EDR: Armas modernas contra los ciberdelincuentes

Haces todo lo posible para mantener a los clientes a salvo de los ciberataques. Parcheas regularmente. Eres estricto en la administración de contraseñas y acceso. Empleas el correo electrónico y la protección web para cada cliente. Cada una de estas capas desempeña un papel en la reducción de los riesgos de sus clientes.

Sin embargo, los antivirus (AV) a menudo no pueden resistir algunas amenazas modernas. Para hacer frente a esta situación, muchas empresas están adoptando soluciones de detección de puntos finales y respuesta (EDR). Los productos EDR pueden proteger contra una gama más amplia de amenazas contra los endpoints y hacer mucho más en el proceso. Antes de llegar a eso, examinemos la AV.

Evasiones AV

Los programas AV anteriores utilizan firmas para detectar amenazas. Cuando se descubre malware, los proveedores de antivirus añaden información (una firma) a su base de datos de virus conocidos y, a continuación, transmiten esa información a sus clientes. Esto requiere que los usuarios mantengan sus firmas AV actualizadas.

El tiempo que se tarda en identificar y desarrollar una firma y luego impulsar la actualización hasta el punto final deja un vacío en la cobertura. Si un endpoint contiene malware que carece de una firma conocida o si su antivirus está desactualizado, el usuario no estará protegido de sus efectos. Más allá de eso, los ciberdelincuentes han tomado medidas para evadir la detección AV y causar daños. Por ejemplo, los programas AV pueden tener dificultades para controlarlos:

Documentos con material militar: Los documentos de Microsoft Office o PDF pueden contener macros o scripts peligrosos. A menudo, el programa AV comprueba sólo el documento inicial y no actúa si lanza un script para descargar malware. El malware podría entonces acechar en segundo plano sin ser detectado, dañar el punto final o saltar por la red.
Malware sin archivos: Una de las principales tendencias recientes en materia de seguridad ha sido el uso de malware sin archivos. Estos ataques se ejecutan en la memoria de trabajo, normalmente utilizando herramientas internas del sistema en lugar de software malicioso. El endpoint confía en estos componentes internos, por lo que no sospechará de ellos cuando empiece a causar daños. Además, si no hay ningún archivo que analizar, el AV no puede detectar el problema.
Malware altamente polimorfo: Otra tendencia en el malware es el uso creciente de técnicas polimórficas. El malware polimórfico cambia el comportamiento hasta que encuentra un hueco en la base de datos de firmas. Por lo general, el malware polimórfico continúa cambiando el comportamiento de forma predeterminada para evadir aún más la detección. En otras palabras, el programa antivirus intenta disparar a un objetivo en movimiento y no puede descansar ni siquiera cuando consigue un impacto.

Esta es sólo una pequeña muestra de las técnicas que evitan la protección AV. Las soluciones de detección y respuesta de endpoints pueden ayudar con esto.

¿Qué es el EDR?

Las soluciones de detección y respuesta de endpoints van más allá de las soluciones antivirus. En lugar de utilizar firmas tradicionales, las soluciones de EDR recopilan datos sobre múltiples actividades en un punto final y correlacionan esa información para detectar y responder a las amenazas. En lugar de esperar a que se descubra una firma y se empuje a la solución AV, las herramientas EDR utilizan la inteligencia artificial (IA) y el aprendizaje automático para monitorizar las amenazas. Además, las soluciones EDR adecuadas actuarán en su nombre para hacer frente a un posible ataque rápidamente.

Consideremos los documentos peligrosos. Alguien recibe un correo electrónico de phishing de aspecto convincente y descarga un PDF adjunto. El PDF aterriza en el endpoint y trata de lanzar un script para llegar a un servidor de comando y control para descargar una carga útil de ransomware. La solución EDR registrará el comportamiento extraño y continuará monitoreando el proceso. Basándose en los ajustes de configuración, una solución como SolarWinds® Endpoint Detection and Response puede entrar en acción poniendo en cuarentena el software de rescate, devolviendo automáticamente el punto final a un estado de seguridad conocido o enviando una alerta al técnico de MSP.

Además, una solución EDR fuerte ayuda a proteger la red más amplia. La mayoría de las soluciones antivirus heredadas hacen hincapié en la defensa contra amenazas externas. Esto también es común con los cortafuegos de red tradicionales. Sin embargo, muchas amenazas modernas utilizan el movimiento lateral para infectar una red. En términos simples, si un endpoint se infecta, intentará propagarse a otras partes de la red.

Muchas redes corporativas están diseñadas para soportar la productividad y permitir compartir entre dispositivos. Estas redes rara vez esperan que un ataque provenga del interior. Si una solución EDR detecta un comportamiento sospechoso, como un intento de establecer comunicaciones con otro punto final, puede bloquear esta comunicación y evitar que el ataque se extienda por la red. La capacidad de actuar de forma autónoma ayuda a dar una respuesta adecuada a las amenazas rápidamente antes de que puedan extenderse a toda la red.

Cómo ayuda esto a los MSPs

Los MSPs que utilizan EDR obtienen varias ventajas clave. En primer lugar, te permite ofrecer servicios de seguridad más sólidos. La seguridad ha crecido en importancia a lo largo de los años, y sólo continuará. Con la moderna protección de puntos finales, puedes satisfacer mejor las demandas del mercado.

En segundo lugar, las soluciones EDR ayudan a reducir el riesgo de una infracción grave. Un incumplimiento puede ser catastrófico para el cliente final y puede dañar seriamente la reputación de una MSP. Una solución EDR eficaz puede ayudar a mantener a sus clientes seguros y su reputación intacta.

Finalmente, las soluciones EDR pueden ayudarte a proporcionar una mejor experiencia al cliente. Dado que puede actuar en tu nombre sin enviar datos a la nube ni esperar una respuesta, estás mejor posicionado para resolver los problemas de seguridad antes de que se conviertan en catastróficos. Por ejemplo, si el software de rescate intenta cifrar archivos en el equipo de un cliente, un producto como SolarWinds EDR puede eliminar y poner en cuarentena el proceso infractor y recuperar rápidamente el punto final sustituyendo los archivos cifrados por versiones sanas previas al ataque. Esto ayuda a prevenir el tiempo de inactividad, la pérdida de productividad y las molestas llamadas telefónicas de tus clientes.

¿Es el EDR el futuro?

Cada día se descubre n una media de 350.000 nuevas variantes de malware. Con este volumen, es difícil para las soluciones AV mantenerse al día. Además, a medida que los ciberdelincuentes continúan utilizando técnicas para evadir el antivirus, éste puede volverse cada vez menos relevante. Es posible que las empresas tengan que trasladarse a EDR para completar su seguridad.

Ver original aquí

Deja un comentario