¿Resuelven las soluciones EDR tus problemas cuando lo necesitas?

El término “EDR” (siglas en inglés de “Endpoint Detection and Response”) entró en el vocabulario de la seguridad informática hace pocotiempo y todavía causa cierta confusión entre los proveedores de servicios de seguridad que entran en el abarrotado campo de las soluciones de seguridad de las empresas. ¿Qué es exactamente EDR? ¿En qué se diferencia de los antivirus heredados (AV) y de las plataformas de protección de puntos finales (EPP)? ¿Ha resuelto realmente EDR los problemas para los que fue diseñado? En este post, explicamos el pasado, el presente y el futuro de EDR.

¿De dónde viene el término "EDR"?

El término EDR fue acuñado por Anton Chuvakin de la Red de Blogs de Gartner en 2013 como un medio para clasificar un nuevo grupo de herramientas o capacidades que se centraban en la detección de actividades sospechosas en los puntos finales. Estas herramientas se diferenciaban de las soluciones de seguridad anteriores en que no se centraban necesariamente en la identificación de malware específico. En cambio, buscaban actividades sospechosas.

Las soluciones EDR eran únicas: en lugar de limitarse a identificar y poner en cuarentena un archivo sospechoso de ser malware, estaban diseñadas para proporcionar alertas a los términos de seguridad que pudieran desencadenar una investigación más profunda.

¿Por qué se crearon las soluciones EDR?

Antes de la llegada de las soluciones EDR, la mayoría de las empresas confiaban en la protección AV tradicional. Sin embargo, el problema con las soluciones AV es que no siempre eran efectivas para combatir la amplia gama de amenazas que podían ocurrir a nivel de punto final. Las antiguas soluciones AV heredadas se basaban en la detección de archivos de malware a través de firmas, normalmente un fragmento del archivo, pero más tarde mediante la identificación de cadenas de información contenidas en el binario a través de metodologías de búsqueda como las reglas de YARA.

Este enfoque demostró tener varios puntos débiles. En primer lugar, los autores de malware comenzaron a esquivar la detección basada en firmas simplemente rellenando los archivos con bytes extra para cambiar el código del malware o utilizando diferentes formas de cifrar cadenas que el análisis binario no podía leer fácilmente. En segundo lugar, los adversarios que intentaban robar datos de la empresa o propiedad intelectual comenzaron a utilizar otros medios, además de los archivos maliciosos detectables, para lograr sus objetivos.

Las tácticas de los malos actores evolucionaron para incluir ataques “sin archivos” en memoria, explotando aplicaciones y procesos incorporados (llamados “vivir de la tierra”), y comprometiendo las redes mediante el phishing de los usuarios para obtener credenciales o robar recursos con criptografía.

Las soluciones AV heredadas simplemente no tenían los recursos para hacer frente a la nueva ola de amenazas, técnicas y procedimientos.

Problemas con la EDR tal como la conocemos

El aumento de la visibilidad significa un aumento de la cantidad de datos y, por consiguiente, un aumento de la cantidad de análisis. Debido a esto, la mayoría de las soluciones EDR disponibles hoy en día no son escalables. Requieren demasiados recursos que escasean, a saber, tiempo, dinero, ancho de banda y una fuerza de trabajo capacitada.

Además, la EDR, en muchos casos, requiere conectividad en la nube y, por lo tanto, se retrasará en la protección de los puntos finales. Si la solución no está en el dispositivo, inevitablemente habrá algún tiempo de espera. Un ataque efectivo puede comprometer una máquina, exfiltrar o cifrar datos y eliminar rastros de sí mismo en fracciones de segundo. Esperar una respuesta de la nube o que un analista tome medidas a tiempo es simplemente imposible en el panorama de amenazas actual.

El futuro: Detección y respuesta del punto final de SolarWinds

El sistema de detección y respuesta de puntos finales (EDR) de SolarWinds®, alimentado por SentinelOne, se construyó para establecer una correlación con la información del propio dispositivo.

SolarWinds EDR ofrece una respuesta automatizada que se basa en la inteligencia artificial para aliviar al equipo de MSP. Permite a los equipos comprender rápidamente la situación y la causa principal de una amenaza. La tecnología puede atribuir de forma autónoma cada evento en el punto final a su causa raíz sin depender de los recursos de la nube.

Esto puede revolucionar la seguridad. Puede ser utilizada por los MSPs casi sin importar los recursos -desde aquellos que son avanzados en seguridad hasta los profesionales de seguridad más novatos- proporcionándoles la capacidad de remediar automáticamente las amenazas y defenderse contra los ataques avanzados.

Conclusión

La ciberseguridad es un juego interminable de gato y ratón. Los atacantes suben la apuesta, desarrollan nuevas habilidades y despliegan nuevas tácticas y técnicas, y los defensores responden tratando de alcanzarlos. Las soluciones de seguridad de los puntos finales han estado rezagadas con respecto a los delincuentes durante un tiempo, pero con la llegada de SolarWinds EDR, impulsada por SentinelOne, una tecnología que puede prevenir, detectar y responder a los ataques avanzados independientemente de los vectores de entrega, tanto si el punto final está conectado a la nube como si no, los defensores pueden por fin tener una ventaja.

 

Puedes ver el articulo original aquí

Deja un comentario