Detección y respuesta de punto final (EDR)

EDR es una solución de seguridad específica que protege no equipos separados sino toda la red dentro de la corporación.

¿Qué es la detección y respuesta de endpoints? EDR Definición | Gridinsoft

¿Qué es EDR?

November 01, 2022

Las aplicaciones de detección y respuesta de punto final, o EDR, son un concepto relativamente nuevo de software antimalware. La definición exacta de este tipo de herramienta de seguridad apareció en 2013.

Endpoint Threat Detection and Response, generalmente abreviado para adaptarse a la abreviatura "EDR", es una nueva mirada al software antimalware. Sin embargo, no se trata de satisfacer todas las necesidades posibles como pretenden hacer las aplicaciones antimalware "clásicas". EDR, como puede entender por la abreviatura, es un sistema que debe proteger los puntos finales en lugar de las computadoras individuales. Las mayores debilidades de los sistemas de seguridad separados para cada computadora de la empresa fueron la falta de acción conjunta para cada dispositivo atacado, la falta de control en todas las posibles superficies de ataque y la ausencia de registro en diario. Pero revisemos cada cosa paso a paso.

¿Qué es la detección y respuesta de puntos finales?

Es genial definir la diferencia entre los productos. Sin embargo, eso todavía no aclara cuál es la idea principal de las soluciones EDR y cómo funciona. Las soluciones de seguridad de puntos finales generalmente están hechas para realizar escaneo continuo del punto final y todos los demás elementos de la red (controlador de dominio y computadoras de los usuarios que se conectan al punto final) para detectar la posible amenaza y crear una respuesta competitiva. . El monitoreo constante de eventos requiere muchos módulos adicionales al motor antimalware “clásico” y el control persistente de un especialista en seguridad. Algunos proveedores incluso ofrecen sus productos EDR en forma de software como servicio.

Qué es EDR
Principios clave del sistema de detección y respuesta de puntos finales

Las soluciones EDR detectan la amenaza presentada por su comportamiento. Además de las reglas heurísticas básicas, el programa también se basa en redes neuronales. Sin embargo, las fuentes pueden ser diferentes de los "procesos actuales" habituales: la solución de protección de puntos finales supone muchas otras formas de obtener la información sobre los eventos. Luego, verifica el elemento detectado con un método "clásico" respaldado por una base de datos. Si encuentra una firma coincidente, elimina instantáneamente la amenaza, considerando que es un virus. Si no, simplemente lo bloquea, dando a un humano el derecho de administrar la eliminación. Tal domo sobre todos los elementos de un sistema corporativo le permite lidiar incluso con amenazas relacionadas con humanos, como amenazas internas o incluso amenazas persistentes avanzadas.

Para que la gestión de la seguridad sea más eficaz, la mayoría de las soluciones dividen la red protegida en pequeñas piezas denominadas nodos. Eso hace posible aplicar restricciones/privilegios de seguridad individuales a una determinada máquina o incluso a la aplicación elegida. Además, tener toda la red dividida en esas partes hace que sea mucho más fácil analizar los registros de eventos: es mucho más fácil averiguar cuál fue la superficie de ataque y cómo actuó el atacante.

Antivirus frente a EDR.

En el párrafo anterior, se pueden ver tres problemas principales del software antimalware "clásico" que los hacen poco útiles a la hora de proteger a las corporaciones. son verdad Sin embargo, un problema mucho más grave los hace aún más difíciles de comparar. Se supone que las soluciones de detección y respuesta de punto final son algo fascinante que protege toda la red corporativa. Encontrar y configurar una solución igual a la cobertura y basada en el antivirus regular es factible, pero su eficiencia probablemente sea cuestionable. Como muestra la práctica, enseñarle al perro viejo algunos trucos nuevos es bastante difícil. Es por eso que esos trucos deben ser realizados por algo diseñado originalmente para ese propósito.

¿Por qué EDR es mejor que un antivirus normal?

Antivirus

  • Puede proteger eficazmente las computadoras solitarias;
  • Admite Windows o macOS (a veces ambos simultáneamente);
  • La forma de control principal es la GUI en cada computadora. Algunos de ellos son capaces de control remoto. Eso generalmente requiere una versión especial de la aplicación;
  • Análisis bajo demanda, detección respaldada por base de datos. Las heurísticas se aplican en el modo de protección proactiva;
  • El registro es primitivo, basado en los eventos durante los análisis y la protección proactiva.

Detección y respuesta de puntos finales

  • Bueno para proteger el punto final y cosas relacionadas, incluidos los servidores y el controlador de dominio;
  • Admite todos los sistemas operativos *NIX posibles junto con Windows;
  • El control remoto centralizado es una forma principal de administrar. Solo se pueden realizar ajustes locales en los elementos del sistema;
  • La forma principal de detección de malware son las reglas heurísticas. La solución monitorea constantemente el punto final y todos los elementos relacionados.
  • Registra todos los eventos que se ven en la red protegida, independientemente del momento.

Ahora, veamos la importancia de los problemas mencionados anteriormente. La separación de los sistemas de seguridad de cada sistema es fundamental para establecer una protección fiable contra el malware. El agrupamiento es bueno en el diseño de redes, pero no en estructuras que requieren homogeneidad. Y la protección contra malware es exactamente la indicada. Diferentes sistemas con diferentes configuraciones de protección para cada uno disminuyen la eficiencia de protección en magnitud. Claro, es posible configurar todos los sistemas de manera similar. Pero esa similitud no durará mucho tiempo si alguien usa esa computadora al menos una vez a la semana.

