EDR, la solución definitiva de protección para el 'endpoint'
La seguridad 'endpoint' juega un papel fundamental en las modernas arquitecturas de ciberseguridad. Las soluciones actuales son capaces de detectar múltiples técnicas de ataque a la ve que preverlas con el fin de ayudar a los quipos de TI a identificar amenazas más amplias que pueden implicar a toda la organización.
A pesar del avance de la inteligencia artificial, el machine learning y la analítica, muchas soluciones de endpoint actuales no pueden prevenir el 100% de los ataques. Esto produce una brecha de seguridad en los equipos para los cuales es necesario un mecanismo de protección y defensa a través de controles preventivos. Los equipos de seguridad avanzados se unen en torno a las herramientas de respuesta y detección de puntos finales (EDR) como el mecanismo principal para abordar esta problemática.
Según investigaciones recientes de ESG, el EDR fue la herramienta más citada cuando se les preguntó a las organizaciones cuáles son sus principales prioridades de inversión en seguridad para los próximos 18 meses. Este tipo de soluciones han evolucionado drásticamente desde que entraron por primera vez en la escena de la seguridad hace ya ocho años. En un principio, fueron creadas como una herramienta de investigación forense digital solo para los profesionales de seguridad más expertos. Pero hoy, las soluciones EDR están altamente automatizadas y pueden ser utilizadas por la mayoría de los analistas de seguridad para cerrar de manera efectiva la brecha donde las soluciones de prevención fallan.
Avanzando desde la primera generación
La primera generación de soluciones EDR eran herramientas rudimentarias utilizadas para la investigación de incidentes, generalmente por analistas altamente capacitados que necesitaban ejecutar consultas manuales para buscar indicadores específicos. Al proporcionar acceso centralizado a la telemetría de terminales, las soluciones EDR de primera generación requerían una atención manual para investigar y, en última instancia, remediar las amenazas. En su día, las organizaciones lucharon por encontrar suficientes analistas capacitados para operar estas herramientas de manera efectiva.
La primera versión de la nueva generación, EDR V1.1, ya añadía inteligencia a prueba de ataques. A fin de facilitar ese proceso de consulta manual, las soluciones EDR agregaron una comparación automatizada de la telemetría de endpoint con indicadores de compromiso (IOC) de fuentes de inteligencia de amenazas para acelerar la identificación de actividades sospechosas o maliciosas. La segunda versión, EDR V1.2, ya contemplaba planes de remediación por lo cual generó capacidades de respuesta nativas, algo que permitió a los analistas solicitar datos adicionales de los terminales, prohibir procesos, aislar terminales, bloquear IP específicas y más.
Ya con EDR V1.3, los analistas de seguridad vieron la oportunidad de aplicar herramientas EDR a la investigación de ataques actualmente en curso, lo que les permitía detener esos ataques y buscar proactivamente a los adversarios ocultos que residen dentro de la infraestructura. Este uso activo de EDR descubrió nuevas amenazas que antes no se habían detectado.
Aunque la mayoría de las organizaciones continúan utilizando un enfoque de "prevención primero" para la seguridad de los terminales, las soluciones de EDR se han convertido en un enfoque ampliamente aceptado para cerrar brechas. En esa misma encuesta de ESG sobre el uso de EDR, más de la mitad de las empresas indicaron que ya tenían la tecnología implementada en un 45%, o estaban en proceso de hacerlo, en un 14%. Además, más de un tercio de los encuestados que recientemente cambiaron o planean cambiar de proveedores de terminales atribuyen este cambio a la necesidad de mejores capacidades de respuesta y detección de amenazas.
La realidad demuestra que el uso de herramientas EDR de primera generación se ha convertido en algo común dentro de los equipos SOC maduros y de amplio personal, pero la escasez de recursos de seguridad capacitados ha limitado a muchas organizaciones a darse cuenta del valor de estas herramientas. El 83% de los encuestados de la investigación de ESG está de acuerdo en que el uso de EDR exige habilidades avanzadas de análisis de seguridad, mientras que el 78% está de acuerdo en que su proyecto de EDR era más complicado de lo que pensaban.
Segunda generación para mayor rapidez y efectividad
Mejorar la velocidad y la eficacia de los programas de detección y respuesta requiere un cuidadoso equilibrio de visibilidad, análisis de investigación y acciones automatizadas basadas en una comprensión integral de un ataque. Por eso, las soluciones EDR de segunda generación están más estrechamente integradas con los controles de prevención, y trabajan juntas para bloquear actividades maliciosas o sospechosas en tiempo real. Cuando las soluciones de EDR pueden mitigar las amenazas de forma automática y selectiva rápidamente, los equipos de seguridad pueden detener a su vez los daños mientras tienen las herramientas y el tiempo que necesitan para investigar a fondo, minimizando la interrupción del negocio.
Así pues, estas soluciones de segunda generación incorporan control de mitigación de riesgos automatizado y basado en el comportamiento para identificar actividades sospechosas o maliciosas que puedan desencadenar un bloqueo automático en tiempo real para evitar que los atacantes logren sus objetivos de exfiltración de datos o cifrado, por poner un ejemplo. Estas soluciones a menudo pueden desarmar un ataque sin interrumpir las operaciones comerciales normales al bloquear selectivamente las comunicaciones salientes o el acceso al sistema de archivos sin la necesidad de un aislamiento total del sistema o la terminación total del proceso.
La clasificación continua de amenazas ayuda a las soluciones EDR de segunda generación a priorizar las acciones, al tiempo que ayuda a los analistas de seguridad a concentrarse en los incidentes de alto riesgo. Aprovechando el análisis de big data impulsado por la nube y la inteligencia artificial (IA), esta tecnología puede mejorar una señal de endpoint débil al utilizar un análisis extendido y añadir inteligencia de amenazas de una amplia colección de señales de ataque.
También, proporcionan una respuesta automatizada con una interrupción mínima o nula del servicio mientras permite que los analistas de seguridad investiguen. Las soluciones EDR de segunda generación no están destinadas a reemplazar las soluciones SOAR, sino que las mejoran con defensas más receptivas. Por último, destacar, entre sus innumerables ventajas que permiten a los profesionales de la ciberseguridad implementen estrategias proactivas de mitigación de riesgos, automatizar y acelerar la respuesta, y facilitarles la posibilidad de investigar y detener los ataques rápidamente.
FortiEDR, una de las soluciones más avanzadas del mercado
Dentro de las soluciones de segunda generación, destaca FortiEDR, de Fortinet. Se trata de una herramienta que ofrece protección avanzada contra amenazas en tiempo real tanto antes como después de la infección. Reduce de forma proactiva la superficie de ataque, previene la infección de malware, detecta y desactiva amenazas en tiempo real y, además, puede automatizar los procedimientos de respuesta y corrección con manuales de estrategias personalizables. De este modo, FortiEDR ayuda a las organizaciones a detener las violaciones en tiempo real de manera automática y eficiente, sin abrumar a los equipos de seguridad con una gran cantidad de alarmas falsas ni interrumpir las operaciones de la empresa. Estos importantes avances en EDR permiten a los equipos de seguridad cerrar más rápidamente la brecha que dejan las soluciones de protección de endpoints, mantenerse al día con el adversario y detener las amenazas antes de que ocurran daños, todo mientras se reduce el estrés del analista de seguridad.
