[29/09/2023] El software de seguridad de detección y respuesta para puntos finales (EDR, por sus siglas en inglés) ha ganado en popularidad y eficacia, ya que permite a los equipos de seguridad detectar y responder rápidamente a las amenazas. El software EDR ofrece visibilidad de la actividad de los endpoints en tiempo real, detectando y respondiendo continuamente a la actividad de los atacantes en dispositivos endpoint como teléfonos móviles, estaciones de trabajo, computadoras portátiles y servidores.
"La gran diferencia entre la detección y respuesta en los puntos finales y las generaciones anteriores de lo que solíamos llamar software antivirus, es que se centra en el comportamiento del atacante y no en el código o en elementos estáticos, como la dirección IP de la que proceden o el código que entregan", afirma Peter Firstbrook, vicepresidente y analista distinguido de Gartner Inc.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El software recopila y analiza datos de diversas fuentes, como el tráfico de red, los sensores instalados en los terminales y los registros del sistema. Las herramientas EDR utilizan el aprendizaje automático y algoritmos para detectar amenazas y alertar sobre actividades sospechosas que puedan ser indicio de un ataque. Una vez que el software EDR detecta una amenaza, puede tomar medidas para contenerla, minimizarla o remediarla, por ejemplo, aislando los dispositivos infectados, lo que garantiza que el atacante no pueda penetrar más en la red, afirma Allie Mellen, analista principal de Forrester Inc.
Forrester define la tecnología EDR como "Tecnología de detección, investigación y respuesta que recopila telemetría relevante para la seguridad de los puntos finales, realiza la detección de anomalías, permite a los analistas investigar a partir de la telemetría recopilada y facilita la respuesta de los analistas en los puntos finales afectados".
Características clave que deben buscarse en un software EDR
Las organizaciones deben buscar un software de detección y respuesta de puntos finales que incluya las siguientes características:
Capacidades de detección: El software EDR debe incluir capacidades avanzadas de detección de amenazas, así como la capacidad de detectar y responder a las amenazas antes, durante y después de que estas se ejecuten.
Capacidades de investigación: El software EDR automatiza la recopilación y el procesamiento de datos, así como ciertas actividades de respuesta para que los equipos de seguridad puedan comprender las posibles amenazas a la seguridad y tomar medidas rápidamente para remediarlas.
"Entonces, ¿qué capacidades de gestión de casos [necesarias para investigar y resolver incidentes de seguridad] están disponibles en la herramienta?". afirma Mellen. "Y una vez que entiende las capacidades de gestión de casos, ¿qué tan fácil es navegar por la interfaz para hacer una investigación más profunda para averiguar lo que podría estar pasando ... para obtener tanto contexto sobre un incidente como sea posible".
Integración: El software debe integrarse con otras herramientas de seguridad, como software antivirus, plataformas de respuesta a incidentes y firewalls. Esto permite a las empresas compartir información sobre amenazas entre distintos sistemas. Las herramientas EDR también deben admitir interfaces de programación de aplicaciones (API, por sus siglas en inglés) para que puedan integrarse fácilmente con otro software.
Facilidad de uso: Las herramientas EDR deben ser fáciles de implementar y utilizar. Deben tener una interfaz fácil de usar, así como alertas claras sobre las que los equipos de seguridad puedan actuar. Las consolas de gestión centralizada de las herramientas deben permitir a los administradores de EDR ver el estado de seguridad de cada punto final, configurar políticas e investigar y responder a incidentes de seguridad.
Compatibilidad con los sistemas operativos en uso: Las empresas deben asegurarse de que las herramientas EDR que seleccionan son compatibles con los sistemas operativos que están utilizando, por ejemplo, macOS, Windows, Linux, Android e iOS.
"Qué sistemas operativos cubren estas herramientas es importante", comenta Firstbrook. "Si tiene mucho software heredado, como un sistema operativo antiguo como Windows 7, Windows 8, Windows NT o Windows XP, solo unos pocos proveedores los soportan. Ni siquiera Microsoft es compatible con esos sistemas operativos antiguos. Por eso es una consideración crítica".
Escalabilidad: El software EDR debe escalar para satisfacer las necesidades de la empresa en términos de cuántos puntos finales puede proteger y cuántos eventos de seguridad puede gestionar.
