La proliferación de ciberataques cada vez más sofisticados demanda por parte de las empresas proteger los equipos de sus puestos de trabajo (endpoints) con herramientas EDR (Endpoint Detection & Response), dado que los antivirus convencionales, denominados EPP (Endpoint Protection Platform), están diseñados para responder a amenazas mayoritariamente conocidas que puedan afectar a equipos de escritorio, portátiles y dispositivos móviles así como al perímetro de la red.
Sin embargo, los Endpoint Detection and Response (EDR) optimizan las medidas de protección mediante la identificación, detección y prevención de amenazas avanzadas (APT), gracias a la utilización de un amplio repertorio de técnicas que permiten un análisis y monitorización permanentes y más eficientes, tanto de los del endpoints como de la red.
¿Qué aportan a las empresas los EDR con respecto a los EPP convencionales?
La diferencia más sustancial entre los EDR y los EPP tradicionales es que mientras que estos se enfocan solamente en la prevención para evitar que las amenazas lleguen a materializarse, los Endpoint Detection and Response están preparados para hacer frente a amenazas avanzadas que han sorteado la primera capa de defensa ofrecida por el EPP y han conseguido penetrar en los sistemas de información y difundirse en la red interna.
Por ello, los EDR aportan una protección mucho más completa y eficaz a las empresas, en un contexto en el que los ciberataques de toda índole (ransomwere, phising, malware, botnets, etc.) afectan sobre todo tipo de organizaciones con independencia de su tamaño y actividad, resultando muy revelador en este sentido el alto porcentaje de PYMES españolas, un 44%, que en 2020 habían padecido ataques de secuestro de datos de acuerdo a un estudio de la aseguradora Hiscox.
Estas cifras ponen de manifiesto que el uso de tecnologías avanzadas de protección, como las que proporciona un EDR, no debe ser algo privativo de grandes corporaciones o empresas que manejen información crítica, sino que cualquier organización debe hacer madurar su sistema de información y utilizar estas herramientas como medida de detección y reacción ante los cada vez más frecuentes ciberincidentes.
¿Cómo funcionan los EDR?
Los sistemas EDR detectan a tiempo real y neutralizan ataques que escapan a los antivirus tradicionales, monitorizando y analizando todas las actividades que se producen en el endpoint: actividad de usuarios, archivos, procesos, memoria, red, etc.
Además, actúan tanto frente a amenazas conocidas como desconocidas, combatiendo estas últimas con una serie de recursos de los que carecen los antivirus convencionales:
- Análisis mediante Machine Learning: con esta funcionalidad el EDR puede detectar amenazas desconocidas, estudiando cómo se comporta esa amenaza potencial, y si llegara a determina que entraña un riesgo para el sistema podría bloquearla en todos los endpoints, sin necesidad de que fuera previamente conocida.
- Sandboxing: gracias a esta función, complementaria a las técnicas de Machine Learning, para comprobar si los archivos desconocidos suponen una amenaza, estos se ejecutan de manera separada, aislada y segura en la Nube, fuera de nuestro sistema de información, imitándose el comportamiento que tendrían con ellos los usuarios.
- Utilización de IOC o indicadores de compromiso: Los indicadores de compromiso (IOC) actúan como huellas digitales que permiten catalogar de forma uniforme los incidentes de seguridad, al tiempo que analizar el nivel de compromiso en la totalidad del sistema de información mediante la localización de esos indicadores en todos los puntos en los que contamos con un agente EDR.
- Uso de recursos de remediación: los cuales posibilitan desde poner queipos en cuarentena y eliminar ficheros infectados, conectar remotamente a un equipo aislado, o hacer que los endpoints vuelvan al estado previo a la infección.
- Investigación de incidentes: los EDR además de en prevenir, se centran sobre todo en proporcionar herramientas para rastrear el la evolución de las amenaza en curso en todo el sistema de información, con el objetivo de adoptar las medidas necesarias para contenerla, entender cuál ha sido su origen y poder adoptar medidas eficaces para erradicarla y evitar su repetición.
