Cuando se produce un ataque cibernético, cada segundo cuenta. Las pérdidas debidas al ataque pueden multiplicarse a cada minuto que pasa. Es por eso que la detección temprana es clave para minimizar el impacto de un ciberataque. Las herramientas EDR para detectar ataques cibernéticos (Endpoint Detection and Response) son un valioso aliado cuando se trata de mitigar rápidamente un incidente de ciberseguridad.
Cuanto más tiempo pasan desapercibidos los ciberdelincuentes en una red corporativa, más datos pueden recopilar y más se acercan a los activos críticos de la empresa. Es por eso que, reduciendo el tiempo de exposición, las empresas pueden contener un ciberataque antes de que los daños sean irremediables.
En el año 2013, la consultora Gartner definió a las herramientas EDR para detectar ataques cibernéticos como una nueva tecnología de ciberseguridad que monitorea a los dispositivos endpoint de una red y brinda acceso inmediato a la información de un ataque en progreso. Según Gartner, además de dar visibilidad a la información del ataque, las herramientas EDR ayudan al personal de seguridad informática a responder rápidamente al ataque, ya sea poniendo en cuarentena al dispositivo atacado, bloqueando procesos maliciosos o ejecutando procedimientos de atención de incidentes.
¿Qué es un dispositivo endpoint? En networking, se conoce como dispositivo endpoint a todo aquel artefacto conectado a los bordes de una red de datos. Esto incluye desde computadoras, teléfonos y kioscos de atención al público, hasta impresoras, terminales de punto de venta (POS) y dispositivos de IoT (Internet of Things). Colectivamente, los endpoints plantean desafíos a los administradores de seguridad de las redes, ya que constituyen la parte más expuesta de la red y crean potenciales puntos de penetración para ciberataques.
En general, las herramientas EDR para detectar ataques cibernéticos están formadas por tres componentes básicos:
Entre las características deseables de una solución EDR se destaca la identificación inteligente de Indicadores de Compromiso (IoC, Indicators of Compromise) en los endpoints. Estos indicadores permiten comparar la información de un incidente en curso con datos registrados en eventos anteriores, de forma tal de identificar rápidamente las amenazas y no perder tiempo con análisis que no ayuden a frenar el ataque.
«Las soluciones EDR proporcionan un mayor nivel de descubrimiento y visibilidad en la infraestructura de los endpoints y facilitan el análisis efectivo de las causas raíz, la detección de amenazas y la respuesta rápida a los incidentes».
Yana Shevchenko, directora senior de marketing de productos de Kaspersky
Otros aspectos clave de las soluciones EDR son los análisis forenses y las alertas que notifican al personal de TI cuando se produce un incidente, brindándoles un rápido acceso a toda la información sobre el mismo. Un adecuado y fácilmente accesible contexto del incidente es primordial para que el personal de seguridad tenga todo lo necesario para investigarlo. También es importante que la solución EDR provea funcionalidad de rastreo, tanto para identificar otros endpoints afectados por el ataque como para determinar el endpoint utilizado para penetrar la red.
Las respuestas automatizadas son también un aspecto deseable en una solución EDR. Tales respuestas consisten en bloquear el acceso a la red, bloquear procesos individuales o llevar a cabo otras acciones proactivas que contengan o mitiguen el ataque.
Una encuesta realizada en 2019 a responsables de la toma de decisiones en TI , consultó a 2.961 empresas de todo el mundo cuánto tiempo les había llevado descubrir ciberataques. El análisis de las respuestas reveló una marcada correlación entre el uso de soluciones EDR y la reducción en el tiempo de exposición ante los atacantes.
«Las soluciones EDR proporcionan un mayor nivel de descubrimiento y visibilidad en la infraestructura de los endpoints y facilitan el análisis efectivo de las causas raíz, la detección de amenazas y la respuesta rápida a los incidentes», comentó Yana Shevchenko, directora senior de marketing de productos de Kaspersky. «Al mismo tiempo, las soluciones EDR automatizan las tareas rutinarias que llevan a cabo los analistas de seguridad en cuanto a detección y procesamiento de respuestas».
A continuación se detallan las soluciones EDR preferidas por los usuarios empresariales para detectar peligros que amenazan los endpoints de sus redes.
Singularity, de SentinelOne, es una completa plataforma de protección de endpoints (EPP, Endpoint Protection Platform) que se incluye entre las herramientas EDR para detectar ataques cibernéticos por ofrecer funcionalidad de detección y respuesta a endpoints. Ofrece algunas características que la distinguen de los productos competidores. Entre ellas se destaca la funcionalidad de ransomware rollback, un proceso de restauración que revierte los daños causados por ataques de ransomware.
Los agentes de SentinelOne pueden instalarse con facilidad en toda clase de endpoints: máquinas Windows o Linux, dispositivos POS, IoT, entre muchos otros. El proceso de instalación es simple y rápido; los usuarios informan que se requieren apenas 2 días para tener los agentes funcionando en todos los endpoints de sus redes corporativas.
