¿Qué es la detección y respuesta en los terminales (EDR)?
La detección y respuesta en los terminales (EDR) es una solución de seguridad de terminales que incluye supervisión en tiempo real y recopilación de datos de seguridad de terminales con un mecanismo de respuesta automatizada a amenazas.
EDR es un término sugerido por Gartner para describir una clase de sistemas de seguridad emergentes que detectan e investigan actividades sospechosas tanto en hosts como en terminales, lo que se puede lograr utilizando un alto grado de automatización que informa a los equipos de seguridad y les permite responder rápidamente.
Los sistemas EDR proporcionan cinco funciones principales, que son las siguientes:
- Supervisar activamente los terminales y recopilar datos de la actividad que puedan indicar una amenaza.
- Realizar un análisis de los datos recopilados para identificar cualquier patrón de amenaza conocido.
- Generar una respuesta automática a todas las amenazas identificadas para eliminarlas o contenerlas.
- Notificar automáticamente al personal de seguridad que se ha detectado una amenaza.
- Utilizar herramientas de análisis y forenses para realizar investigaciones sobre las amenazas identificadas que podrían dar lugar a otras actividades sospechosas.

Persecución de amenazas y respuesta a incidentes para implementaciones híbridas

Casos de uso de EDR empresarial: persecución de amenazas y respuesta a incidentes
¿Cuáles son las ventajas de la detección y respuesta en los terminales?
Los sistemas EDR se han convertido en una lista de control para los equipos de seguridad modernos. La EDR protege el perímetro digital de amenazas conocidas y en evolución, y de problemas de seguridad de varias formas clave.
En primer lugar, la recopilación exhaustiva de datos de supervisión permite a los sistemas EDR recopilar una vista completa de posibles ataques. La supervisión continua de todos los terminales, en línea y fuera de línea, facilita el análisis y la respuesta a incidentes. Esto permite un análisis y una visión en profundidad para que los profesionales puedan conocer las anomalías y vulnerabilidades de la red de la organización y prepararse mejor ante futuros eventos de delitos cibernéticos. La detección de todas las amenazas de terminales va más allá del antivirus tradicional, y la capacidad de la EDR para proporcionar una respuesta en tiempo real a una amplia gama de amenazas permite a los equipos de seguridad visualizar posibles ataques y amenazas incluso mientras evolucionan, todo en tiempo real.
Esto puede evitar pérdidas al frenar los ataques en sus etapas iniciales antes de que se produzcan pérdidas o peligros críticos. La respuesta en tiempo real también permite que una organización descubra comportamientos sospechosos o no autorizados en la red, llegando a la causa principal de una amenaza antes de que pueda afectar a las operaciones. Finalmente, los sistemas EDR pueden integrarse con otras herramientas de seguridad, lo que permite la correlación de datos de los terminales, la red y SIEM para desarrollar una comprensión más rica de las prácticas y técnicas que aplican los ciberdelincuentes que intentan obtener acceso no autorizado a los activos digitales.
¿Por qué es importante la detección y respuesta en los terminales?
El panorama de las amenazas cambia constantemente, con nuevos virus, programas maliciosos y otras amenazas cibernéticas nuevas que aparecen todos los días. Para hacer frente a estas amenazas en evolución, la recopilación y detección en tiempo real de posibles anomalías es cada vez más importante.
Estos desafíos se ven amplificados por el crecimiento de los empleados móviles. Cuando los empleados se conectan de forma remota, lo que se ha acelerado con la pandemia de COVID-19, los terminales que se utilizan para acceder a los activos digitales de una organización suelen ser propiedad de los empleados. Estos dispositivos personales o BYOD se pueden compartir por y en redes compartidas por la familia del empleado y, por lo tanto, pueden estar infectados con programas maliciosos sin el conocimiento del empleado.
Con la EDR, las organizaciones pueden a hacer frente a estos desafíos, pues les permite:
- Identificar y bloquear archivos ejecutables que podrían realizar actos maliciosos.
