Esta es un pregunta que muchos lideres de IT aun se hacen. A pesar de los grandes esfuerzos que se tienen para mantener las empresas protegidas, la percepción al final es que siempre hay algo por hacer. Así como las amenazas de seguridad evolucionan, maduran y mutan, también los mecanismos de defensa. Esto es una competencia constante, en donde los jugadores (malos y buenos) buscan ser el Goliath de la carrera.
Se pone peor aún, cuando en Latinoamérica existen empresas que piensan que solo con tener un firewall en el perímetro y un antivirus tradicional (que muchas veces es freeware), tienen toda la organización, su información y sus usuarios protegidos y blindados.
Hasta la fecha, casi dos tercios de las organizaciones a nivel mundial han sido vulneradas de alguna forma (según 451 Group. (2019). Thales Data Threat Report.) de los cuales, al 56% de los casos les ha tomado semanas, meses o inclusive más tiempo, para descubrir lo que paso, lo que les afecto y lo que perdieron. Siempre hay que tener claro, que entre más tiempo pase inadvertida la empresa frente a un ataque, más costoso le será en términos de dinero, tiempo y reputación.
Esto ha generado como consecuencia, mayores niveles de incidencias y de amenazas en el mundo.
Fernando Pinillos
Con el aumento del uso de la Dark Web y la capacidad de los ciberdelincuentes para compartir y vender herramientas y tácticas sin ser rastreados, se ha acrecentado el comercio de herramientas de ransomware y hacking, creándose una microeconomía alrededor de los delincuentes en línea. Esto ha generado como consecuencia, mayores niveles de incidencias y de amenazas en el mundo. Esta claro, que cuando nació la criptomoneda, resolvió un gran problema para estos grupos maliciosos.
Mas allá de todo este escenario, está la capacidad de respuesta de las herramientas de seguridad que se utilizan para proteger los endpoints. Muchas veces me he topado con empresas donde sus antivirus no logran controlar una amenaza de malware; donde han perdido información porque un ransomware afecto un disco de uno de sus servidores o cuando a través de phishing, les llega un “fileless malware” a un endpoint que compromete el sistema. Estos eventos son más comunes de lo que nos imaginamos, pero lo peor de todo, es que suceden estando las empresas “protegidas”.
Los antivirus tradicionales trabajan con firmas de virus y con técnicas de sandboxing, que a la final logran entregar, unos mejores que otros, protección contra amenazas conocidas y desconocidas. Para lograr contención y prevención buscando romper el ciclo de vida de un ciberataque, valen la pena, claro que sí. Pero que pasa si llega un ataque avanzado que logra engañar al antivirus? La respuesta seria obvia. Aquí, es cuando entra a brillar la tecnología EDR.
EDR es el acrónimo de Endpoint Detection & Response y consiste, en soluciones diseñadas para complementar y reforzar la protección de endpoints tradicionales (antivirus, antimalware, antirootkits y similares) con capacidades avanzadas de detección y respuesta. Estas herramientas se convierten en la siguiente capa de seguridad cuando la defensa preventiva de los antivirus no puede contener un ataque avanzado, o que debido a una brecha de seguridad por no haber aplicado un parche, un atacante alcanza a inyectar código sin ser percibido. Para estos escenarios, las soluciones EDR toman un rol protagónico.
El EDR se está volviendo cada vez más importante para luchar contra los ciberataques, dándole la posibilidad a las empresas de auto gestionar su defensa, y contar con la telemetría necesaria para entender lo que esta sucediendo en tiempo real. Con los EDR, se puede tener visibilidad, forénsica y remediación frente a las tácticas, técnicas y procedimientos (TTP) usados comúnmente en ataques dirigidos, tales como:
- Acceso inicial
- Ejecución
- Persistencia
- Escalada de privilegios
- Evasión de defensa
- Acceso a credenciales
- Descubrimiento
- Movimiento lateral
- Recolección
- Comando y control
- Ex filtración
- Ejecución e impacto
Esta capacidad y visibilidad definitivamente no se logra con herramientas tradicionales de protección de endpoints.
Como trabaja un EDR
Los EDR trabajan básicamente recolectando gran cantidad de datos de análisis de comportamiento, tales como:
- Procesos ejecutados en memoria
- Llamadas a procesos desde ejecutables no estándares
- Conexiones de red
- Operaciones con archivos
- Actividad anormal en los aplicativos
- Ejecución de scripts inesperados
Esta recolección la hace a través de sensores ligeros instalados en las estaciones de trabajo y servidores, para luego enviarlos a un Dashboard en nube, donde por medio de análisis avanzado usando Machine Learning, se correlacionan todos los eventos contrastándose con indicadores de contexto y amenazas, permitiendo así, entregar de manera filtrada la visibilidad necesaria para investigar y entender el ataque, respondiendo con remediaciones automatizadas o controladas.
No todas las herramientas EDR trabajan igual, ya que existen soluciones que utilizan el concepto de ActiveEDR, donde además de lo antes descrito, se apoyan con Inteligencia artificial de lado del endpoint para tener una autogestión en los dispositivos, en caso de que se pierda la conexión al internet y por consiguiente no se tenga comunicación con el dashboard. Esto permite, lograr mantener la protección disponible e inclusive automatizar las actividades de remediación a nivel de endpoint.
Todo esto hace que los EDR no dependan de una base de datos de firmas de virus y su actualización constante, haciéndola una solución muy ligera y con muy poco consumo de recursos en los dispositivos.
Ahora bien, por donde empezar.
Lo primero a considerar es que no necesariamente se tiene que deshacer de su antivirus tradicional. Si hasta la fecha le ha hecho el trabajo y esta satisfecho con el servicio del fabricante, manténgalo, solo enfóquese en reforzar su capacidad de detección y respuesta a las nuevas y avanzadas amenazas de seguridad (ataques dirigidos, phishing, social engineering, zero-day exploits) a través de una solución de EDR.
Por otro lado, si ese no fuese el caso, permítase en evaluar una nueva solución integral y holística que combine funcionalidad de EPP (Endpoint Protection Platform) y EDR (Endpoint Detection & Response). De esta manera, conseguirá una integración nativa y un trabajo orquestado y fluido entre los componentes de la infraestructura, logrando el mejor de los resultados: La mejor protección posible a su base instalada de endpoints.
Apóyese en un MSSP especializado de ser necesario, contando con atención 24/7 de monitoreo, administración, mantenimiento y soporte técnico para la solución, asegurando así, que sus endpoints siempre tengan un monitoreo y una gestión constante. Busque la tranquilidad que necesita.
Entre a la nueva era de la ciberprotección, proteja sus activos, cuide su información y mantenga su reputación.