Los sistemas de protección EDR (Endpoint Detection Response) se componen por varios elementos de detección, como los antivirus, la inteligencia artificial y el Big Data. Esta solución de seguridad es capaz de supervisar y monitorizar continuamente los dispositivos del usuario para detectar y responder a ciberamenazas, como el ransomware y el malware.
¿Cómo funciona?
Este conjunto tecnológico registra y almacena comportamientos a nivel de sistema de endpoint. O lo que es lo mismo, un dispositivo informático remoto que se comunica con una red a la que está conectado y utiliza varias técnicas de análisis de datos para detectar comportamientos sospechosos del sistema. También proporciona información contextual, bloquea la actividad maliciosa y ofrece sugerencias para restaurar los sistemas afectados.
No es un software antivirus, pero puede tener capacidades antivirus o utilizar datos de otro producto antivirus. Si el software antivirus es el principal responsable de la protección contra el software malicioso conocido, el programa EDR encuentra debilidades al mismo tiempo que se ejecuta el ataque. Es decir, es capaz de combinar el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente ante los riesgos y las amenazas más complejas.
Entonces, ¿cuáles son sus características?
- Supervisar y recopilar datos de actividad para identificar amenazas potenciales.
- Analizar estos datos para identificar patrones.
- Responder automáticamente a las amenazas identificadas para eliminarlas o contenerlas, y notificar al personal de seguridad.
- Herramientas forenses y de análisis para investigar las amenazas identificadas y buscar actividades sospechosas.
Además del antivirus, ¿qué aplicaciones incorpora?
- Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine learning) para mejorar la detección de amenazas.
- Sandbox: un sistema virtual y aislado de pruebas para comprobar el comportamiento de los archivos descargados.
- Escaneo de IOCs y reglas YARA, que permiten analizar y detectar las amenazas provocadas por amenazas complejas en tiempo real.
- El uso de listas blancas y negras de correos electrónicos, páginas web e IP.
- Interoperatibilidad e interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware.
¿Necesito un EDR?
Aunque los antivirus han evolucionado de manera exponencial en los últimos años, todavía no son capaces de localizar amenazas más allá del malware. En un ataque más complejo, como los que sufren hoy en día las grandes compañías, siguen sin ser eficaces. Hablamos de las amenazas a la ciberseguridad, donde se mezclan la ingeniería social junto con los fallos humanos de los empleados. Así como las técnicas más complejas (vulnerabilidades 0-day, ransomware, cuentas comprometidas, amenazas persistentes, etc.) en las redes de la empresa. Esto puede provocar que sean más difíciles de detectar y controlar, con los consecuentes daños económicos y de reputación.
A pesar de que la inversión es mayor con este tipo de herramientas, las ventajas asociadas consiguen que la inversión se amortice mucho antes, ya que permite reducir de forma muy significativa los efectos de los ataques digitales más sofisticados contra las empresas. En Esferize trabajamos con Sentinel One, un agente versátil optimizado para un excelente rendimiento en cualquier plataforma, con un sencillo sistema de gestión y funcionamiento local y en la nube.