La detección y respuesta de endpoints, o EDR, es un software que utiliza análisis en tiempo real y automatización impulsada por IA para proteger a los usuarios finales, los dispositivos de puntos finales y los activos de TI de una organización contra las ciberamenazas que eluden el software antivirus y otras herramientas tradicionales de seguridad de puntos finales.
EDR recopila datos de forma continua de todos los endpoints de la red: ordenadores de sobremesa y portátiles, servidores, dispositivos móviles, dispositivos IoT (Internet de las cosas) y mucho más. Analiza estos datos en tiempo real en busca de indicios de ciberamenazas conocidas o presuntas, y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifique.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
Reconocida por primera vez por Gartner en 2013, la EDR disfruta de una amplia adopción empresarial en la actualidad, con razón.
Los estudios estiman que hasta el 90 % de los ciberataques y el 70 % de las vulneraciones de datos con éxito se originan en los dispositivos de punto final. Aunque los antivirus, antimalware, firewalls y otras soluciones tradicionales de seguridad para puntos finales han evolucionado con el tiempo, siguen limitándose a detectar amenazas conocidas, basadas en archivos o firmas. Son mucho menos efectivos, por ejemplo, para detener los ataques de ingeniería social, como los mensajes de phishing que atraen a las víctimas para que divulguen datos confidenciales o visiten sitios web falsos que contienen código malicioso. (El phishing es el método de entrega más común del ransomware). Y son impotentes ante el creciente número de ciberataques "sin archivos" que operan exclusivamente en la memoria del ordenador para evitar por completo el escaneado de archivos o firmas.
Y lo que es más importante, las herramientas tradicionales de seguridad para endpoints no pueden detectar ni neutralizar las amenazas avanzadas que se les escapan. Esto permite que esas amenazas acechen y deambulen por la red durante meses, mientras recopilan datos e identifican las vulnerabilidades como preparación para lanzar un ataque de ransomware, un exploit de día cero u otro ciberataque a gran escala.
EDR continúa donde terminan estas soluciones tradicionales de seguridad para terminales. Sus capacidades de análisis de detección de amenazas y respuesta automatizada pueden, a menudo sin intervención humana, identificar y contener las amenazas potenciales que penetran en el perímetro de la red antes de que puedan causar daños graves. EDR también proporciona herramientas que los equipos de seguridad pueden utilizar para descubrir, investigar y prevenir amenazas sospechosas y emergentes por su cuenta.
Aunque existen diferencias entre los distintos proveedores, las soluciones EDR suelen combinar cinco funciones básicas: Recopilación continua de datos de endpoints, análisis y detección de amenazas en tiempo real, respuesta automatizada a amenazas, aislamiento y corrección de amenazas, y soporte para la caza de amenazas.
EDR recopila datos continuamente, datos sobre procesos, rendimiento, cambios de configuración, conexiones de red, descargas o transferencias de archivos y datos, comportamientos de usuarios finales o dispositivos, de cada dispositivo de endpoint de la red. Los datos se almacenan en una base de datos central o en un data lake, normalmente alojado en la nube.
La mayoría de las soluciones de seguridad EDR recopilan estos datos mediante la instalación de una herramienta ligera de recopilación de datos, o agente, en cada dispositivo endpoint; algunas pueden confiar en cambio en las capacidades del sistema operativo del endpoint.
EDR utiliza algoritmos avanzados de análisis y machine learning para identificar patrones que indican amenazas conocidas o actividades sospechosas en tiempo real, a medida que se desarrollan.
En general, la EDR busca dos tipos de indicadores: los indicadores de compromiso (IOC), que son acciones o acontecimientos coherentes con un posible ataque o vulneración; y los indicadores de ataque (IOA), que son acciones o acontecimientos que se asocian con ciberamenazas o ciberdelincuentes conocidos.
