EDR (detección y respuesta de puntos finales)

EDR utiliza analítica en tiempo real y automatización basada en IA para proteger a las organizaciones contra las ciberamenazas que superan las barreras del software antivirus y de otras tecnologías tradicionales de seguridad de puntos finales.

Imagen isométrica ilustrada de personas que trabajan con ordenadores
¿Qué es EDR?

EDR, o detección y respuesta de puntos finales, es un software diseñado para proteger automáticamente a los usuarios finales, a los dispositivos de punto final y a los activos de TI contra las ciberamenazas que superan las barreras del software antivirus y de otras tecnologías tradicionales de seguridad de puntos finales. 

EDR recopila datos continuamente desde todos los puntos finales de la red: sistemas de escritorio y portátiles, servidores, dispositivos móviles y dispositivos IoT (Internet de las cosas), entre otros. Analiza estos datos en tiempo real en busca de pruebas conocidas o indicios de sospecha de ciberamenazas y puede responder automáticamente para evitar o minimizar los daños de las amenazas que identifica.


Por qué las organizaciones utilizan EDR

EDR obtuvo el primer reconocimiento de Gartner en 2013 y, hoy en día, es un software adoptado por un amplio número de empresas, y con razón. 

Los estudios estiman que hasta el 90 % de los ciberataques y el 70 % de las brechas de datos que tienen éxito se originan en dispositivos de punto final. A pesar de la evolución de los antivirus, antimalware, cortafuegos y otras tecnologías tradicionales seguridad de puntos finales, estos se siguen limitando a detectar amenazas conocidas de puntos finales, basadas en archivos o basadas en firmas.  Pro ejemplo, presentan una eficacia mucho menor a la hora de detener ataques ingeniería social, como mensajes de phishing, que atraen a las víctimas con engaños para que divulguen datos confidenciales o visiten sitios web falsos que contienen código maligno. (El phishing es el método más común de distribución de ransomware.) Además, resultan impotentes ante un número cada vez mayor de ciberataques «sin archivos», que operan exclusivamente en la memoria del sistema para evitar la exploración de archivos o firmas.

Lo más grave es que las herramientas tradicionales de seguridad de punto final  son incapaces de detectar o neutralizar las amenazas avanzadas que se les escapan, y eso permite que dichas amenazas sigan acechando y deambulando por la red durante meses, recopilando datos e identificando vulnerabilidades para prepararse para lanzar un ataque de ransomware, una vulnerabilidad de día cero u otro ciberataque a gran escala.

EDR llega donde estas soluciones tradicionales de seguridad de punto final no pueden. Sus prestaciones de respuesta automática y análisis de detección de amenazas son capaces —a menudo, sin necesidad de intervención humana— de identificar y contener amenazas potenciales que traspasan el perímetro de la red, antes de que puedan causar daños graves. EDR también proporciona herramientas que los equipos de seguridad pueden utilizar para descubrir, investigar y evitar amenazas sospechosas y emergentes por sí mismos.


Cómo funciona EDR

Si bien existen ciertas diferencias entre proveedores, las soluciones de EDR suelen combinar cinco prestaciones principales: recopilación continua de datos de punto final; analítica en tiempo real y detección de amenazas; respuesta automatizada a amenazas; aislamiento y corrección de amenazas, y soporte para la caza de amenazas.

Recopilación continua de datos de puntos finales

EDR recopila datos continuamente (datos sobre procesos, rendimiento, cambios de configuración, conexiones de red, descargas o transferencias de archivos y datos, comportamientos de usuarios finales o dispositivos) desde cada dispositivo de punto final de la red. Los datos se almacenan en una base de datos central o lago de datos, que suele estar alojada en el cloud. 

La mayoría de las soluciones de seguridad de EDR recopilan estos datos instalando una herramienta ligera de recopilación de datos, o agente, en cada dispositivo de punto final; en cambio, algunas otras pueden basarse en las prestaciones del sistema operativo de punto final.

Detección de amenazas y analítica en tiempo real

EDR utiliza algoritmos de análisis avanzados y machine learning para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que estas se revelan. 

En general, EDR busca dos tipos de indicadores: indicadores de compromiso (IOC), que son acciones o sucesos que consisten en un ataque o brecha potencial, e indicadores de ataque (IOA), que son acciones o sucesos asociados con ciberamenazas o ciberdelincuentes conocidos. 

Para identificar estos indicadores, EDR correlaciona sus propios datos de punto final en tiempo real con los datos de los servicios de inteligencia de amenazas, que distribuyen información actualizada continuamente sobre ciberamenazas nuevas y recientes: las tácticas que utilizan, los puntos finales o las vulnerabilidades de la infraestructura de TI que aprovechan, etc. Los servicios de inteligencia de amenazas pueden ser de propiedad (gestionados por el proveedor de EDR), de terceros o estar basados en la comunidad. Además, muchas de las soluciones de EDR también correlacionan los datos con Mitre ATT&CK, una base de conocimiento global de acceso gratuito de las tácticas y técnicas de ciberamenaza de los hackers, con la que colabora el gobierno de EE. UU.

