En un mundo en el que las ciberamenazas cambian y evolucionan prácticamente a la misma velocidad que lo hace la propia tecnología, es necesario contar con soluciones de seguridad que no solo se limiten a reaccionar a la amenaza, sino que sean capaces de adelantarse a ella. Dentro de esas soluciones proactivas tenemos el sistema EDR; en este artículo explicamos qué es, cómo funciona y cómo puede mejorar la ciberseguridad de tu empresa.
¿Qué es un EDR?
Un EDR es un sistema de protección y monitoreo de la red interna de la empresa y de los equipos endpoint (aquellos dispositivos desde los que se conectan los empleados a la red de forma remota, que van desde ordenadores a smartphones y tablets).
Las siglas EDR significan precisamente Endpoint Detection Response (detección y respuesta de punto final) y es una solución de seguridad que combina diferentes herramientas para monitorizar, analizar, anticiparse y solucionar las amenazas que puedan poner en riesgo la red interna y los dispositivos endpoint de los empleados.
Un software EDR tiene como objetivo reforzar la seguridad endpoint de la empresa, así como mantener segura la red interna, configurándose como una solución proactiva, capaz de detectar riesgos y amenazas que puedan sobrepasar la primera línea defensa, que suele ser el antivirus tradicional y el firewall del equipo que utiliza el empleado para conectarse a la red de la empresa.
El EDR surgió como respuesta a amenazas más sofisticadas, especialmente las que han ido surgiendo dentro del contexto de la guerra cibernética (protagonizada tanto por empresas como por países), y al papel que muchas veces juega el usuario como punto de entrada de diferentes tipos de malware.
¿Cómo funciona un EDR?
Un sistema EDR emplea diferentes tipos de herramientas, pero con un objetivo en común, supervisar los eventos de los dispositivos endpoint y de la red interna para detectar cualquier tipo de amenaza y notificarlo. Además, va creando un registro y una base de datos que le sirve para detectar, analizar, investigar, realizar informes y emitir alertas.
Es decir, un sistema EDR protege la red y los equipos en tiempo real, pero también con análisis posteriores sobre aquellos eventos sospechosos que haya bloqueado y aislado.
Por ejemplo, cuando detecta un comportamiento sospechoso (un correo con un archivo adjunto), lo registra y lo lleva a un entorno aislado para analizar su comportamiento, ejecutándolo como lo haría un usuario. Si el adjunto resulta contener malware, bloqueará el correo que lo contiene en todos los sistemas y reportará el hallazgo.
Así, el sistema EDR se basa en:
- La detección de una amplia variedad de amenazas, no solo malware, como por ejemplo, intentos de phishing, los virus polimórficos o la inclusión en una botnet.
- La contención de aquellas amenazas que detecta en tiempo real.
- La investigación rápida de incidentes de seguridad, para solucionarlos y minimizar su impacto. Además, realiza análisis forenses que el equipo de TI utilizará en su propia investigación de un incidente seguridad.
- La eliminación de las amenazas en los equipos endpoint y de la propia red.
Además, gracias al empleo de la IA, el machine learning y el Big Data, el sistema EDR es capaz de aprender de manera automática, por lo que si la amenaza se repite, sabrá reconocerla y responder ante ella de forma adecuada.
¿Qué herramientas emplea un sistema de seguridad EDR?
Como decíamos, los sistemas de seguridad EDR emplean varias herramientas para poder adelantarse a muchas de las amenazas existentes más allá del malware tradicional, como son los ataques de ingeniería social, las amenazas avanzadas persistentes (APT), las vulnerabilidades de día cero, el compromiso de cuentas de usuario, el malware sin archivos o, incluso, amenazas aún no conocidas o no basadas en firmas.
Así, entre las herramientas que podemos encontrar en un EDR tenemos:
- Las ya citadas IA y machine learning.
- Entornos sandbox para el aislamiento y comprobación de la amenaza detectada (no confundir con el Privacy Sandbox de Google).
- Creación de listas blancas y negras para correos electrónicos, direcciones IP y páginas web.
- Capacidad para integrar y operar junto a antivirus y otras herramientas de seguridad.
- Herramientas para monitorizar en tiempo real los sistemas y la red, además de recopilar información para después emplearla en futuros análisis.
- Herramientas de análisis forense para investigar incidentes de seguridad ya ocurridos.
- Sistema de alertas, capaces de filtrar falsos positivos y no abrumar al equipo de TI.
Ventajas de un sistema EDR
Optar por sistema EDR para nuestra empresa puede aportarnos las siguientes ventajas:
- Al recopilar y almacenar información de forma automática, tanto de dispositivos endpoint como de la propia red, es capaz de crear sus propios patrones de detección automatizados, lo que ayuda en el propio proceso de detección de las amenazas.
- Puesto que monitoriza todo el sistema en tiempo real (o prácticamente en tiempo real), puede detectar intentos de acceso o movimientos de datos sospechosos y parar así la amenaza antes de que logren materializarse por completo.
- Recoge en un solo punto toda la información relativa a incidentes o eventos o acciones sospechosas, lo que permite llevar a cabo una investigación más rápida.
- Sus herramientas permiten tener una mejor capacidad para adelantarse a amenazas y ataques dirigidos.
- Crea una segunda línea defensa para frenar las amenazas que logren traspasar una primera solución de seguridad, como puede ser el antivirus.
Casos de uso del EDR
El EDR se emplea especialmente para poder hacer frente a esas amenazas y ciberataques que otras herramientas más centradas en la reacción, es decir, en actuar una vez reconocen la amenaza dentro del equipo, no logran detectar.
