¿Qué son las EDR y por qué son importantes en ciberseguridad?

¿Te ha gustado nuestro artículo? ¡Vota!

La seguridad informática de la empresa del siglo XXI es uno de los pilares fundamentales a tener en cuenta. Sin ella, información podría verse comprometida (datos de clientes, información financiera, archivos de recursos humanos…). Por eso, hay que implementar las soluciones adecuadas. Hablamos de la tecnología EDR, una vuelta de hoja a los sistemas de protección de información tradicionales.

EDR en ciberseguridad

Para entender el concepto hay que desgranar el término endpoint, es decir, el punto final de una comunicación. En esencia, no es otra cosa que un tipo de nodo de red que se comunica con la red a la que está conectado (por ejemplo, un ordenador portátil o un dispositivo móvil).

¿Por qué es importante proteger los endpoints? Al encontrarse al final de la cadena, se convierten en el centro de atención de los ciberdelincuentes. Un espacio para atacar en busca de alguna vulnerabilidad.

Aquí entran en juego las EDR, cuyas siglas en inglés corresponden a Endpoint Detection and Response, también conocidas como detección y respuesta de amenazas de endpoints.

Se trata de una tecnología cibernética que monitorea y responde continuamente para mitigar las amenazas cibernéticas en los puntos finales, es decir, protege los endpoints (entre otras labores).

¿Cómo funcionan las EDR?

"Si el objetivo es proteger los equipos… ¿Por qué no usar un antivirus corriente?". La respuesta es sencilla. Estas herramientas tradicionales/antivirus (EPP) se centran en prevenir. Por el contrario, las herramientas EDR, aunque también previenen las vulnerabilidades, son capaces de actuar en el foco del problema.

Cuando la tecnología EDR identifica algo sospechoso en uno de los endpoints, se envía a la nube y, una vez allí, los datos recolectados se almacenan en una base de datos. Después, expertos en analítica investigan abiertamente en busca de cualquier patrón fuera de lo común.

Su objetivo principal es garantizar la seguridad de la red corporativa de una organización respondiendo a los ataques y desviando las amenazas.

A diferencia de otros sistemas, las EDR se basan en tecnologías Machine Learning, Deep Learning y analítica de datos, las cuales permiten detectar las brechas de seguridad a través de singularidades en el comportamiento de la red corporativa, incluso antes de que se produzca el detonante.

Si la red corporativa ha sido comprometida y alguno de los programas se ve afectado, la EDR puede actuar por medio de sistemas sandbox, que ejecutan el aislamiento de un programa del resto del sistema operativo.

Además, gracias a los indicadores de compromiso (IOC), la tecnología EDR es capaz de detectar cuáles son las brechas de seguridad más graves y, por ende, comenzar la desinfección desde ese punto.

Características de las EDR

La tecnología EDR sigue un proceso que consigue detectar todo tipo de vulnerabilidades, incluso aquellas que un EPP tradicional no sería capaz de reconocer. A través de un análisis continuo, con la monitorización y evaluación de toda la actividad de la red del usuario, es capaz de elaborar hipótesis y encontrar el problema desde la raíz.

Detectan la amenaza en el momento preciso

Uno de los puntos clave de los sistemas EDR es la recopilación de datos. Procesos de ejecución, inicios de sesión, canales de comunicación usados, etcétera. Con todos los datos sobre la mesa, comienza la labor de análisis en tiempo real sobre incidentes de seguridad en toda la red corporativa y, gracias a la tecnología de Inteligencia Artificial, Machine Learning y Deep Learning, el sistema se retroalimenta para detectar cualquier anomalía.

Bloquean la amenaza

El objetivo de las tecnologías EDR es detectar los malwares en el momento óptimo. La idea es que la amenaza no llegue a convertirse en un ataque, detectarla y bloquearla a tiempo.

