Ciberseguridad

8 Herramientas EDR para detectar ataques cibernéticos

Cuando los mecanismos de prevención fallan, las herramientas EDR para detectar ataques cibernéticos hacen posible una respuesta rápida que minimice los daños del ataque.

Cuando se produce un ataque cibernético, cada segundo cuenta. Las pérdidas debidas al ataque pueden multiplicarse a cada minuto que pasa. Es por eso que la detección temprana es clave para minimizar el impacto de un ciberataque. Las herramientas EDR para detectar ataques cibernéticos (Endpoint Detection and Response) son un valioso aliado cuando se trata de mitigar rápidamente un incidente de ciberseguridad.

La importancia de reaccionar a tiempo

Cuanto más tiempo pasan desapercibidos los ciberdelincuentes en una red corporativa, más datos pueden recopilar y más se acercan a los activos críticos de la empresa. Es por eso que, reduciendo el tiempo de exposición, las empresas pueden contener un ciberataque antes de que los daños sean irremediables.

Los elementos que componen una solución de Endpoint Detection and Response (EDR)

En el año 2013, la consultora Gartner definió a las herramientas EDR para detectar ataques cibernéticos como una nueva tecnología de ciberseguridad que monitorea a los dispositivos endpoint de una red y brinda acceso inmediato a la información de un ataque en progreso. Según Gartner, además de dar visibilidad a la información del ataque, las herramientas EDR ayudan al personal de seguridad informática a responder rápidamente al ataque, ya sea poniendo en cuarentena al dispositivo atacado, bloqueando procesos maliciosos o ejecutando procedimientos de atención de incidentes.

¿Qué es un dispositivo endpoint? En networking, se conoce como dispositivo endpoint a todo aquel artefacto conectado a los bordes de una red de datos. Esto incluye desde computadoras, teléfonos y kioscos de atención al público, hasta impresoras, terminales de punto de venta (POS) y dispositivos de IoT (Internet of Things). Colectivamente, los endpoints plantean desafíos a los administradores de seguridad de las redes, ya que constituyen la parte más expuesta de la red y crean potenciales puntos de penetración para ciberataques.

Componentes de las herramientas EDR para detectar ataques cibernéticos

En general, las herramientas EDR para detectar ataques cibernéticos están formadas por tres componentes básicos:

  • Agentes de recolección de datos: componentes de software que corren en los dispositivos endpoint y recopilan información acerca de los procesos en ejecución, logins y vías abiertas de comunicación.
  • Motor de detección: analiza la actividad normal de cada endpoint, detectando anomalías y reportando aquellas que puedan significar un incidente de seguridad.
  • Motor de análisis de datos: agrupa información de distintos endpoints y provee analíticas en tiempo real acerca de incidentes de seguridad en toda la red corporativa.

Entre las características deseables de una solución EDR se destaca la identificación inteligente de Indicadores de Compromiso (IoC, Indicators of Compromise) en los endpoints. Estos indicadores permiten comparar la información de un incidente en curso con datos registrados en eventos anteriores, de forma tal de identificar rápidamente las amenazas y no perder tiempo con análisis que no ayuden a frenar el ataque.

«Las soluciones EDR proporcionan un mayor nivel de descubrimiento y visibilidad en la infraestructura de los endpoints y facilitan el análisis efectivo de las causas raíz, la detección de amenazas y la respuesta rápida a los incidentes».

Yana Shevchenko, directora senior de marketing de productos de Kaspersky

Otros aspectos clave de las soluciones EDR son los análisis forenses y las alertas que notifican al personal de TI cuando se produce un incidente, brindándoles un rápido acceso a toda la información sobre el mismo. Un adecuado y fácilmente accesible contexto del incidente es primordial para que el personal de seguridad tenga todo lo necesario para investigarlo. También es importante que la solución EDR provea funcionalidad de rastreo, tanto para identificar otros endpoints afectados por el ataque como para determinar el endpoint utilizado para penetrar la red.

Las respuestas automatizadas son también un aspecto deseable en una solución EDR. Tales respuestas consisten en bloquear el acceso a la red, bloquear procesos individuales o llevar a cabo otras acciones proactivas que contengan o mitiguen el ataque.

