaces de bloquear cierto porcentaje de ataques cibernéticos.

Los antivirus para detener el «malware» necesitan conocerlo, mientras que el EDR puede actuar contra «malware» no conocido gracias a mecanismos de inteligencia artificial y análisis del comportamiento, aparte de analizar el archivo sospechoso en un entorno seguro (la nube).

Para garantizar la seguridad combinen los EDR con más elementos, como «firewalls», IPS (Sistemas de Prevención de Intrusos), VPN (Red Privada Virtual), entre otras soluciones. Piensen que, cuantas más barreras ponga, más segura estará la información de su organización, y no resulta tan caro como puedan pensar. 

Un último consejo: no hagan uso de los antivirus con versiones de prueba gratuitos. Les pongo un ejemplo: Avast, que deberá pagar una multa de 16,5 millones de dólares tras la investigación iniciada por la Comisión Federal de Comercio de los Estados Unidos y es que Avast entre 2014 y 2020 cedió los datos de navegación de sus usuarios a más de un centenar de terceros mediante su filial Jumpshot que, tras ser adquirida en 2014 por Avast, pasó de ser un proveedor de software antivirus a un analista de datos.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).