Los análisis y los algoritmos de EDR también pueden llevar a cabo su propia investigación, comparando los datos en tiempo real con los datos históricos y los puntos de referencia establecidos para identificar actividad sospechosa, actividad anormal por parte del usuario final y cualquier otro factor que pueda indicar una amenaza o incidente de ciberseguridad. Son capaces, así mismo, de separar las «señales», o amenazas legítimas, del «ruido» de los falsos positivos, de modo que los analistas de seguridad pueden centrarse en los incidentes que realmente importan.

Son muchas las empresas que integran EDR con una solución SIEM (gestión de sucesos e información de seguridad), que reúne todas las cuestiones relacionadas con la seguridad de todas las capas de la infraestructura de TI; no solo puntos finales, sino también las aplicaciones, las bases de datos, los navegadores web o el hardware red, entre otros. Los datos SIEM pueden enriquecer los análisis de EDR con más contexto para identificar, priorizar, investigar y corregir las amenazas.

EDR resume los datos importantes y los resultados de los análisis en una consola de gestión central que también sirve como interfaz de usuario (IU) de la solución. Desde la consola, los miembros del equipo de seguridad obtienen una visibilidad completa de todos los puntos finales y de todos los problemas de seguridad de punto final, a nivel global de la empresa, e inician investigaciones, respuestas ante amenazas y medidas correctivas para todos los puntos finales.

Respuesta automatizada a las amenazas

La automatización es lo que permite disponer de la «respuesta» —en realidad, de la rápida respuesta— en EDR. Según reglas predefinidas que establece el equipo de seguridad —o que aprenden con el tiempo los algoritmos de machine learning—, las soluciones EDR pueden (automáticamente):

  • Alertar a los analistas de seguridad sobre amenazas o actividades sospechosas específicas
  • Seleccionar o priorizar las alertas en función de su gravedad
  • Generar un informe de «seguimiento del recorrido» que rastree todos los puntos de la red donde se ha detenido un incidente o amenaza, hasta llegar a su origen y causa raíz
  • Desconectar un dispositivo de punto final o cerrar la sesión de un usuario final en la red
  • Detener procesos de punto final o del sistema
  • Impedir que un punto final ejecute (accione) un archivo o archivo adjunto de correo electrónico malicioso o sospechoso
  • Activar el software antivirus o antimalware para explorar otros puntos finales de la red en busca de la misma amenaza

EDR puede automatizar las actividades de investigación y corrección de amenazas (véase a continuación). Además, se puede integrar con sistemas SOAR (coordinación, automatización y respuesta de seguridad) para automatizar los playbooks de respuesta de seguridad (secuencias de respuesta a incidentes) que incluyen otras herramientas de seguridad.

Toda esta automatización ayuda a los equipos de seguridad a responder más rápido ante incidentes y amenazas, y así minimizar los daños que pueden causar a la red. Además, permite a los equipos de seguridad trabajar de la forma más eficiente posible con el personal que tienen disponible.

Investigación y corrección

Una vez que se aisla una amenaza, EDR proporciona prestaciones que los analistas de seguridad pueden utilizar para investigar la amenaza con mayor detalle. Por ejemplo, los análisis forenses ayudan a los analistas de seguridad a localizar la causa raíz de una amenaza, determinar los diferentes archivos a los que ha afectado e identificar la vulnerabilidad o vulnerabilidades que ha aprovechado el atacante para entrar en la red y moverse por ella, obtener acceso a las credenciales de autenticación o realizar otras actividades maliciosas.

Armados con esta información, los analistas pueden utilizar herramientas de corrección para eliminar la amenaza. La corrección podría implicar:

  • Destruir archivos maliciosos y borrarlos de los puntos finales
  • Restaurar configuraciones dañadas, valores de registro, datos y archivos de aplicación
  • Aplicar actualizaciones o parches para eliminar vulnerabilidades
  • Actualizar reglas de detección para impedir la recurrencia

Soporte para la caza de amenazas

La caza de amenazas (también llamada caza de ciberamenazas) es un ejercicio proactivo de seguridad en el que un analista de seguridad busca en la red amenazas aún desconocidas, o amenazas conocidas pero que aún no han sido detectadas o corregidas por las herramientas de ciberseguridad automatizada de las organizaciones. Recuerde que las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, y reunir información del sistema y credenciales de usuario para preparar una brecha a gran escala. Cazar las amenazas de forma eficaz y a tiempo puede reducir el tiempo que se tarda en detectar y corregir estas amenazas, además de limitar o evitar los daños derivados del ataque.

