Las tecnologías Endpoint Detection and Response, o EDR, son una herramienta de protección que cobra una especial relevancia para la seguridad digital de las organizaciones, dado que sus funcionalidades cubren las vertientes que no pueden abarcar los antivirus convencionales, en medio de un contexto en el que hay un conjunto creciente de ciberamenazas: ransomware, botnets, malware, etc.
La principal capacidad de los antivirus convencionales es la de prevenir amenazas ya conocidas en los diferentes sistemas, desde un servidor a un portátil, pasando por un smartphone. Mientras que los EDR están diseñados y preparados para afrontar situaciones que no serían detectadas por mecanismos de detección tradicional, puesto que no se fundanmentan en el uso de malware conocido, o de patrones de ataques maliciosos que serían bloqueados, sino que van un paso más allá y ofrecen como gran fortaleza el proporcionar un nivel de visibilidad y análisis mejorado sobre lo que sucede en el endpoint y, por ello, permiten detectar y analizar amenazas en fases iniciales, donde aún no se ha hecho uso de malware, o amenazas con mayor nivel de sofisticación donde la detección por firmas o por emulación resultaría infructuosa, ya que se hacen uso de técnicas que aprovechan herramientas legítimas del sistema operativo.
EDR: Visibilidad y análisis ampliados
Por ello, uno de los principales beneficios de los EDR es, no ya su capacidad para prevenir amenazas, como haría un antivirus convencional, sino su capacidad para proporcionar una visibilidad detallada y ampliada de lo que está sucediendo en los diferentes dispositivos que conforman la organización.
Los EDR, de forma automatizada, recopilan y analizan datos sobre las actividades de los usuarios, los dispositivos y los sistemas en la red, lo que permite una mejor comprensión de las posibles amenazas de seguridad.
Por concretar en qué se materializa esta “visibiliad mejorada”, gracias a los sistemas EDR se obtiene información detallada sobre los procesos y servicios que se están ejecutando en cada dispositivo en todo momento, pudiendo saber qué han hecho en cada instante, se obtiene la capacidad de analizar granularmente e independientemente de dónde se encuentre el dispositivo las conexiones de red y el tráfico de datos para identificar posibles intentos de movimiento lateral, o se evidencian y detallan comunicaciones con servidores maliciosos.
De la misma forma, un buen EDR, mediante técnicas avanzadas de análisis de comportamiento, identifica patrones de actividad sospechosa en tiempo real, como puede ser ejecución de comandos inusuales, la realización de tareas de administración del sistema infrecuentes o la creación o descarga de archivos que si bien no tienen que que ser malware, sí presenten rasgos sospechosos.
Y, paralelamente a esta capacidad de visualización ampliada, existe otro factor no menos importante en los EDR y es su capacidad para proporcionar herramientas integradas de análisis de amenazas. Estas herramientas ayudan a los analistas de seguridad a investigar y comprender mejor, y sobre todo de forma mucho más rápida las amenazas detectadas, lo que por un lado redunda en una mejora clara e instantánea de la capacidad de respuesta a incidentes de ciberseguridad y, a mayores, permite la prevención de futuros ataques.
EDR: asumir la brecha de forma activa
Asumir la brecha en ciberseguridad implica aceptar que, a pesar de todos los esfuerzos en prevención, siempre existe la posibilidad de que un atacante pueda penetrar en los sistemas de una organización y acceder a información confidencial o causar daños.
Al aceptar esto, una organización reenfocará parte de sus esfuerzos en la detección y respuesta rápida a los incidentes, en lugar de solo enfocarse en la prevención de las amenazas.
En definitiva, lo que pretende el enfoque es conseguir una mayor resiliencia, al aceptar y estar preparados para la posibilidad de sufrir una brecha, al tiempo que un enfoque más integral de la protección basado no únicamente en prevenir, sino también en detectar, responder y recuperar.
En esta estrategia, los EDR son una herramienta fundamental, puesto que lo que permiten es detectar lo antes posible una amenaza incipiente y brindarnos las herramientas para contener la amenaza, sin que pueda propagarse libremente, al tiempo que podemos visualizar y analizar los vectores que han permitido que se materialice, conocer con detalle los elementos que se han visto afectados y ser capaces de crear una estrategia de erradicación de la amenaza, evitando que pueda volver a repetirse.
CrowdStrike como solución EDR
CrowdStrike es una solución EDR que ofrece una amplia gama de capacidades para proteger a las organizaciones contra amenazas avanzadas y malware.
La solución se basa en una plataforma en la nube y utiliza la inteligencia artificial y el aprendizaje automático para detectar y responder a las amenazas.
Entre las capacidades más reconocidas de CrowdStrike se incluyen la protección contra malware y exploits, la detección de amenazas avanzadas y la respuesta automatizada a incidentes. La solución también incluye herramientas de análisis y de investigación para ayudar a los equipos de seguridad a comprender la naturaleza de las amenazas y tomar medidas correctivas.
Además, CrowdStrike se integra con otras soluciones de seguridad y herramientas de seguridad de terceros, lo que permite a las organizaciones aprovechar sus inversiones existentes en seguridad y obtener una visibilidad completa de su entorno de seguridad.
CrowdStrike es una tecnología líder en soluciones de protección del endpoint, según prestigiosas y reputadas firmas de análisis independiente como Gartner o Forrester.
ITRES es partner de CrowdStrike en Murcia, contando con más 2.500 equipos de usuario y 500 servidores protegidos por esta tecnología en nuestro servicio gestionado Cloud Defence, por lo que podemos aportar toda nuestra experiencia en el despliegue, configuración y supervisión de la herramienta EDR CrowdStrike Falcon, que conjuga a la perfección las funcionalidades de prevención, mediante Falcon Prevent, así como las de detección y respuesta, mediante Falcon Insight, el cual proporciona funcionalidades avanzadas de análisis, correlación y visualización amenazas.