Para identificar estos indicadores, EDR correlaciona sus propios datos de endpoints en tiempo real con los datos de los servicios de inteligencia de amenazas, que ofrecen información continuamente actualizada sobre las ciberamenazas nuevas y recientes: las tácticas que utilizan, las vulnerabilidades de los endpoints o de la infraestructura de TI que explotan, etc. Los servicios de inteligencia sobre amenazas pueden ser propios (operados por el proveedor de EDR), de terceros o basados en la comunidad. Además, muchas soluciones de EDR también asignan datos a Mitre ATT&CK, una base de conocimientos mundial de acceso gratuito sobre las tácticas y técnicas de ciberamenazas de los hackers a la que contribuye el gobierno de los EE. UU.
Los análisis y algoritmos de EDR también pueden hacer su propia investigación, comparando datos en tiempo real con datos históricos y líneas de base establecidas para identificar actividades sospechosas, actividades aberrantes de los usuarios finales y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. También pueden separar las "señales", o amenazas legítimas, del "ruido" de los falsos positivos, para que los analistas de seguridad puedan centrarse en los incidentes que importan.
Muchas empresas integran EDR con una solución SIEM (gestión de eventos e información de seguridad), que reúne los aspectos relacionados con la seguridad en todas las capas de la infraestructura de TI, no solo en los endpoints, sino también en las aplicaciones, las bases de datos, los navegadores web, el hardware de red y mucho más. Los datos de SIEM pueden enriquecer los análisis de EDR con contexto adicional para identificar, priorizar, investigar y corregir amenazas.
EDR resume los datos importantes y los resultados analíticos en una consola de administración central que también sirve como interfaz de usuario (UI) de la solución. Desde la consola, los miembros del equipo de seguridad obtienen una visibilidad completa de todos los endpoints y problemas de seguridad de los endpoints, en toda la empresa, y lanzan investigaciones, respuestas a amenazas y soluciones que afectan a todos y cada uno de los endpoints.
La automatización es lo que pone la "respuesta", realmente la respuesta rápida, en EDR. Basándose en reglas predefinidas establecidas por el equipo de seguridad, o "aprendidas" con el tiempo mediante algoritmos de aprendizaje automático, las soluciones EDR pueden automáticamente
- Alertar a los analistas de seguridad sobre amenazas específicas o actividades sospechosas.
- Triaje o priorización de las alertas en función de su gravedad
- Generar un informe de "seguimiento" que rastree cada parada de un incidente o amenaza en la red, hasta su causa raíz.
- Desconectar un dispositivo terminal o desconectar a un usuario final de la red
- Detener los procesos del sistema o de los endpoints
- Evite que un endpoint ejecute (detone) un archivo o archivo adjunto de correo electrónico malintencionado o sospechoso
- Activar software antivirus o antimalware para analizar otros endpoints de la red en busca de la misma amenaza
EDR puede automatizar las actividades de investigación y corrección de amenazas (ver más abajo). Además, se puede integrar con sistemas SOAR (orquestación de seguridad, automatización y respuesta) para automatizar las guías de estrategias de respuesta a la seguridad (secuencias de respuesta ante incidentes) que implican otras herramientas de seguridad.
Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes y amenazas, para evitar minimizar el daño que pueden causar a la red. Y ayuda a los equipos de seguridad a trabajar de la manera más eficiente posible con el personal que tienen disponible.
Una vez que se aísla una amenaza, EDR proporciona capacidades que los analistas de seguridad pueden usar para investigar más a fondo la amenaza. Por ejemplo, los análisis forenses ayudan a los analistas de seguridad a determinar la causa raíz de una amenaza, identificar los distintos archivos a los que afectó e identificar la vulnerabilidad o vulnerabilidades que el atacante aprovechó para entrar y moverse por la red, acceder a credenciales de autenticación o realizar otras actividades maliciosas.
Con esta información, los analistas pueden utilizar herramientas de corrección para eliminar la amenaza. La corrección podría implicar:
- Destrucción de archivos maliciosos y borrado de los endpoints
- Restauración de configuraciones, configuraciones de registro, datos y archivos de aplicaciones dañados
- Aplicación de actualizaciones o parches para eliminar vulnerabilidades
- Actualización de las reglas de detección para evitar que se repita
La búsqueda de amenazas (también llamada búsqueda de ciberamenazas) es un ejercicio de seguridad proactivo en el que un analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no han sido detectadas o remediadas por las herramientas de ciberseguridad automatizadas de la organización. Recuerde que las amenazas avanzadas pueden estar al acecho durante meses antes de ser detectadas, recopilando información del sistema y credenciales de usuario en preparación para una brecha a gran escala. La búsqueda de amenazas eficaz y oportuna puede reducir el tiempo que se tarda en detectar y remediar estas amenazas, y limitar o prevenir los daños causados por el ataque.