Una encuesta realizada en 2019 a responsables de la toma de decisiones en TI , consultó a 2.961 empresas de todo el mundo cuánto tiempo les había llevado descubrir ciberataques. El análisis de las respuestas reveló una marcada correlación entre el uso de soluciones EDR y la reducción en el tiempo de exposición ante los atacantes.

«Las soluciones EDR proporcionan un mayor nivel de descubrimiento y visibilidad en la infraestructura de los endpoints y facilitan el análisis efectivo de las causas raíz, la detección de amenazas y la respuesta rápida a los incidentes», comentó Yana Shevchenko, directora senior de marketing de productos de Kaspersky. «Al mismo tiempo, las soluciones EDR automatizan las tareas rutinarias que llevan a cabo los analistas de seguridad en cuanto a detección y procesamiento de respuestas».

Las más veloces herramientas EDR para detectar ataques cibernéticos

A continuación se detallan las soluciones EDR preferidas por los usuarios empresariales para detectar peligros que amenazan los endpoints de sus redes.

SentinelOne Singularity Platform

SentinelOne Singularity Platform

Singularity, de SentinelOne, es una completa plataforma de protección de endpoints (EPP, Endpoint Protection Platform) que se incluye entre las herramientas EDR para detectar ataques cibernéticos por ofrecer funcionalidad de detección y respuesta a endpoints. Ofrece algunas características que la distinguen de los productos competidores. Entre ellas se destaca la funcionalidad de ransomware rollback, un proceso de restauración que revierte los daños causados por ataques de ransomware.

Los agentes de SentinelOne pueden instalarse con facilidad en toda clase de endpoints: máquinas Windows o Linux, dispositivos POS, IoT, entre muchos otros. El proceso de instalación es simple y rápido; los usuarios informan que se requieren apenas 2 días para tener los agentes funcionando en todos los endpoints de sus redes corporativas.

La interfaz de usuario de SentinelOne ofrece visibilidad de los procesos en cada uno de los endpoints, junto con prácticas herramientas de búsqueda y una gran facilidad para llevar a cabo análisis forense. La evolución de la herramienta es continua, con el agregado de nuevas características a un ritmo constante.

CrowdStrike Falcon Complete

CrowdStrike Falcon Complete

Para empresas medianas o pequeñas que no pueden darse el lujo de contar con un equipo de especialistas en seguridad informática, la solución Falcon Complete, de CrowdStrike, ofrece bajos costos de adquisición, de instalación (roll-out) y de mantenimiento en relación a otras herramientas EDR para detectar ataques cibernéticos.

Pero el hecho de que sus costos sean bajos no quiere decir que la solución sea menos efectiva. Los usuarios de Falcon Complete destacan su rapidez y proactividad, señalando que, la mayoría de las veces, en el instante en que los administradores del sistema son notificados de una amenaza, la misma ya ha sido bloqueada y eliminada por la herramienta EDR.

Como complemento a la solución EDR Falcon, CrowdStrike ofrece un servicio administrado de detección, cacería y eliminación de amenazas, el cual se destaca por su velocidad y precisión. El servicio es ideal para liberar al personal de sistemas de la empresa cliente para tareas más vinculadas a su negocio, en lugar de perder el tiempo lidiando con amenazas que los analistas de CrowdStrike sabe cómo repeler.

VMware Carbon Black EDR

VMware Carbon Black

Muchas herramientas EDR para detectar ataques cibernéticos utilizan un mecanismo de detección de amenazas basado en firmas. Este mecanismo obtiene la firma de cada posible amenaza y la busca en una base de datos, para identificarla y determinar la forma de neutralizarla. El principal problema de este mecansimo es que, cuando surge una nueva amenaza, se requiere un tiempo para que se obtenga su firma y las herramientas de detección convencionales puedan identificarla.

Para evitar el problema con la detección basada en firmas, soluciones como Carbon Black utilizan métodos heurísticos para detectar potenciales amenazas. En el caso particular de Carbon Black, los usuarios aseguran que la herramienta es capaz de detectar y bloquear numerosas amenazas avanzadas, mucho antes de que estén disponibles sus firmas. Las herramientas de análisis forense de Carbon Black también son muy apreciadas por los usuarios, debido a la profundidad de sus análisis y al nivel de detalle de sus reportes.

La herramienta de VMware es ideal para equipos de seguridad avanzados, ya que permite definir reglas detalladas para interceptar ataques en los endpoints, además de brindar herramientas para llevar a cabo una cacería manual de amenazas.

