¿Qué es EDR?

La EDR recopila datos de forma continua de todos los endpoints de la red: computadoras de escritorio y portátiles, servidores, dispositivos móviles, dispositivos IoT (Internet de las cosas) y mucho más. Analiza estos datos en tiempo real en busca de pruebas de ciberamenazas conocidas o sospechadas, y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifica.

Reconocido por primera vez por Gartner en 2013, EDR disfruta hoy en día de una amplia adopción empresarial, y con razón.

Los estudios estiman que hasta el 90 % de los ciberataques exitosos y el 70 % de las filtraciones de datos exitosas se originan en dispositivos endpoint. Si bien los antivirus, antimalware, cortafuegos y otras soluciones tradicionales de seguridad endpoint evolucionaron con el tiempo, todavía se limitan a detectar amenazas de endpoints conocidas, basadas en archivos o en firmas. Son mucho menos efectivos, por ejemplo, para detener los ataques de ingeniería social, como los mensajes de phishing que atraen a las víctimas para que divulguen datos confidenciales o visiten sitios web falsos que contienen código malicioso. (El phishing es el método de entrega más común para el ransomware). Y no tienen poder contra un número creciente de ciberataques "sin archivos" que operan exclusivamente en la memoria de la computadora para evitar por completo el escaneo de archivos o firmas.

Lo más importante es que las herramientas tradicionales de seguridad endpoint no pueden detectar ni neutralizar las amenazas avanzadas que se les escapan. Esto permite que esas amenazas acechen y deambulen por la red durante meses, recopilando datos e identificando vulnerabilidades en preparación para lanzar un ataque de ransomware, una explotación de día cero u otro ciberataque a gran escala.

La EDR continúa donde lo dejan estas soluciones tradicionales de seguridad endpoint. Sus análisis de detección de amenazas y sus capacidades de respuesta automatizada pueden, a menudo sin intervención humana, identificar y contener amenazas potenciales que penetran en el perímetro de la red antes de que puedan causar daños graves. La EDR también proporciona herramientas que los equipos de seguridad pueden emplear para descubrir, investigar y prevenir amenazas sospechosas y emergentes por su cuenta.

Si bien existen diferencias entre los proveedores, las soluciones EDR suelen combinar cinco capacidades principales:

• Recopilación continua de datos de endpoint
• Análisis en tiempo real y detección de amenazas
• Respuesta automatizada a amenazas
• Aislamiento y corrección de amenazas
• Soporte para la caza de amenazas

EDR recopila datos continuamente (datos sobre procesos, rendimiento, cambios de configuración, conexiones de red, descargas o transferencias de archivos y datos, comportamientos del usuario final o del dispositivo) de cada dispositivo endpoint de la red. Los datos se almacenan en una base de datos central o data lake, normalmente alojada en la nube.

La mayoría de las soluciones de seguridad EDR recopilan estos datos mediante la instalación de una herramienta liviana de recopilación de datos, o agente, en cada dispositivo endpoint. Algunas pueden depender de las capacidades del sistema operativo del endpoint.

EDR emplea analytics avanzados y algoritmos de aprendizaje automático para identificar patrones que indican amenazas conocidas o actividades sospechosas en tiempo real, a medida que se desarrollan.

En general, EDR busca dos tipos de indicadores: indicadores de compromiso (IOC), que son acciones o eventos congruentes con un posible ataque o violación; e indicadores de ataque (IOA), que son acciones o eventos asociados con ciberamenazas o delincuentes cibernéticos conocidos.

Para identificar estos indicadores, EDR correlaciona sus propios datos de endpoint en tiempo real con datos de servicios de inteligencia de amenazas, que brindan información continuamente actualizada sobre ciberamenazas nuevas y recientes: las tácticas que utilizan, las vulnerabilidades de la infraestructura de TI o endpoint que explotan, y más. Los servicios de inteligencia de amenazas pueden ser propios (operados por el proveedor de EDR), de terceros o basados en la comunidad. Además, muchas soluciones EDR también asignan datos a Mitre ATT&CK, una base de conocimientos mundial de libre acceso sobre tácticas y técnicas de ciberamenazas de hackers a la que contribuye el gobierno de Estados Unidos.

Los análisis y algoritmos de EDR también pueden hacer su propia investigación, comparando datos en tiempo real con datos históricos y líneas de base establecidas para identificar actividades sospechosas, actividades aberrantes del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. También pueden separar las "señales" o amenazas legítimas del "ruido" de los falsos positivos, de modo que los analistas de seguridad puedan centrarse en los incidentes importantes.

Muchas empresas integran EDR con una solución SIEM (gestión de eventos e información de seguridad), que reúne los aspectos relacionados con la seguridad en todas las capas de la infraestructura de TI, no solo en los endpoints, sino también en las aplicaciones, las bases de datos, los navegadores web, el hardware de red y mucho más. Los datos de SIEM pueden enriquecer los analytics de EDR con contexto adicional para identificar, priorizar, investigar y corregir amenazas.

La EDR resume los datos importantes y los resultados analíticos en una consola de administración central que también sirve como interfaz de usuario (IU) de la solución. Desde la consola, los miembros del equipo de seguridad obtienen visibilidad completa de cada endpoint y problema de seguridad endpoint, en toda la empresa, e inician investigaciones, respuestas a amenazas y soluciones que involucran a todos y cada uno de los endpoints.