Eliminan y reparan el problema

En plena era digital, se podría decir que ninguna empresa está a salvo de los ciberdelincuentes. Sin embargo, existen soluciones que ayudan a proteger la red corporativa fielmente. Las tecnologías EDR trabajan sin descanso para, en caso de que se produzca un ataque, mitigar el problema rápidamente y retomar la actividad de la empresa en el menor tiempo posible.

Investigan por qué se ha producido la amenaza

Cuando se sufre un ataque informático, el primer paso es mitigar el daño. Una vez controlado, la pregunta es: ¿qué es lo que ha fallado? El análisis de los sistemas EDR ayuda a los expertos en data a elaborar hipótesis y, en base a ellas, crear estrategias que reduzcan la posibilidad de que esto vuelva a producirse.

Ventajas de uso

• Anticipación a los ataques informáticos efectuados contra la red corporativa de una determinada organización o empresa.
• Reducción considerable del tiempo de exposición del ataque y, por tanto, los riesgos y los daños son mucho menores.
• Las tecnologías EDR proporcionan una visión completa de amenazas de todo tipo, tanto tradicionales como las menos conocidas a través de su auditoría y estudio continuo.
• Amplia cobertura en los endpoints de una empresa y facilidad de despliegue.

¿Cuándo se recomienda usar las tecnologías EDR?

Las EDR toman la delantera a los antivirus tradicionales, sobre todo en los casos de phishing, donde el pirata informático trata de obtener información sensible (por ejemplo, contraseñas o datos bancarios) a través de técnicas de ingeniería social.

Los sistemas EPP se centran en la prevención, pero, si se logra superar las barreras, no son capaces de seguir la traza del malware. Para ello, la mejor opción son las tecnologías EDR.

Otra amenaza muy común es cuando se recibe un correo electrónico con un archivo adjunto. El antivirus tradicional puede comprobar el documento pero no es capaz de solventar un problema si éste lanza un script para descargar malware. Además, podría infectar el equipo sin ser detectado, robando todo tipo de información. Por eso, la mejor forma de lidiar con esto es a través de un sistema EDR que, además de prevenir, sabrá actuar en el momento preciso.

Ejemplos de tecnologías EDR

Con los años, el aumento de los ataques informáticos a las empresas ha fomentado el desarrollo de soluciones contra estas amenazas. En términos de tecnología EDR, destacamos estos ejemplos.

Kapersky

Kaspersky es una de las soluciones más utilizadas para proteger los equipos empresariales de las ciberamenazas. Eso sí, únicamente para usuarios expertos en ciberseguridad y TIC.

Esta solución EDR garantiza un trayecto por las fases de investigación que permitirá supervisar y ver paso a paso las etapas de investigación ante rupturas de seguridad, realizar análisis eficaces y detectar las amenazas rápidamente.

Sophos

Otro de los más utilizados es Sophos, un producto centrado en proteger los dispositivos de una red corporativa de las posibles amenazas que les rodean diariamente.

Esta tecnología EDR ofrece una plataforma en la nube que permite centralizar los procesos, es decir, todo se maneja desde un único lugar estratégico, tanto la protección de servidores como de los endpoints. Además, ofrece también las funciones de firewall, por lo que puede usarse como antivirus.

CrowdStrike

Existen soluciones pensadas para las pequeñas y medianas empresas. Es el caso de CrowdStrike. Esta herramienta proporciona un ahorro económico y, además, es fácil de implementar y mantener. Que su coste sea más bajo no significa que el rendimiento sea menor. Es una solución rápida y proactiva que asegura la detección temprana de la amenaza, el bloqueo instantáneo y el restablecimiento del orden en la red corporativa.

Cynet 360

Por último, Cynet 360. Una solución que, a diferencia de las anteriores, utiliza señuelos para atrapar las amenazas. Algo así como el cebo de una caña de pescar esperando que pique un pez.

El cebo pueden ser archivos, cuentas de usuario o de dispositivos electrónicos que se instalan en las zonas más vulnerables de una red corporativa con el objetivo de atraer a los piratas informáticos en la fase que queremos y después, neutralizar su ataque.