Unas prestaciones mucho más eficaces y completas que los EPP
Así, la utilización de estas tecnologías permite una mayor anticipación a los ataques, valorando parámetros previos a la propia ejecución de contenido malicioso, que haya un menor tiempo de exposición a estos, y que se obtenga una remediación completa de las amenazas.
Por todo ello, los EDR son capaces de proporcionar una protección mucho más eficaz de equipos de escritorio, portátiles o servidores, aportando unas funcionalidades integrales que abordan la detección, contención, investigación y eliminación de amenazas, inclusive de aquellas que pueden ser más problemáticas como el malware sin archivos o el que cuenta con un nivel muy altode polimorfismo, evitando su detección por técnicas tradicionales.
ITRES es partner de ESET que aporta una solución EDR a medida para las empresas
ITRES, dentro de su apuesta por proporcionar a sus clientes los servicios y soluciones de ciberseguridad más vanguardistas, ha escogido como partner tecnológico a ESET, cuya solución Enterprise Inspector ofrece un producto EDR que combinada con el ESET Endpoint Protection, como solución EPP avanzada con tecnologías de detección basadas en Machine Learning y Sandboxing, cubrelas necesidades de protección de puestos de trabajo y servidores que pueda tener cualquier empresa, al margen de su tamaño y actividad.
ESET facilita una potente una tecnología de detección y respuesta frente a amenazas mediante la identificación de comportamientos anómalos, la adecuada evaluación de riesgos, la detección de brechas de seguridad así como la investigación y resolución eficaz de incidentes.
Su implantación favorece la alerta temprana y mejora la gestión del riesgo, merced al análisis de información proveniente de los agentes, para acortar la velocidad de detección y respuesta, limitando el impacto de los incidentes.
Por último, aunque no menos importante, la API pública de Enterprise Inspector facilita la integración con herramientas SIEM + SOAR para gestión de incidentes de seguridad, como AZURE SENTINEL utilizada en ITRES.
Conoce todos los servicios y soluciones de ciberseguridad que ofrecemos desde ITRES
Con todo, en ITRES no nos limitamos a implementar software para la protección de los endpoints de nuestros clientes, ya que en materia de ciberseguridad nos apoyamos en un enfoque global que atiende a todos los eslabones de la cadena: personal, equipos y procesos de trabajo.
Bajo esta perspectiva, ofrecemos unos servicios a las empresas orientados a la gestión continua de la ciberseguridad, con la vista puesta en salvaguardar de los ataques sus redes, sistemas de información y datos.
Para la consecución de este objetivo, ofrecemos nuestra solución integrada Cloud Defence desde un centro de operaciones propio (SOC) operativo 24x7x365 en el que trabajan especialistas en todas las vertientes de la seguridad cibernética: prevención; dirección y estrategia; detección y respuesta.
Igualmente, podemos brindar a nuestros clientes el soporte externo de un CISO (Chief Information Security Officer) que ayude a particularizar la estrategia de ciberseguridad de la empresa para que dé respuesta a sus necesidades específicas. Mientras que con nuestro servicio de consultoría podemos ofrecer asesoramiento y asistencia técnica para, por ejemplo, integrar nuevas soluciones tecnológicas como las soluciones EDR.
Con todo ello, brindamos protección a empresas de todo tamaño frente a los ataques informáticos de toda índole, y reducimos el riesgo de sufrirlos o los mitigamos en caso de que estos se produzcan, asegurando la integridad de los sistemas TI, la confidencialidad de la información de la organización así como el adecuado respaldo de todos los datos para garantizar su disponibilidad, y en último término la continuidad de operaciones.
No dudes en contactar con ITRES si quieres que te informemos más en detalle sobre todo lo que puede aportar a tu empresa tanto la protección EDR de endpoints como el resto de nuestros servicios y soluciones de ciberseguridad ¡Llámanos al 868 300 513 o escríbenos, estaremos encantados de atenderte!