Sophos Intercept X

Sophos Intercept X

Intercept X, de Sophos, es una solución veloz, liviana y de pequeña huella que protege a los endpoints de una red de las amenazas a las que están expuestas. Su principal cualidad entre las herramientas EDR para detectar ataques cibernéticos es que provee mecanismos efectivos de protección que consumen pocos recursos en los dispositivos cliente.

Intercept X actúa como un guardia de seguridad extremadamente celoso, lo cual es genial desde el punto de vista de la defensa. Pero puede presentar el inconveniente de bloquear más eventos de los que debería, por lo cual puede llegar a arrojar muchos falsos positivos en su tarea de identificar amenazas.

La herramienta ofrece una plataforma cloud de administración centralizada, la cual ofrece un único sitio desde donde controlar tanto la protección de los servidores como la de los endpoints. Con esta plataforma simplifica el trabajo de los administradores de sistemas, brindando facilidad para verificar el estado de las amenazas encontradas, analizar los accesos a URLs bloqueadas, etc. Adicionalmente, ofrece funcionalidad de firewall que complementa su utilidad como antivirus.

Cynet 360 Autonomous Breach Protection Platform

Cynet 360 Autonomous Breach Protection Platform

El producto EDR de Cynet se distingue por usar señuelos de engaño para capturar amenazas y neutralizarlas. Los señuelos pueden ser archivos, cuentas de usuario y cuentas de dispositivos, los cuales se instalan en la red en torno a las áreas más sensibles, atrayendo a posibles atacantes y evitando que penetren la red.

Los usuarios de Cynet 360 destacan la facilidad de instalación de los agentes en los endpoints, además de su consola bien presentada, la cual ofrece resultados detallados y fáciles de entender. La herramienta de software está respaldada por un SOC (centro de operaciones de seguridad) compuesto por ingenieros de malware y ethical hackers, los cuales entran inmediatamente en acción ante un incidente en cualquiera de sus clientes.

La arquitectura multi-tenant de la plataforma de Cynet es adecuada para revendedores, ya que simplifica el soporte a numerosos clientes. Por otra parte, las apps que muestran la postura de seguridad de toda la empresa en dispositivos Android, iOS y smart-TV facilitan al revendedor la tarea de ofrecer Cynet 360 a sus clientes.

¿Qué es una postura de seguridad? La postura de seguridad de una empresa se refiere a la fortaleza de la misma en términos de ciberseguridad, y a qué tan bien puede la organización predecir, prevenir y responder ante amenazas cibernéticas en constante cambio y evolución.

Cytomic Platform

Cytomic Platform

La unidad de negocios Cytomic, dependiente de Panda Security, ofrece una plataforma de seguridad especialmente para grandes corporaciones que necesitan herramientas EDR para detectar ataques cibernéticos y para proteger endpoints en redes distribuidas en distintos continentes, con distintos equipos de operaciones en cada uno. La solución permite al personal de la corporación tener una visualización completa de la postura de seguridad desde un punto central, mientras que la administración y el trabajo cotidiano son delegados a los equipos locales de cada país, contando cada uno con su propia consola administrativa.

El roll-out de los agentes de seguridad en estaciones de trabajo y servidores Windows se lleva a cabo sin problemas, si bien para Linux la compatibilidad no está garantizada para todas las distribuciones.

Un servicio de cacería de amenazas provisto directamente por Panda Security es un valioso complemento para la herramienta, ya que ofrecen un equipo de soporte siempre disponible, atento y dispuesto a ayudar ante cualquier incidente. El costo de la solución se encuentra entre los más bajos para la gama de productos destinados a clientes corporativos.

Kaspersky Endpoint Detection and Response (KEDR)

Kaspersky Anti Targeted Attack (KATA)

La solución EDR de Kaspersky está orientada principalmente a mitigar ataques de amplio espectro y de múltiples etapas. Al estar implementada sobre la misma plataforma de Kaspersky Anti Targeted Attack (KATA), KEDR se combina con KATA para detectar efectivamente los ataques dirigidos hacia la infraestructura de endpoints de la red y responder a ellos.

