¿Qué es la detección y respuesta en los terminales (EDR)?

Los sistemas EDR se han convertido en una lista de control para los equipos de seguridad modernos. La EDR protege el perímetro digital de amenazas conocidas y en evolución, y de problemas de seguridad de varias formas clave.

En primer lugar, la recopilación exhaustiva de datos de supervisión permite a los sistemas EDR recopilar una vista completa de posibles ataques. La supervisión continua de todos los terminales, en línea y fuera de línea, facilita el análisis y la respuesta a incidentes. Esto permite un análisis y una visión en profundidad para que los profesionales puedan conocer las anomalías y vulnerabilidades de la red de la organización y prepararse mejor ante futuros eventos de delitos cibernéticos. La detección de todas las amenazas de terminales va más allá del antivirus tradicional, y la capacidad de la EDR para proporcionar una respuesta en tiempo real a una amplia gama de amenazas permite a los equipos de seguridad visualizar posibles ataques y amenazas incluso mientras evolucionan, todo en tiempo real.

Esto puede evitar pérdidas al frenar los ataques en sus etapas iniciales antes de que se produzcan pérdidas o peligros críticos. La respuesta en tiempo real también permite que una organización descubra comportamientos sospechosos o no autorizados en la red, llegando a la causa principal de una amenaza antes de que pueda afectar a las operaciones. Finalmente, los sistemas EDR pueden integrarse con otras herramientas de seguridad, lo que permite la correlación de datos de los terminales, la red y SIEM para desarrollar una comprensión más rica de las prácticas y técnicas que aplican los ciberdelincuentes que intentan obtener acceso no autorizado a los activos digitales.

El panorama de las amenazas cambia constantemente, con nuevos virus, programas maliciosos y otras amenazas cibernéticas nuevas que aparecen todos los días. Para hacer frente a estas amenazas en evolución, la recopilación y detección en tiempo real de posibles anomalías es cada vez más importante.

Estos desafíos se ven amplificados por el crecimiento de los empleados móviles. Cuando los empleados se conectan de forma remota, lo que se ha acelerado con la pandemia de COVID-19, los terminales que se utilizan para acceder a los activos digitales de una organización suelen ser propiedad de los empleados. Estos dispositivos personales o BYOD se pueden compartir por y en redes compartidas por la familia del empleado y, por lo tanto, pueden estar infectados con programas maliciosos sin el conocimiento del empleado.

Con la EDR, las organizaciones pueden a hacer frente a estos desafíos, pues les permite:

• Identificar y bloquear archivos ejecutables que podrían realizar actos maliciosos.
• Evitar que los dispositivos USB se utilicen para acceder a datos no autorizados o descargar información confidencial o protegida.
• Bloquear técnicas de ataque de programas maliciosos sin archivos que podrían infectar los terminales.
• Controlar la ejecución de scripts.
• Evitar que las cargas útiles de los correos electrónicos maliciosos detonen sus archivos adjuntos.
• Protegerse de los ataques de día cero y evitar que causen daños.

La EDR también se puede utilizar con servicios de inteligencia para la detección de amenazas de terceros para mejorar la efectividad de sus soluciones de seguridad para terminales, ya que su inteligencia colectiva puede aumentar la capacidad de la EDR para identificar ataques de día cero y otras vulnerabilidades de varios niveles. Muchas de las soluciones de EDR incorporan ahora el aprendizaje automático y la inteligencia artificial (AA/IA) para automatizar aún más el proceso para el "aprendizaje" del comportamiento básico de la organización y utilizar esa información para interpretar los hallazgos al detectar ataques.

La EDR realiza la supervisión del tráfico en la red y los terminales, recopila información que podría estar relacionada con problemas de seguridad en una base de datos central para su posterior análisis, y posibilita la generación de informes y la investigación de eventos de amenazas.

No todas las soluciones de EDR se crean de la misma manera, el amplio abanico de las actividades que realizan puede variar de un proveedor a otro. Los componentes clave de una solución EDR típica incluyen:

• Agentes de recopilación de datos. Instalados en los terminales, estos agentes supervisan y recopilan datos sobre procesos en ejecución, conexiones a redes y dispositivos, volumen de actividad y transferencias de datos.
• Concentrador central.  Este concentrador integrado recopila, correlaciona y analiza los datos recopilados de los terminales. El concentrador central también coordina alertas y respuestas a amenazas inmediatas.
  
• Automatización de respuestas. Un sistema EDR utiliza reglas, generalmente preconfiguradas, que reconocen cuándo los datos recopilados son indicativos de una amenaza conocida y desencadenan una respuesta automática, como alertar al personal de seguridad o desconectar a un usuario del sistema.
  
• Análisis forenses. La EDR puede incluir herramientas de análisis forenses para ayudar a erradicar las amenazas o realizar análisis a posteriori, y los análisis en tiempo real ayudan a descubrir rápidamente las amenazas que no coinciden con las reglas preconfiguradas existentes.