La interfaz de usuario de SentinelOne ofrece visibilidad de los procesos en cada uno de los endpoints, junto con prácticas herramientas de búsqueda y una gran facilidad para llevar a cabo análisis forense. La evolución de la herramienta es continua, con el agregado de nuevas características a un ritmo constante.
Para empresas medianas o pequeñas que no pueden darse el lujo de contar con un equipo de especialistas en seguridad informática, la solución Falcon Complete, de CrowdStrike, ofrece bajos costos de adquisición, de instalación (roll-out) y de mantenimiento en relación a otras herramientas EDR para detectar ataques cibernéticos.
Pero el hecho de que sus costos sean bajos no quiere decir que la solución sea menos efectiva. Los usuarios de Falcon Complete destacan su rapidez y proactividad, señalando que, la mayoría de las veces, en el instante en que los administradores del sistema son notificados de una amenaza, la misma ya ha sido bloqueada y eliminada por la herramienta EDR.
Como complemento a la solución EDR Falcon, CrowdStrike ofrece un servicio administrado de detección, cacería y eliminación de amenazas, el cual se destaca por su velocidad y precisión. El servicio es ideal para liberar al personal de sistemas de la empresa cliente para tareas más vinculadas a su negocio, en lugar de perder el tiempo lidiando con amenazas que los analistas de CrowdStrike sabe cómo repeler.
Muchas herramientas EDR para detectar ataques cibernéticos utilizan un mecanismo de detección de amenazas basado en firmas. Este mecanismo obtiene la firma de cada posible amenaza y la busca en una base de datos, para identificarla y determinar la forma de neutralizarla. El principal problema de este mecansimo es que, cuando surge una nueva amenaza, se requiere un tiempo para que se obtenga su firma y las herramientas de detección convencionales puedan identificarla.
Para evitar el problema con la detección basada en firmas, soluciones como Carbon Black utilizan métodos heurísticos para detectar potenciales amenazas. En el caso particular de Carbon Black, los usuarios aseguran que la herramienta es capaz de detectar y bloquear numerosas amenazas avanzadas, mucho antes de que estén disponibles sus firmas. Las herramientas de análisis forense de Carbon Black también son muy apreciadas por los usuarios, debido a la profundidad de sus análisis y al nivel de detalle de sus reportes.
La herramienta de VMware es ideal para equipos de seguridad avanzados, ya que permite definir reglas detalladas para interceptar ataques en los endpoints, además de brindar herramientas para llevar a cabo una cacería manual de amenazas.
Intercept X, de Sophos, es una solución veloz, liviana y de pequeña huella que protege a los endpoints de una red de las amenazas a las que están expuestas. Su principal cualidad entre las herramientas EDR para detectar ataques cibernéticos es que provee mecanismos efectivos de protección que consumen pocos recursos en los dispositivos cliente.
Intercept X actúa como un guardia de seguridad extremadamente celoso, lo cual es genial desde el punto de vista de la defensa. Pero puede presentar el inconveniente de bloquear más eventos de los que debería, por lo cual puede llegar a arrojar muchos falsos positivos en su tarea de identificar amenazas.
La herramienta ofrece una plataforma cloud de administración centralizada, la cual ofrece un único sitio desde donde controlar tanto la protección de los servidores como la de los endpoints. Con esta plataforma simplifica el trabajo de los administradores de sistemas, brindando facilidad para verificar el estado de las amenazas encontradas, analizar los accesos a URLs bloqueadas, etc. Adicionalmente, ofrece funcionalidad de firewall que complementa su utilidad como antivirus.
El producto EDR de Cynet se distingue por usar señuelos de engaño para capturar amenazas y neutralizarlas. Los señuelos pueden ser archivos, cuentas de usuario y cuentas de dispositivos, los cuales se instalan en la red en torno a las áreas más sensibles, atrayendo a posibles atacantes y evitando que penetren la red.
Los usuarios de Cynet 360 destacan la facilidad de instalación de los agentes en los endpoints, además de su consola bien presentada, la cual ofrece resultados detallados y fáciles de entender. La herramienta de software está respaldada por un SOC (centro de operaciones de seguridad) compuesto por ingenieros de malware y ethical hackers, los cuales entran inmediatamente en acción ante un incidente en cualquiera de sus clientes.
La arquitectura multi-tenant de la plataforma de Cynet es adecuada para revendedores, ya que simplifica el soporte a numerosos clientes. Por otra parte, las apps que muestran la postura de seguridad de toda la empresa en dispositivos Android, iOS y smart-TV facilitan al revendedor la tarea de ofrecer Cynet 360 a sus clientes.
¿Qué es una postura de seguridad? La postura de seguridad de una empresa se refiere a la fortaleza de la misma en términos de ciberseguridad, y a qué tan bien puede la organización predecir, prevenir y responder ante amenazas cibernéticas en constante cambio y evolución.