La complejidad de los ataques de amplio espectro hace que resulte imposible identificarlos al nivel de estaciones de trabajo o servidores individuales. Por tal motivo, KEDR automatiza los procesos de recolección de datos y analiza automáticamente las actividades sospechosas todo a lo largo de la infraestructura de endpoints, usando una combinación de aprendizaje de máquina, big data y experiencia humana. Paralelamente, la tecnología System Watcher monitorea el comportamiento de cada aplicación luego de que se inicia en un server o en una terminal, con la finalidad de identificar patrones maliciosos de comportamiento; una características fundamental en las herramientas EDR para detectar ataques cibernéticos.

KEDR emplea una única consola para visualización y monitoreo minucioso de todos los eventos, incluyendo detecciones recibidas y resultados del escaneo de indicadores de compromiso (IoCs) en los endpoints. Kaspersky posee un gran número de clientes del segmento empresarial, con lo cual su red de seguridad se mantiene alimentada con el tipo de amenazas que deben soportar las grandes compañías.

McAfee MVISION EDR

McAfee MVISION

Con MVISION, McAfee ofrece una solución cloud de bajo mantenimiento que permite a los analistas de seguridad enfocarse en la defensa estratégica de las redes, en lugar de dedicar su tiempo a tareas rutinarias de administración. Con una tecnología de investigación de amenazas basada en inteligencia artificial, MVISION logra reducir los tiempos de detección y respuesta, priorizando los incidentes que deben atenderse con mayor urgencia.

La herramienta de McAfee busca ser un asistente para los agentes del SOC que requieren herramientas EDR para detectar ataques cibernéticos, recopilando, sumarizando y permitiendo la visualización de la infraestructura de endpoints desde múltiples fuentes. De esta forma, se logra reducir el número de recursos necesarios en el SOC. A su vez, para simplificar la instalación y reducir costos de mantenimiento, MVISION puede integrarse con la plataforma de administración McAfee ePolicy Orchestrator (ePO), ya sea en forma on-premises o SaaS (Software as a Service).

Los usuarios de MVISION resaltan las importantes reducciones de costos — de hardware, software, consumo energético del data center y tiempo empleado en tareas de mantenimiento — que lograron tras la implementación de la solución EDR de McAfee.

En conclusión

Más allá de las posibles diferencias de costos, velocidad de detección o de prestaciones, todas las herramientas EDR para detectar ataques cibernéticos mencionadas en esta nota cumplen con la tarea de proteger la infraestructura de endpoints de una red. Es importante elegir la herramienta más adecuada para las necesidades de cada empresa, pero más importante es tomar conciencia de las amenazas a las que están expuestos los endpoints de la red y actuar sin demoras para protegerlos con una herramienta EDR de probada efectividad.

Te sugiero leer también:

10 consejos para evitar ransomware

Guía para reparar sitios Joomla hackeados

Los 8 mejores servicios de hosting MySQL

Uno de los momentos más memorables de la película El señor de los anillos: las tropas élficas de Haldir llegan al Abismo de Helm para unir fuerzas con los hombres y defender a la ciudad del asedio de Saruman y sus orcos.

Ver comentarios

Entradas recientes

La Justicia de San Luis se transforma con Iurix Cloud Native de Unitech en la nube de AWS

Unitech, empresa experta en la transformación digital cognitiva de poderes judiciales, informó el lanzamiento y…

7 días hace

Forza fortalece su estrategia para cuentas Enterprise con el nombramiento de Juan Carlos Rengifo

Forza Power Technologies, empresa fabricante de soluciones de energía confiable, anunció el nombramiento de Juan Carlos…

1 semana hace

ASRock lanza motherboards Z890 con soporte para PCIe 5.0 y Thunderbolt 4

ASRock, fabricante de motherboards y tarjetas gráficas, informó la presentación de su línea completa de…

1 semana hace

ADATA presenta la memoria DDR5 CUDIMM, compatible con procesadores Intel Core Ultra 2 y principales motherboards

ADATA Technology, fabricante de módulos de memoria y unidades de almacenamiento, y su marca de…

1 semana hace

Nuevo servicio ORBITH Transaccional: conectividad satelital confiable para operaciones críticas

ORBITH, proveedor de servicios de Internet satelital, anunció la presentación en el país de su…

2 semanas hace

Sannare: Coordinación en tiempo real para enfrentar la crisis de atención primaria en América Latina

Sannare, el ecosistema de healthtech basado en Inteligencia Artificial, se presenta como una solución integral…

2 semanas hace