Privacidad y conformidad: Las herramientas EDR deben cumplir los requisitos normativos y de conformidad que se aplican a los sectores de las organizaciones, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) de EE.UU. o SOC 2. Los proveedores de software deben tener políticas claras de protección de datos. Los proveedores de software deben contar con políticas claras de protección de datos y sus herramientas deben ser capaces de cifrar los datos y transmitirlos de forma segura.
Ventajas del software EDR
Existen numerosas ventajas asociadas a los servicios EDR, entre ellas
Mayor visibilidad: Las herramientas EDR proporcionan a las organizaciones una mayor visibilidad de sus sistemas mediante la supervisión continua de cada evento en cada endpoint, así como la identificación y respuesta a las amenazas en tiempo real. Además, esta mayor visibilidad permite a las organizaciones ir un paso por delante de posibles amenazas y garantizar que sus redes permanezcan seguras.
Cumplimiento mejorado: Muchas empresas deben cumplir con ciertos estándares y regulaciones de la industria con respecto a cómo se almacenan y acceden los datos, como HIPPA o GDPR. Las organizaciones pueden utilizar herramientas EDR para supervisar cualquier comportamiento sospechoso e investigar el origen de posibles amenazas, lo que ayuda a garantizar que sigan cumpliendo con estas regulaciones y normas. Además, el software EDR también proporciona informes detallados que las organizaciones pueden utilizar para mostrar a los auditores que cumplen con la normativa.
Menor riesgo: Dado que las herramientas EDR supervisan continuamente los sistemas y los puntos finales, las empresas pueden detectar y responder rápidamente a las amenazas en tiempo real y reducir el riesgo de ataques.
Menos falsos positivos: Las herramientas EDR investigan las actividades sospechosas antes de alertar a los analistas de seguridad. Si el software determina que un evento sospechoso no es malicioso, la alerta se cierra, lo que reduce el número de falsos positivos que deben analizar los equipos de seguridad.
Respuesta rápida a incidentes: Normalmente, los analistas de seguridad dedican entre cuatro y cinco horas a investigar los ataques. Sin embargo, las herramientas EDR automatizan varios procesos que los analistas suelen realizar manualmente, lo que acelera considerablemente los tiempos de respuesta.
Errores que hay que evitar
Uno de los mayores escollos es pensar que la EDR es una solución del tipo "configúrela y olvídese", afirma Michael Suby, vicepresidente de Investigación, Seguridad y Confianza de IDC. "No se puede dar por sentado que basta con instalar el software y que éste lo hará todo por uno, porque no es así", sostiene. "Tiene que tener suficiente talento interno para aprender y manejar el software con eficacia".
Mellen coincide con esta apreciación. "Esta tecnología requiere tener a alguien en la plataforma todos los días", señala. "Es muy importante tener en cuenta que esto no es algo que se vaya a configurar y luego dejar a su suerte. Necesita personas que se ocupen de estas alertas".
El software EDR también puede ser más caro que el software antivirus tradicional en términos de inversión inicial y costos de mantenimiento continuo, lo que hace que la compra, implantación y mantenimiento de estas herramientas resulte demasiado costosa para las pequeñas y medianas empresas.
Otro escollo es no disponer de operadores sofisticados para utilizar el software, según Firstbrook. "El software EDR requiere operadores relativamente sofisticados para utilizarlo; porque detectará cosas sospechosas, pero no necesariamente maliciosas", anota. "Y el operador tiene que rastrear la ruta del evento y determinar si es malicioso o no basándose en el comportamiento. Por lo tanto, requerirá operadores más sofisticados, o puede que tenga que subcontratar esa operación a otra persona, lo que aumenta el costo".
Además, algunas herramientas EDR pueden tener una escalabilidad limitada, lo que dificulta a las empresas mejorar sus posturas de seguridad a medida que crecen. Y durante los momentos de mayor uso, una escalabilidad limitada puede causar retrasos o tiempos de inactividad, afectando a la capacidad de las organizaciones para detectar y responder rápidamente a los incidentes de seguridad.
5 herramientas líderes de detección de puntos finales y respuesta
Existen varias herramientas de detección y respuesta para puntos finales en el mercado, por lo que, para ayudarle a comenzar su investigación, hemos destacado los siguientes productos basándonos en conversaciones con analistas e investigaciones independientes.