La unidad de negocios Cytomic, dependiente de Panda Security, ofrece una plataforma de seguridad especialmente para grandes corporaciones que necesitan herramientas EDR para detectar ataques cibernéticos y para proteger endpoints en redes distribuidas en distintos continentes, con distintos equipos de operaciones en cada uno. La solución permite al personal de la corporación tener una visualización completa de la postura de seguridad desde un punto central, mientras que la administración y el trabajo cotidiano son delegados a los equipos locales de cada país, contando cada uno con su propia consola administrativa.
El roll-out de los agentes de seguridad en estaciones de trabajo y servidores Windows se lleva a cabo sin problemas, si bien para Linux la compatibilidad no está garantizada para todas las distribuciones.
Un servicio de cacería de amenazas provisto directamente por Panda Security es un valioso complemento para la herramienta, ya que ofrecen un equipo de soporte siempre disponible, atento y dispuesto a ayudar ante cualquier incidente. El costo de la solución se encuentra entre los más bajos para la gama de productos destinados a clientes corporativos.
Kaspersky Endpoint Detection and Response (KEDR)
La solución EDR de Kaspersky está orientada principalmente a mitigar ataques de amplio espectro y de múltiples etapas. Al estar implementada sobre la misma plataforma de Kaspersky Anti Targeted Attack (KATA), KEDR se combina con KATA para detectar efectivamente los ataques dirigidos hacia la infraestructura de endpoints de la red y responder a ellos.
La complejidad de los ataques de amplio espectro hace que resulte imposible identificarlos al nivel de estaciones de trabajo o servidores individuales. Por tal motivo, KEDR automatiza los procesos de recolección de datos y analiza automáticamente las actividades sospechosas todo a lo largo de la infraestructura de endpoints, usando una combinación de aprendizaje de máquina, big data y experiencia humana. Paralelamente, la tecnología System Watcher monitorea el comportamiento de cada aplicación luego de que se inicia en un server o en una terminal, con la finalidad de identificar patrones maliciosos de comportamiento; una características fundamental en las herramientas EDR para detectar ataques cibernéticos.
KEDR emplea una única consola para visualización y monitoreo minucioso de todos los eventos, incluyendo detecciones recibidas y resultados del escaneo de indicadores de compromiso (IoCs) en los endpoints. Kaspersky posee un gran número de clientes del segmento empresarial, con lo cual su red de seguridad se mantiene alimentada con el tipo de amenazas que deben soportar las grandes compañías.
Con MVISION, McAfee ofrece una solución cloud de bajo mantenimiento que permite a los analistas de seguridad enfocarse en la defensa estratégica de las redes, en lugar de dedicar su tiempo a tareas rutinarias de administración. Con una tecnología de investigación de amenazas basada en inteligencia artificial, MVISION logra reducir los tiempos de detección y respuesta, priorizando los incidentes que deben atenderse con mayor urgencia.
La herramienta de McAfee busca ser un asistente para los agentes del SOC que requieren herramientas EDR para detectar ataques cibernéticos, recopilando, sumarizando y permitiendo la visualización de la infraestructura de endpoints desde múltiples fuentes. De esta forma, se logra reducir el número de recursos necesarios en el SOC. A su vez, para simplificar la instalación y reducir costos de mantenimiento, MVISION puede integrarse con la plataforma de administración McAfee ePolicy Orchestrator (ePO), ya sea en forma on-premises o SaaS (Software as a Service).
Los usuarios de MVISION resaltan las importantes reducciones de costos — de hardware, software, consumo energético del data center y tiempo empleado en tareas de mantenimiento — que lograron tras la implementación de la solución EDR de McAfee.
Más allá de las posibles diferencias de costos, velocidad de detección o de prestaciones, todas las herramientas EDR para detectar ataques cibernéticos mencionadas en esta nota cumplen con la tarea de proteger la infraestructura de endpoints de una red. Es importante elegir la herramienta más adecuada para las necesidades de cada empresa, pero más importante es tomar conciencia de las amenazas a las que están expuestos los endpoints de la red y actuar sin demoras para protegerlos con una herramienta EDR de probada efectividad.
10 consejos para evitar ransomware
Guía para reparar sitios Joomla hackeados
Los 8 mejores servicios de hosting MySQL
Escritor y periodista especializado en tecnología, desde el año 1992.
Unitech, empresa experta en la transformación digital cognitiva de poderes judiciales, informó el lanzamiento y…
Forza Power Technologies, empresa fabricante de soluciones de energía confiable, anunció el nombramiento de Juan Carlos…
ASRock, fabricante de motherboards y tarjetas gráficas, informó la presentación de su línea completa de…
ADATA Technology, fabricante de módulos de memoria y unidades de almacenamiento, y su marca de…
ORBITH, proveedor de servicios de Internet satelital, anunció la presentación en el país de su…
Sannare, el ecosistema de healthtech basado en Inteligencia Artificial, se presenta como una solución integral…
Ver comentarios