- Evitar que los dispositivos USB se utilicen para acceder a datos no autorizados o descargar información confidencial o protegida.
- Bloquear técnicas de ataque de programas maliciosos sin archivos que podrían infectar los terminales.
- Controlar la ejecución de scripts.
- Evitar que las cargas útiles de los correos electrónicos maliciosos detonen sus archivos adjuntos.
- Protegerse de los ataques de día cero y evitar que causen daños.
La EDR también se puede utilizar con servicios de inteligencia para la detección de amenazas de terceros para mejorar la efectividad de sus soluciones de seguridad para terminales, ya que su inteligencia colectiva puede aumentar la capacidad de la EDR para identificar ataques de día cero y otras vulnerabilidades de varios niveles. Muchas de las soluciones de EDR incorporan ahora el aprendizaje automático y la inteligencia artificial (AA/IA) para automatizar aún más el proceso para el "aprendizaje" del comportamiento básico de la organización y utilizar esa información para interpretar los hallazgos al detectar ataques.
¿Cómo funciona la detección y respuesta en los terminales?
La EDR realiza la supervisión del tráfico en la red y los terminales, recopila información que podría estar relacionada con problemas de seguridad en una base de datos central para su posterior análisis, y posibilita la generación de informes y la investigación de eventos de amenazas.
No todas las soluciones de EDR se crean de la misma manera, el amplio abanico de las actividades que realizan puede variar de un proveedor a otro. Los componentes clave de una solución EDR típica incluyen:
- Agentes de recopilación de datos. Instalados en los terminales, estos agentes supervisan y recopilan datos sobre procesos en ejecución, conexiones a redes y dispositivos, volumen de actividad y transferencias de datos.
- Concentrador central. Este concentrador integrado recopila, correlaciona y analiza los datos recopilados de los terminales. El concentrador central también coordina alertas y respuestas a amenazas inmediatas.
- Automatización de respuestas. Un sistema EDR utiliza reglas, generalmente preconfiguradas, que reconocen cuándo los datos recopilados son indicativos de una amenaza conocida y desencadenan una respuesta automática, como alertar al personal de seguridad o desconectar a un usuario del sistema.
- Análisis forenses. La EDR puede incluir herramientas de análisis forenses para ayudar a erradicar las amenazas o realizar análisis a posteriori, y los análisis en tiempo real ayudan a descubrir rápidamente las amenazas que no coinciden con las reglas preconfiguradas existentes.
¿Qué diferencia hay entre EDR y un antivirus?
Las soluciones de EDR se pueden considerar un superconjunto de programas de antivirus tradicionales, que tienen un alcance limitado en comparación con las nuevas soluciones de EDR. Por lo tanto, el antivirus forma parte de una solución de EDR.
Un antivirus realiza funciones básicas como el escaneo, la detección y la eliminación de virus, mientras que la EDR realiza muchas otras funciones. Más allá de un antivirus, la EDR puede contener varias funciones entre las que se incluyen, entre otras, la supervisión o las listas blancas o negras; todas diseñadas para proporcionar una protección más completa contra amenazas conocidas y emergentes.
Debido a que el perímetro de la red digital se ha expandido para estar en cualquier lugar, los antivirus tradicionales ya no pueden proteger todos los distintos dispositivos utilizados para acceder a los recursos corporativos. Los sistemas EDR son más adecuados para proteger frente a los ciberataques avanzados y la respuesta automatizada EDR ayuda a garantizar que los equipos de TI no se sobrecarguen al intentar mantener a las organizaciones a salvo de ataques.
Esto es cada vez más importante debido a la rápida evolución del panorama de amenazas. Debido a que los ciberdelincuentes están mejorando sus ataques y utilizando amenazas avanzadas para acceder a las redes, un antivirus sencillo basado en firmas no detectará amenazas de día cero o de varios niveles de manera oportuna, mientras que los sistemas EDR pueden detectar todo tipo de amenazas para los terminales, proporcionando una respuesta en tiempo real a las que se identifiquen.