La falta de acción conjunta durante el ataque está relacionada con el párrafo anterior. Los ataques cibernéticos a corporaciones rara vez apuntan a una sola computadora; generalmente atacan a toda la red. Y eso requiere que todos los elementos de esta red respondan de manera simultánea e idéntica. Tal problema es menos crítico ya que incluso algunos sistemas EDR suponen la respuesta asimétrica en algunas situaciones. Pero es importante tener esa capacidad, y las soluciones de seguridad dispersas no la ofrecen.

Escribir en diario es algo muy infravalorado, que no se puede encontrar en ningún software antimalware estándar en ninguna forma utilizable. Los registros de escaneo/protección aún no le brindan suficiente información para analizar la situación actual o el incidente cibernético pasado. La información sobre cómo sucede, segundo a segundo, paso a paso, ayudará a los especialistas en ciberseguridad a realizar los ajustes necesarios para una mejor protección.

Principios clave de la detección y respuesta de endpoints

Al igual que cualquier producto empresarial a gran escala, EDR se basa en varios principios clave, independientemente del proveedor. Esto es como una lista de reglas básicas que son obligatorias para llamar a su producto una solución EDR. Estos principios también se pueden interpretar como requisitos mínimos para el producto de software que pretende ser un programa antimalware a escala corporativa.

Respuesta coordinada de todas las superficies de ataque. Como se mencionó anteriormente, es importante responder simultáneamente a todos los elementos del sistema durante el ataque. El sistema EDR debe proporcionar esta capacidad de forma predeterminada o después de la configuración específica.

Principios EDR simplificados
Protección EDR esquema

Gestión del sistema en la nube. Las soluciones EDR deben ser controlables desde la posición remota para contrarrestar el ataque y analizar la situación desde cualquier lugar y en cualquier momento. Como dicen las estadísticas, la mayoría de los ataques cibernéticos tienen como objetivo ="_blank" rel="nofollow noopener noreferrer">sucede fuera de horario, cuando supuestamente nadie vigila la red corporativa.

Tasas de protección más altas. ¿Cuál es la necesidad de tener un sistema de seguridad costoso y difícil de configurar si no puede contrarrestar las amenazas modernas? Esa es una pregunta retórica. La protección en las soluciones de seguridad de puntos finales debe basarse en mecanismos de detección heurísticos y respaldados por bases de datos y, posiblemente, en redes neuronales. Organizaciones como AV-Comparatives prueban las soluciones disponibles regularmente y por lo tanto, publique su propia calificación para cada sistema EDR.

¿A qué amenazas apunta EDR?

Los sistemas de detección de puntos finales son capaces de detectar y eliminar cualquier amenaza; eso es por lo que paga. Desde el software publicitario más simple hasta el spyware o malware de puerta trasera ofuscado, puede detener cualquiera de estas cosas. Sin embargo, difiere significativamente en la comprensión de que el ataque está ocurriendo. Las corporaciones rara vez son atacadas para inyectar adware o algún otro virus "ligero"; por lo general, reciben ransomware u otras cosas desagradables. Y la forma en que EDR lo detiene es diferente de la detección respaldada únicamente por una base de datos o el escaneo heurístico.

Ya puede adivinar a partir de los principios clave del sistema EDR lo que significa. Dichos sistemas de seguridad están diseñados para detener el ataque en la etapa inicial: fuerza bruta de contraseñas RDP, por ejemplo, o ejecución de explotación del navegador. Para ese propósito, los sistemas de detección de puntos finales tienen un diario de todos los eventos en el sistema. Además, el registro en diario permite que los sistemas EDR contrarresten las amenazas más peligrosas de manera eficaz, por ejemplo, las llamadas amenazas persistentes avanzadas. Otras cosas de larga duración, como las puertas traseras y el software espía, que generalmente intentan retener el sistema el mayor tiempo posible, también serán derrotadas de manera eficiente.

¿Vale la pena EDR?

Esta pregunta depende de demasiados factores para tener una respuesta única. Por diseño, EDR es más caro y más complejo que el software antivirus normal. Al mismo tiempo, es mucho más eficaz contra las amenazas del mundo real. El adware y los secuestradores de navegador son más como un simple resfriado, mientras que el ransomware o los ataques de spyware son tan graves como la neumonía. Pero esta comparación no siempre es cierta.

Cuando tiene una empresa pequeña, por ejemplo, una cadena de panaderías en su ciudad/condado, la relación precio/beneficio de comprar el EDR para usted es demasiado baja. No tienes tantos ordenadores y servidores que proteger con una solución de gama alta, y tus datos y actividad no son un punto de interés para los ciberdelincuentes. Esperar que no te golpeen no significa que nunca te golpeen. Pero aún así, la objetivación de tus necesidades es algo esencial cuando se trata de grandes gastos.

Incluso las empresas pequeñas pueden estar a la vista de los estafadores. Las empresas de contabilidad y compensación que pueden cooperar con los bancos regionales y las pequeñas empresas de corretaje tienen información confidencial que pasa por su almacenamiento. Lo mismo es para clínicas, agencias gubernamentales locales y sucursales bancarias. Algunos grupos de ransomware acordaron evitar atacar empresas de infraestructura crítica, agencias gubernamentales e instituciones médicas y educativas. Pero nunca significa que esté 100 % seguro; incluso algunos de los grupos más grandes optaron por ignorar estas reglas de "piratería ética".