Los cazadores de amenazas emplean tácticas y técnicas diversas, la mayoría de las cuales se basan en los mismos orígenes de datos y las mismas prestaciones de análisis y automatización que utiliza EDR para la detección, respuesta y corrección de amenazas. Por ejemplo, un analista de caza de amenazas puede buscar un archivo concreto, un cambio de configuración u otro artefacto según los análisis forenses, o datos de MITRE ATT&CK que describan los métodos de un atacante en particular.

Para dar soporte la caza de amenazas, EDR facilita estas prestaciones a los analistas de seguridad a través de medios programáticos o basados en la interfaz de usuario, de modo que puedan realizar búsquedas y consultas de datos ad-hoc, correlaciones con inteligencia de amenazas y otras investigaciones. Las herramientas de EDR destinadas específicamente a la caza de amenazas incluyen de todo, desde lenguajes de scripts sencillos (para automatizar tareas habituales) hasta herramientas de consulta de lenguaje natural.


Comparación entre EDR y EPP

Una EPP, o plataforma de protección de punto final, es una plataforma de seguridad integrada que combina software antivirus de próxima generación (NGAV) y antimalware con software de control web/filtro web, cortafuegos, pasarelas de correo electrónico y otras tecnologías tradicionales de seguridad de punto final. 

De nuevo, las tecnologías EPP se centran principalmente en la prevención de amenazas conocidas, o amenazas que se comportan de manera conocida, en los puntos finales. EDR tiene la capacidad de identificar y contener amenazas desconocidas o potenciales que superan las barreras de las tecnologías tradicionales seguridad de punto final. No obstante, muchas EPP han evolucionado y ahora incluyen prestaciones de EDR, como análisis de detección de amenazas avanzadas y análisis de comportamientos de usuario. 


Comparación entre EDR y XDR y MDR

Al igual que EDR, XDR (detección y respuesta ampliadas) y MDR (detección y respuesta gestionadas) son soluciones de detección de amenazas empresariales basadas en análisis e IA. Se diferencian de EDR en el ámbito de protección que ofrecen y la forma en que se prestan.

XDR integra herramientas de seguridad en toda la infraestructura híbrida de una organización —no solo puntos finales, sino también redes, correo electrónico, aplicaciones o cargas de trabajo, entre otros elementos—, de modo que estas herramientas puedan interoperar y coordinar la prevención, la detección y la respuesta a las ciberamenazas. Al igual que EDR, XDR integra SIEM, SOAR y otras tecnologías de ciberseguridad empresarial. XDR es todavía una tecnología emergente, pero en rápida evolución, que tiene el potencial de aumentar sobremanera la eficacia y la efectividad de los centros de operaciones de seguridad (SOC) desbordados unificando los puntos de control de seguridad, la telemetría, el análisis y las operaciones en un único sistema empresarial central.

MDR es un servicio de ciberseguridad subcontratado que protege a una organización contra las amenazas que superan las barreras de sus propias operaciones de ciberseguridad. Los proveedores de MDR suelen ofrecer servicios de supervisión, detección y corrección de amenazas 24x7 de un equipo de analistas de seguridad altamente cualificados que trabajan de forma remota con tecnologías EDR o XDR basadas en cloud. MDR puede ser una solución atractiva para una organización que necesita más experiencia en seguridad que aquella de la que dispone en su plantilla, o más tecnología de seguridad que la que permite su presupuesto.


Soluciones relacionadas

IBM Security ReaQta

Seguridad de punto final automatizada y basada en IA para detectar y corregir amenazas casi en tiempo real.


Servicios de detección y respuesta (MDR) gestionados

Servicios gestionados de prevención, detección y respuesta basados en IA para acelerar la defensa ante amenazas en todos los puntos finales.


Servicios de gestión de seguridad de puntos finales

Gestión moderna de puntos finales para proteger a sus usuarios finales y sus dispositivos ante las últimas amenazas de ciberseguridad.


Gestión unificada de puntos finales (UEM)

Adopte un enfoque de IA y de cloud abierto para proteger y gestionar cualquier dispositivo con una solución de UEM.


Soluciones de detección y respuesta de red (NDR)

Las soluciones de detección y respuesta de red ayudan a los equipos de seguridad analizando la actividad de la red en tiempo real.


Gestión de accesos e identidades (IAM)

Conecte a cada usuario con el nivel preciso de acceso con la solución IBM Security Verify IAM.


Soluciones de respuesta a incidentes

Coordine su respuesta a incidentes para unificar la organización en caso de ciberataque.


Soluciones de confianza cero

Descubra soluciones de seguridad en torno a cada usuario, cada dispositivo y cada conexión.


IBM Security QRadar SIEM

Visibilidad centralizada y análisis de seguridad inteligente para detectar, investigar y responder a las amenazas críticas de ciberseguridad.