EDR: Cómo funciona y qué alternativas de implementación existen

Hoy en día, empresas de todos los tamaños están expuestas al robo de datos, espionaje, fraude, y ataques de malware de distinta naturaleza. El impacto de este tipo de amenazas puede generar problemas de disponibilidad de servicio y un impacto considerable en las finanzas del negocio. En este blog, te contamos cómo funciona una solución de seguridad EDR y qué opciones tiene su departamento de IT para instalarlo y proteger sus redes y sistemas corporativos.

 

Un EDR (Endpoint Detection and Response) es una herramienta de seguridad que permite monitorear de forma continua cada uno de los equipos que forman parte de una red corporativa con el fin de detectar amenazas avanzadas y prevenir potenciales ataques. Contar con una solución integral de seguridad endpoint resulta fundamental para la protección de los activos empresariales. 

 

Cómo funciona una solución EDR

Un EDR es una herramienta que proporciona monitorización y análisis continuo de los endpoints y de la red corporativa. La gran mayoría de estas soluciones cuenta con una serie de capacidades clave que le permiten detectar y contener las amenazas de seguridad:

Diagrama de funcionalidades EDR.

Fuente: Kaspersky Lab

 

1. Detección

Esta función está diseñada para monitorear, analizar y responder ante una gran variedad de software maliciosos, tales como ransomware, malware, botnets, phishing, accesos no autorizados, y otras amenazas conocidas y desconocidas. Las soluciones EDR utilizan tecnologías de Inteligencia Artificial (IA) y Machine Learning para detectar de forma efectiva las amenazas y reducir ampliamente la tasa de falsos positivos.

 

 

El 68% de las organizaciones han experimentado uno o más ataques de endpoint que comprometieron con éxito los datos y/o su infraestructura de IT. Fuente: Ponemon Institute

 

 

2. Contención

Los archivos maliciosos tienen un objetivo claro: infectar tantos procesos, aplicaciones y usuarios como sea posible. Por lo tanto, después de detectar una amenaza, las soluciones EDR se encargan de ejecutar maniobras de bloqueo avanzado para contener los ataques y minimizar el daño potencial y sus consecuencias.

 

Quizás te interese seguir leyendo

6 amenazas de la continuidad operativa de negocios: ¿Cómo evitarlas?

 

3. Investigación

Una vez detectado y contenido un archivo malicioso, el software de seguridad también cumple la función de investigar y descubrir la razón por la que un ataque ocurrió en primer lugar. ¿Existe una vulnerabilidad en la red? ¿Se trata de una nueva amenaza avanzada? ¿Hay un dispositivo o aplicación en la red que está desactualizado?. 

 

Las capacidades de investigación de los EDR permiten obtener información sobre por qué un ataque puede ocurrir y ayuda a solucionar esas vulnerabilidades y evitar que la red vuelva a sufrir esos mismos incidentes en el futuro. 

 

 

El 83% de las pymes no están financieramente preparadas para recuperarse de un ciberataque. Fuente: InsuranceBee

 

 

4. Eliminación

Finalmente, el componente más importante de una solución EDR es su capacidad para eliminar las amenazas de seguridad. Para poder erradicar adecuadamente un archivo malicioso, las soluciones EDR buscan responder efectivamente las siguientes preguntas: 

• ¿Dónde se originó el archivo?
  
  
• ¿Con qué datos y aplicaciones interactuó ese archivo?
  
  
• ¿Se ha replicado el archivo?

 

Tener visibilidad sobre estos eventos es crucial para la eliminación de una posible amenaza. Pero no es tan simple. Cuando se elimina un archivo malicioso, también se deben corregir las partes de la red que fueron afectadas. Si la solución EDR cuenta con capacidades retrospectivas, entonces estas pueden usarse para remediar los sistemas a un estado anterior a la infección.

Otras funcionalidades típicas de las soluciones EDR

 

Las soluciones Endpoint Detection and Response también utilizan una serie de técnicas de seguridad innovadoras. Algunas de las más importantes son:

 

• Motores de detección que usan técnicas de inteligencia artificial y análisis basado en Machine Learning.
  
  
• Emuladores de Sandbox para detectar y prevenir la infección de malware.
  
  
• Análisis en tiempo real que monitorea el sistema con el fin de encontrar patrones de comportamiento y detectar amenazas desconocidas.
  
  
• Alertas generadas por sistemas externos (llamados Indicadores de Compromiso), y categorización de los incidentes para actuar rápidamente sobre los más críticos.
  
  
• Investigación de incidentes basado en el historial: se rastrea el origen y evolución del malware para tomar medidas preventivas de cara a posibles incidentes futuros.
  
  
• Herramientas de remediación para eliminar o poner en cuarentena los archivos infectados y volver al estado anterior a la infección.
  
  
• Filtrado para evadir falsos positivos y evitar una sobrecarga de alertas.

 

 

El 53% de las organizaciones se vieron afectadas por un ataque de ransomware en 2021, y alrededor del 77% de ellas se vieron afectadas más de una vez. Fuente: Black Kite

 

 

Opciones de implementación EDR y qué tener en cuenta

 

A la hora de implementar una solución EDR, puede elegir entre tres opciones principales:

1. Instalar y gestionar la solución EDR internamente

Para instalar y administrar internamente su solución EDR, se deberá seguir una serie de pasos que asegure que el proceso se lleve a cabo de manera efectiva. Primero, es necesario comprar herramientas EDR para obtener una visibilidad profunda de sus terminales. También se necesitará alojar el equipo para la recopilación de datos, ya sea una solución basada en la nube o un enfoque local con infraestructura y requisitos de ingeniería internos.

