Las herramientas EDR son recursos para combatir las amenazas avanzadas y responder a incidentes en los puntos finales de la red. Estos productos combinan caracterÃsticas como el análisis de comportamiento, bloqueo de comportamiento, control de aplicaciones y listas blancas de aplicaciones, monitorización de la red y respuesta a incidentes.
Si bien es posible encontrar herramientas especÃficas de seguridad que ofrezcan este tipo de controles (una herramienta bien conocida es el antivirus), las herramientas EDR proporcionan detalles forenses que permiten ofrecer una respuesta rápida ante incidentes.
Las herramientas EDR también se integran en otras herramientas de seguridad para realizar las siguientes tareas:
Mejorar la visibilidad de los comportamientos y procesos en el punto final.
Administrar los activos fÃsicos y de información.
Mejorar la respuesta.
Ayuda con la recopilación de datos para proporcionar a TI análisis de dispositivos.
Según los resultados de la agencia de análisis B2B International, publicados en el informe de Kaspersky Lab New Threats, New Mindset: Being Risk Ready in a World of Complex Attack, los ataques dirigidos se convirtieron en una de las amenazas de mayor crecimiento en 2022, aumentando respecto al año anterior un 6 % en las PYMES y un 11 % en las empresas.
El 27 % de las empresas ha admitido haber sufrido ataques dirigidos en su infraestructura, frente al 21 % del año pasado, y el 33 % de las empresas se han sentido vigiladas por los ciberdelincuentes. De las compañÃas encuestadas, el 57 % afirmó que esperaba sufrir una brecha de seguridad tarde o temprano y el 42 % no estaba seguro de cuál era la estrategia más efectiva para responder a estas amenazas.
La media de los costes de los incidentes y deficiencias funcionales en las soluciones EPP tradicionales que no están diseñadas para defenderse de amenazas complejas, muestran que necesitan invertir más en productos especializados para la detección y respuesta de amenazas avanzadas.
Los productos EPP requieren una mayor flexibilidad y deben incluir funciones de detección y respuesta en endpoints (EDR, por sus siglas en inglés) o tener la capacidad de integrarse con soluciones EDR totalmente independientes, dependiendo de la dimensión de la compañÃa y de los requisitos.
En función del tipo de ciberataque, los principales riesgos del endpoint sobre los EDR tienen capacidad para actuar son:
El acceso no autorizado a datos e información confidencial.
El robo y pérdida de datos mediante ataques de phishing.
El bloqueo de equipos y ransomware.
Cualquier peligro procedente de dispositivos conectados en remoto.
Documentos que contengan código malicioso que no puede detectar un antivirus.
El Fileless Malware o Malware sin archivos es un tipo actividad maliciosa que puede pasar desapercibido por un software antivirus por la ausencia de archivos que analizar. En cambio, un EDR puede ayudar a dotar de una capa extra de protección frente a este tipo de amenaza.
Virus que cambian de comportamiento de forma continua para evitar ser detectados por antivirus.
Gracias a su tecnologÃa más avanzada y con carácter predictivo, los sistemas EDR son más efectivos que los antivirus convencionales en la detección de malware desconocido porque utiliza tecnologÃas de análisis y aprendizaje que optimizan su respuesta.
- Jaime Aguirre