Qué son las herramientas EDR y cómo mejoran la seguridad

Las técnicas utilizadas por los atacantes que pretenden comprometer la seguridad de organizaciones y empresas son cada vez más refinadas y potentes. Ya no basta con proteger la red y sus elementos, sino que es necesario tener en cuenta los nuevos riesgos que pueden poner en jaque la seguridad corporativa. Para conseguirlo, uno de los mejores recursos son las herramientas Endpoint Detection and Response (conocidas por su acrónimo EDR), cuyo alcance y funcionamiento explicamos a continuación.

Antes de seguir profundizando en los EDR, conviene aclarar que un endpoint (o punto final) es un dispositivo informático remoto que se comunica de manera bidireccional con una red a la que está conectado. Son puntos de riesgo y la principal puerta de acceso de los atacantes para comprometer una organización.

Los principales riesgos a los que una organización está expuesta son, entre otros, el robo de datos, el espionaje, el fraude financiero, robos de identidad o ser parte de una botnet. El impacto de cualquier ataque de este tipo es enorme, y puede suponer desde problemas de disponibilidad de servicio, impacto financiero, de reputación o imagen hasta pérdida de competitividad.

Así que se hace necesario dispone de herramientas efectivas para la protección de estos puntos finales, o endpoints, que respondan con eficacia a los ataques más sofisticados y avanzados, sobre todo si hablamos de malware o de exploits, incluso de APT.

Lorea Revilla, directora de Operaciones de Arsys.

Las herramientas EDR son recursos para combatir las amenazas avanzadas y responder a incidentes en los puntos finales de la red. Estos productos combinan características como el análisis de comportamiento, bloqueo de comportamiento, control de aplicaciones y listas blancas de aplicaciones, monitorización de la red y respuesta a incidentes.

Si bien es posible encontrar herramientas específicas de seguridad que ofrezcan este tipo de controles (una herramienta bien conocida es el antivirus), las herramientas EDR proporcionan detalles forenses que permiten ofrecer una respuesta rápida ante incidentes.

Las herramientas EDR también se integran en otras herramientas de seguridad para realizar las siguientes tareas:

• Mejorar la visibilidad de los comportamientos y procesos en el punto final.
• Administrar los activos físicos y de información.
• Mejorar la respuesta.
• Ayuda con la recopilación de datos para proporcionar a TI análisis de dispositivos.

Las herramientas EDR funcionan supervisando eventos de punto final y de red. La información registrada se lleva a una base de datos central donde se realizan análisis, detección, investigación, informes y alertas. Es decir, no solo se pueden detectar eventos en el momento, sino también a través del análisis de los datos ya registrados.

Las herramientas analíticas identifican tareas que pueden mejorar el estado general de seguridad de una empresa al identificar, responder y desviar amenazas internas y ataques externos.

No todas las herramientas EDR funcionan igual, pero todas realizan las mismas funciones esenciales con el propósito de proporcionar un medio de monitorización y análisis continuo para identificar, detectar y prevenir amenazas avanzadas con mayor facilidad.

Las herramientas EDR proporcionan diversos beneficios a las empresas que las utilizan, como:

• Las herramientas proporcionan a las empresas una mejor capacidad de anticipación ante los ataques dirigidos. Gracias a los modelos preventivo (pre-infección) y detectivo (post-infección) se analizan patrones de comportamiento que permiten anticipar amenazas.
• La disminución del tiempo de exposición a incidentes de seguridad gracias a un enfoque reactivo que permite actuar en cuestión de segundos, o minutos.
• Proporcionan una visión global de las amenazas contra los endpoints.

A la vez, hemos de fijarnos en las siguientes características clave a la hora de pensar en adoptar y utilizar este tipo de herramientas:

• Buena capacidad de filtrado, es decir, que sean capaces de discernir los falsos positivos. De pasarlos por algo, las alertas se activarían sin tener por qué, lo que aumenta la posibilidad de que algunas amenazas reales pasen inadvertidas.
• Bloqueo avanzado de amenazas: una buena solución evitará las amenazas en el momento en que se detecten, pero también mientras dure el ataque.
• Buena capacidad de respuesta a incidentes.
• Protección contra múltiples amenazas: es decir, que tengan capacidad para poder manejar varias amenazas avanzadas al mismo tiempo, por ejemplo, varios tipos de malware, o cualquier otro tipo de amenaza como accesos no autorizados o movimientos sospechosos de los datos.