De manera que el EDR es especialmente efectivo para detectar ataques de ingeniería social, como el ya citado phishing o spear phishing, para conseguir credenciales de usuario con las que acceder al sistema y empezar a moverse por él o quedarse oculto y latente hasta el momento en que decida actuar.
También es efectivo para detectar archivos adjuntos maliciosos o sospechosos de serlo, como documentos de Word o PDF con macros que incluyen código malicioso listo para ejecutarse en el momento en el que el usuario lo abra. Así como para la detección, como ya mencionamos, del malware sin archivos (que se ejecuta desde la memoria) o de virus polimórficos, que van cambiando de forma para burlar las medidas de seguridad.
El EDR resulta, además, útil en el caso de las vulnerabilidades de día cero y en la detección de exploits.
En definitiva el sistema EDR puede complementar y reforzar los sistemas de seguridad basados en soluciones más tradicionales, en aquellos equipos de uso remoto.
Relación entre el EDR y la seguridad de los Endpoints
Evidentemente, la relación entre el EDR y la seguridad de los endpoints reside en que es un sistema creado, precisamente, para reforzar la seguridad de los dispositivos de conexión remota.
Con el incremento del teletrabajo o el trabajo a distancia, ha sido necesario reforzar la seguridad de la red interna de la empresa, pero esa es una medida que se queda coja, si no se cuida también de la seguridad de los dispositivos que los empleados usan para conectarse a dicha red y que son el punto de entrada de muchas de las amenazas actuales.
En parte, porque muchos empleados utilizan equipos personales para trabajar desde casa y estos, por lo general, no cuentan con soluciones de seguridad muy potentes, más allá de un posible antivirus y un posible firewall, por no mencionar la posible falta de actualización de software.
Además, la ciberseguridad es todavía una materia pendiente en lo que a formación y concienciación se refiere en muchas empresas, con trabajadores que abren correos maliciosos y descargan y abren archivos adjuntos infectados, que pueden acabar propagándose por toda la red interna, con consecuencias nefastas.
Gracias al EDR, aquellas amenazas que consigan penetrar el antivirus y el firewall, pueden ser detectadas y contenidas o, al menos, mitigadas, evitando pérdidas de tiempo, dinero e información para la empresa.
¿EDR o antivirus? Diferencias
Más que hablar de EDR o antivirus, tendríamos que hablar de EDR y antivirus, puesto que este segundo puede ser, como hemos visto, una de las herramientas empleadas por el EDR para detectar malware conocidos.
En cualquier caso, la principal diferencia entre un EDR y un antivirus es que el primero es una solución de seguridad que abarca todos los equipos endpoint y la propia red interna de la empresa, y el segundo es una solución de seguridad individual, que se aplica en un solo equipo.
Otra diferencia está en lo que pueden detectar; ya hemos visto que el EDR tiene la capacidad, gracias al empleo sobre todo del machine learning, de detectar una amplia variedad de amenazas, incluidas aquellas que no se basan en firmas o son conocidas. Un antivirus solo detecta aquellas amenazas que son conocidas o basadas en firmas, aunque para ello debe estar actualizado a su última versión. Mientras un EDR puede detectar un intento de phishing que despliegue un ransomware, un antivirus solo detectará, si es que lo hace, cuando ya lo hayamos instalado inadvertidamente en el equipo.
EDR vs. EPP
Antes de ver diferencias o cuál es mejor, veamos qué es una Endpoint Protection Platform (EPP) o plataforma de protección de endpoints. Se trata de un sistema que agrupa varias herramientas de seguridad, entre ellas antivirus, firewall, cifrado de datos, detección de amenazas y prevención de accesos no autorizados en el endpoint o en la red interna.
Por lo tanto, la misión del EPP es la protección perimetral, esa primera línea de defensa antes que el EDR. De manera que más que enfrentarlos entre sí y escoger una de las dos soluciones de seguridad, lo ideal sería contar con ambas, puesto que se complementan allí donde uno de los sistemas no llega.
Así, el sistema EPP evitará la entrada de amenazas conocidas a través de los endpoints y el EDR se encargará de todas aquellas amenazas que consigan penetrar ese perímetro, como los ya citados ataques de ingeniería social o las APT.
De hecho, es posible encontrar empresas de ciberseguridad que ofrecen herramientas que combinan estos dos sistemas como una solución de seguridad integral para los dispositivos endpoint y la red interna de la empresa.
Conclusiones
Pese a que la EDR security o seguridad EDR nació como una solución especialmente pensada para grandes empresas y organizaciones que contaban con un SOC (centro de operaciones de seguridad) dedicado, actualmente se ha convertido en un sistema de seguridad en el que cualquier pyme debería considerar en invertir, especialmente si tiene muchos empleados trabajando en remoto.
Aún contando con un sistema EPP, ya hemos visto que el EDR reforzaría aún más la ciberseguridad de la empresa, puesto que puede detectar aquellas amenazas que el EPP pasa por alto o no es capaz de reconocer, especialmente aquellas que implican el factor humano.
Es cierto que implantar un sistema EDR es una inversión considerable, pero a largo plazo podría evitar gastos mayores asociados a incidentes de seguridad, como el ransomware, la filtración de datos e información o las sanciones que las autoridades de control pueden imponer ante determinadas brechas de seguridad, por no mencionar las consecuencias en la perdida de reputación y confianza de los usuarios o clientes.
El aumento del teletrabajo no debería suponer un aumento de los riesgos a los que se expone la empresa, pero para ello es necesario aplicar medidas de seguridad, como las que ofrece un sistema EDR.