La automatización es lo que pone la “respuesta”, realmente la respuesta rápida, en EDR. Basarse en reglas predefinidas establecidas por el equipo de seguridad, “aprendidas” con el tiempo mediante algoritmos de aprendizaje automático, las soluciones EDR pueden automáticamente

• Alertar a los analistas de seguridad sobre amenazas específicas o actividades sospechosas
• Clasificar o priorizar las alertas según la gravedad
• Generar un informe de “seguimiento” que rastrea cada parada de un incidente o amenaza en la red, hasta su causa principal
• Desconectar un dispositivo endpoint o desconectar a un usuario final de la red
• Detener los procesos del sistema o de los endpoints
• Evitar que un endpoint ejecute (detone) un archivo malicioso o sospechoso o un archivo adjunto de correo electrónico
• Activar software antivirus o antimalware para analizar otros endpoints de la red en busca de la misma amenaza

La EDR puede automatizar las actividades de investigación y corrección de amenazas (consulte a continuación). Y se puede integrar con los sistemas SOAR (orquestación de seguridad, automatización y respuesta) para automatizar los playbooks de respuesta de seguridad (secuencias de respuesta ante incidentes) que involucran otras herramientas de seguridad.

Toda esta automatización ayuda a los equipos de seguridad a responder más rápidamente a los incidentes y amenazas, para evitar minimizar el daño que pueden causar a la red. Y ayuda a los equipos de seguridad a trabajar de la forma más eficaz posible con el personal de que disponen.

Una vez que se aísla una amenaza, EDR proporciona capacidades que los analistas de seguridad pueden usar para investigar más a fondo la amenaza. Por ejemplo, el análisis forense ayuda a los analistas de seguridad a identificar la causa principal de una amenaza, identificar los distintos archivos a los que afectó y detectar una o más vulnerabilidades que el atacante explotó y que entran y se mueven por la red, obtener acceso a las credenciales de autenticación o realizar otras actividades maliciosas.

Con esta información, los analistas pueden emplear herramientas de corrección para eliminar la amenaza. La corrección puede consistir en

• Destruir archivos maliciosos y eliminarlos de los endpoints
  
• Restaurar configuraciones dañadas, ajustes de registro, datos y archivos de aplicaciones
• Aplicar actualizaciones o parches para eliminar vulnerabilidades
• Actualización de las reglas de detección para evitar otro incidente

La caza de amenazas (también llamada caza de amenazas cibernéticas) es un ejercicio de seguridad proactivo en el que un analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no fueron detectadas o corregidas por las herramientas automatizadas de ciberseguridad de la organización. Recuerde que las amenazas avanzadas pueden acechar durante meses antes de ser detectadas, recopilando información del sistema y credenciales de usuario en preparación para una violación a gran escala. La caza de amenazas eficaz y oportuna puede reducir el tiempo que lleva detectar y corregir estas amenazas, y limitar o prevenir los daños causados por el ataque.

Los cazadores de amenazas utilizan una variedad de tácticas y técnicas, la mayoría de las cuales se basan en las mismas fuentes de datos, analytics y capacidades de automatización que EDR utiliza para la detección, respuesta y corrección de amenazas. Por ejemplo, un analista de caza de amenazas podría querer buscar un archivo en particular, un cambio de configuración u otro artefacto basado en análisis forense, o datos de MITRE ATT&CK que describan los métodos de un atacante en particular.

Para respaldar la búsqueda de amenazas, la EDR pone estas capacidades a disposición de los analistas de seguridad a través de medios programáticos o basados en la interfaz de usuario, para que puedan realizar búsquedas ad hoc, consultas de datos, correlaciones con inteligencia de amenazas y otras investigaciones. Las herramientas de EDR destinadas específicamente a la caza de amenazas incluyen todo, desde lenguajes de script simples (para automatizar tareas comunes) hasta herramientas de consulta de lenguaje natural.

Una EPP, o plataforma de protección de endpoints, es una plataforma de seguridad integrada que combina software antivirus y antimalware de próxima generación con software de control/filtro web, cortafuegos, pasarelas de correo electrónico y otras tecnologías tradicionales de seguridad endpoint.

Nuevamente, las tecnologías EPP se enfocan principalmente en prevenir amenazas conocidas, o amenazas que se comportan de maneras conocidas, en los endpoints. La EDR tiene la capacidad de identificar y contener amenazas desconocidas o potenciales que superan las tecnologías tradicionales de seguridad endpoint. Sin embargo, muchos EPP evolucionaron para incluir capacidades de EDR, como analytics avanzados de detección de amenazas y análisis del comportamiento del usuario.

Al igual que EDR, XDR (detección y respuesta extendidas) y MDR (detección y respuesta gestionadas) son soluciones de detección de amenazas empresariales basadas en inteligencia artificial. Se diferencian de la EDR en el alcance de la protección que proporcionan y en la forma en que se entregan.

XDR integra herramientas de seguridad en toda la infraestructura híbrida de una organización (no solo endpoints, sino también redes, correo electrónico, aplicaciones, cargas de trabajo en la nube y más) para que estas herramientas puedan interoperar y coordinarse en la prevención, detección y respuesta a ciberamenazas. Al igual que EDR, XDR integra SIEM, SOAR y otras tecnologías de ciberseguridad empresarial. XDR, una tecnología aún emergente, pero en rápida evolución, tiene el potencial de hacer que los centros de operaciones de seguridad (SOC) saturados sean mucho más eficientes y efectivos al unificar los puntos de control de seguridad, la telemetría, el analytics y las operaciones en un único sistema empresarial central.

MDR es un servicio de ciberseguridad subcontratado que protege a una organización contra amenazas que trascienden sus propias operaciones de ciberseguridad. Los proveedores de MDR generalmente ofrecen servicios de monitoreo, detección y corrección de amenazas las 24 horas del día, los 7 días de la semana, por parte de un equipo de analistas de seguridad altamente calificados que trabajan de forma remota con tecnologías EDR o XDR basadas en la nube. MDR puede ser una solución atractiva para una organización que necesita experiencia en seguridad más allá de lo que tiene su personal, o tecnología de seguridad más allá de su presupuesto.