Los buscadores de amenazas utilizan diversas tácticas y técnicas, la mayoría de las cuales se basan en las mismas fuentes de datos, capacidades de análisis y automatización que EDR utiliza para detectar, responder y corregir las amenazas. Por ejemplo, es posible que un analista de búsqueda de amenazas desee buscar un archivo en particular, un cambio de configuración u otro artefacto basado en análisis forenses, o datos de MITRE ATT&CK que describan los métodos de un atacante en particular.
Para apoyar la búsqueda de amenazas, EDR pone estas capacidades a disposición de los analistas de seguridad a través de la interfaz de usuario o por medios programáticos, para que puedan realizar búsquedas ad hoc, consultas de datos, correlaciones con la inteligencia sobre amenazas y otras investigaciones. Las herramientas de EDR destinadas específicamente a la caza de amenazas incluyen desde sencillos lenguajes de scripting (para automatizar tareas comunes) hasta herramientas de consulta en lenguaje natural.
Una EPP, o plataforma de protección de endpoints, es una plataforma de seguridad integrada que combina software antivirus y antimalware de próxima generación con software de control web/filtro web, firewalls, pasarelas de correo electrónico y otras tecnologías tradicionales de seguridad de endpoints.
Una vez más, las tecnologías de EPP se centran principalmente en la prevención de amenazas conocidas, o que se comportan de forma conocida, en los endpoints. EDR tiene la capacidad de identificar y contener amenazas desconocidas o potenciales que superan las tecnologías tradicionales de seguridad de los puntos finales. No obstante, muchos EPP han evolucionado para incluir capacidades EDR como el análisis de detección de amenazas avanzadas y el análisis del comportamiento de los usuarios.
Al igual que EDR, XDR (detección y respuesta ampliadas) y MDR (detección y respuesta gestionadas) son soluciones de detección de amenazas empresariales basadas en análisis y IA. Se distinguen de los EDR en el alcance de la protección que proporcionan y en la forma en que se entregan.
XDR integra herramientas de seguridad en toda la infraestructura híbrida de una organización (no solo endpoints, sino también redes, correo electrónico, aplicaciones, cargas de trabajo en la nube y más) para que estas herramientas puedan interoperar y coordinarse en la prevención, detección y respuesta a ciberamenazas. Al igual que EDR, XDR integra SIEM, SOAR y otras tecnologías de ciberseguridad empresarial. XDR, una tecnología aún emergente pero en rápida evolución, tiene el potencial de hacer que los centros de operaciones de seguridad (SOC) abrumados sean mucho más eficientes y efectivos al unificar los puntos de control de seguridad, la telemetría, el análisis y las operaciones en un único sistema empresarial central.
MDR es un servicio de ciberseguridad subcontratado que protege a una organización contra amenazas que pasan por sus propias operaciones de ciberseguridad. Los proveedores de MDR suelen ofrecer servicios de monitorización, detección y corrección de amenazas 24x7 a cargo de un equipo de analistas de seguridad altamente cualificados que trabajan a distancia con tecnologías EDR o XDR basadas en la nube. MDR puede ser una solución atractiva para una organización que necesita una experiencia en seguridad superior a la que tiene en plantilla, o una tecnología de seguridad superior a su presupuesto.
Adopte un enfoque de cloud abierto e IA para proteger y gestionar dispositivos con una solución de UEM
Gestión de puntos finales moderna para proteger a sus usuarios finales y sus dispositivos de las últimas amenazas de ciberseguridad.
Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.
¿Qué se necesita para ser la mejor solución EDR? Sepa qué preguntas hacer y qué buscar al evaluar los elementos clave de una solución EDR moderna.
Uno de los mayores aeropuertos del mundo protege sus infraestructuras cruciales con la tecnología NanoOS, los motores de comportamiento y las potentes funciones de búsqueda de amenazas de IBM Security ReaQta.