 

A continuación, se recomienda integrar los datos producidos en su flujo de trabajo existente. Esto puede consistir simplemente en enviar todas las alertas a su sistema de seguimiento o SIEM (Security Information and Event Management), o puede incluso requerir procesos más complejos, como la integración, orquestación y automatización del SIEM. Además, para implementar la capacidad de EDR correctamente, se necesitará recursos de ingeniería y desarrolladores para crear código personalizado, recopilar datos y optimizar el flujo de trabajo.

 

También se deberá crear y actualizar continuamente las reglas de detección y los algoritmos necesarios para detectar amenazas potenciales, que probablemente incluirán investigadores, así como un equipo de analistas para trabajar con falsos positivos y un proceso de investigación y respuesta continuo.

 

Aspectos clave a considerar:

• Contar con los recursos necesarios de infraestructura e ingeniería.
  
  
• Disponer de empleados a tiempo completo para administrar la solución o contratar personal adicional.
  
  
• Contar con un equipo capacitado en habilidades de detección, análisis e investigación de amenazas avanzadas de seguridad.
  
  
• Disponer de un proceso para orquestar y automatizar actividades.
  
  
  

2. Contratar un Proveedor de Servicios de Seguridad Administrados (MSSP)

Los MSSP ofrecen una capa de servicio para implementar capacidades básicas de seguridad y administrar dispositivos tradicionales. Son una forma de garantizar que el personal no se vea abrumado por la gestión de la infraestructura de seguridad y delegar en un equipo externo de expertos las tareas de protección de sus redes y sistemas.

 

La mayoría de los MSSP tiene procesos maduros para la escalada de amenazas, asistencia 24/7 y servicios de respuesta a incidentes y análisis forense. No obstante, a la hora de evaluar proveedores de MSSP que ofrecen servicios de detección y respuesta administradas de endpoints, es fundamental analizar detenidamente para entender qué servicios EDR incluyen.

 

Aspectos clave a considerar:

• Qué servicios EDR incluye el proveedor MSSP.
  
  
• Qué nivel de experiencia en EDR tiene ese proveedor.
  
  
• Si su proveedor tiene una comprensión clara de las capacidades de la herramienta.
  
  
• Si necesita contratar personal interno extra para cubrir puestos faltantes.
  
  
  

3. Contratar un proveedor de MDR

Un MDR (Managed Detection and Response) es un servicio centrado en detectar aquellas amenazas que eluden los controles de seguridad perimetrales tradicionales. Los proveedores de servicios de detección y respuesta administrados generalmente incluyen un análisis en profundidad de los eventos de la red para detectar amenazas y atacantes a lo largo de la cadena de destrucción y herramientas de respuesta para el aislamiento y la reparación inmediatas de los endpoints.

 

Sigue leyendo

6 tips avanzados para proteger tu empresa de los ataques de ransomware

Este tipo de servicios permite aprovechar recursos que son extremadamente difíciles de conseguir en el mercado y evita el compromiso de costo y tiempo para desarrollar la capacidad internamente.

 

Aspectos clave a considerar:

• Qué capacidades de EDR son las más importantes para su departamento de IT.
  
  
• Qué cargas eliminará el proveedor de MDR de su equipo.
  
  
• Cuál es el enfoque más rentable a corto y largo plazo.
  
  
• Si es posible integrar MDR junto con su proveedor MSSP.
  
  
  

4. FortiEDR: La solución EDR emblema de Fortinet

FortiEDR es la única solución de seguridad EDR diseñada para detectar amenazas avanzadas y detener las violaciones y el daño del ransomware en tiempo real, incluso en un dispositivo ya comprometido. Esta herramienta permite al equipo responder y corregir incidentes automáticamente para proteger los datos, mantener el tiempo de actividad de los sistemas y garantizar la continuidad del negocio.

 

Si el equipo de IT decide implementar la solución EDR de Fortinet, es importante considerar los siguientes aspectos antes de iniciar el proceso de instalación:

• Todos los dispositivos, estaciones de trabajo, máquinas virtuales y servidores cumplen con los requisitos necesarios del sistema.
  
  
• FortiEDR Core, FortiEDR Aggregator y FortiEDR Central Manager usan los puertos 555, 8081 y 443, respectivamente. Verificar que estos puertos no estén bloqueados por su Firewall.
  
  
• Como mejor práctica de seguridad, se recomienda actualizar las reglas del Firewall para que solo tengan una apertura estrecha. Por ejemplo:
  
  
• Abrir solamente el puerto de salida TCP 555 a la dirección IP central.
  
  
• Abrir solo el puerto de salida TCP 8081 a la dirección IP del agregador.
  
  
• El modo de implementación predeterminado de los componentes de backend de FortiEDR está en la Nube. Fortinet instala los componentes de la Nube.

 

En CUBE trabajamos con soluciones de seguridad integrada y las nuevas tendencias de IT. Nuestro foco es ayudar a las empresas y equipos de trabajo a asegurar altos niveles de protección y gestionar de forma centralizada su Infraestructura de Networking.

 

¿Tu empresa está buscando una solución EDR para prevenir, detectar y resolver las vulnerabilidades de seguridad de tu red empresarial? ¿Tienes dudas sobre cómo abordarlo?