Cisco Secure Endpoint: Cisco Secure Endpoint integra funciones de prevención, detección, caza de amenazas y respuesta. Protege dispositivos Mac, Windows, Linux, iOS y Android mediante despliegues en nube pública o privada. Incluye motores antivirus basados en definiciones que se actualizan constantemente para endpoints Windows, Mac y Linux. Detiene el malware en tiempo real. Protege los endpoints frente a las ciberamenazas actuales y emergentes. Supervisa continuamente los puestos finales para que las empresas puedan detectar amenazas nuevas y desconocidas. Además, proporciona a las empresas visibilidad detallada de los puntos finales y herramientas de respuesta para que puedan hacer frente a las brechas de seguridad de forma rápida y eficaz. Busca automáticamente las amenazas para ayudar a las empresas a identificar fácilmente el 1% de las amenazas que pueden haber pasado desapercibidas.
CrowdStrike Falcon Insight: CrowdStrike Falcon Insight permite a las empresas detectar y priorizar automáticamente las amenazas avanzadas en Windows, Mac, Linux, ChromeOS, iOS y Android. Ofrece capacidades de respuesta en tiempo real para proporcionar acceso directo a los endpoints que se están investigando. Utiliza indicadores de ataque basados en IA para identificar automáticamente la actividad de los atacantes. Prioriza las alertas, lo que elimina las búsquedas manuales y las investigaciones que llevan mucho tiempo. La inteligencia de amenazas integrada proporciona el contexto total de un ataque, incluida la atribución. La métrica de CrowdStrike permite a las organizaciones comprender sus niveles de amenaza en tiempo real para que los equipos de seguridad puedan determinar más rápidamente si están siendo atacados. Esto también permite a los responsables de seguridad evaluar la gravedad de las amenazas para poder coordinar las respuestas adecuadas.
Microsoft Defender for Endpoint: Microsoft Defender for Endpoint ayuda a proteger contra malware sin archivos, ransomware y otros ataques sofisticados en Windows, macOS, Linux, iOS y Android. Permite a los equipos de seguridad buscar amenazas a través de seis meses de datos históricos en toda la empresa. Proporciona informes de análisis de amenazas para que las empresas puedan conocer rápidamente las nuevas amenazas globales, averiguar si se ven afectadas por ellas, evaluar su exposición y determinar las medidas de mitigación adecuadas para aumentar su resistencia a estas amenazas. Supervisa los problemas de configuración de seguridad y las vulnerabilidades de software tanto de Microsoft como de terceros y, a continuación, actúa automáticamente para mitigar el riesgo y reducir la exposición.
SentinelOne Singularity: SentinelOne Singularity es una solución integral de seguridad de endpoints, nube e identidad impulsada por inteligencia artificial. Combina protección de endpoints, EDR, una plataforma de protección de cargas de trabajo en la nube, así como detección y respuesta a amenazas de identidad en una sola plataforma. Protege múltiples sistemas operativos, incluidos Windows, macOS, Linux, instancias de Kubernetes y móviles. Ofrece detección de amenazas mejorada, mayor tiempo de respuesta ante incidentes y mitigación eficaz de riesgos. Proporciona a los equipos de seguridad visibilidad en toda la empresa, potentes análisis y respuestas automatizadas. Singularity, una plataforma basada en la nube, es fácil de implementar, altamente escalable y ofrece una interfaz fácil de usar.
Trend Micro Apex One: Trend Micro Apex One ofrece detección de amenazas, investigación y respuesta en un único agente. Se integra con la plataforma Vision One de Trend Micro para proporcionar EDR y funciones de detección ampliadas. Compatible con todos los sistemas operativos actuales, es decir, Windows, macOS, Android e iOS, así como con varios sistemas operativos heredados. Detiene antes a los atacantes con protección frente a las amenazas de día cero, mediante una combinación de técnicas antimalware de última generación y parches virtuales. Protege los endpoints frente a amenazas como ransomware, malware y scripts maliciosos. Ofrece funciones de protección avanzadas para proteger los endpoints frente a amenazas nuevas y desconocidas. Ofrece una amplia gama de API para la integración con herramientas de seguridad de terceros.
Basado en el artículo de Linda Rosencrance (CSO) y editado por CIO Perú