Endpoint Detection and Response (EDR)

Preguntas frecuentes

• ¿Qué es Endpoint Detection and Response (EDR)?

  EDR (Endpoint Detection and Response) es una solución de seguridad activa para endpoints que supervisa y correlaciona continuamente diferentes eventos en el endpoint para detectar actividades maliciosas, procesos comprometidos y comportamientos sospechosos en los dispositivos de los usuarios finales. Su objetivo es identificar ataques en curso y potenciales incidentes, ataques o vulneraciones de seguridad, y después actuar como un sistema de respuesta con funciones de corrección para resolver el problema.
  
  Según la definición de Gartner, las principales funciones de EDR son:

  • Detectar incidentes de seguridad
  • Contener el incidente en el endpoint
  • Investigar incidentes de seguridad
  • Proporcionar orientación para la corrección

• ¿Quién necesita una solución de detección y respuesta para endpoints?

  En cualquier empresa que sea objetivo potencial de ciberamenazas o que almacene datos valiosos en sus endpoints, la estrategia de protección de los endpoints debe incluir funciones avanzadas de detección de amenazas y herramientas de respuesta para endpoints.
  
  Las pequeñas y medianas empresas corren un riesgo constante de ser víctimas de ciberamenazas avanzadas debido a sus limitadas competencias internas y sus restricciones presupuestarias, lo que complica su acceso a soluciones avanzadas de seguridad para endpoints que, por sus costes y su complejidad, tradicionalmente están dirigidas a grandes corporaciones.
  
  Además, en empresas de todos los tamaños pertenecientes a sectores con elevados requisitos normativos y grandes ciberriesgos —como las de servicios financieros, sanidad, servicios jurídicos, venta online y el sector público—, la tecnología EDR es imprescindible para que la estrategia de ciberseguridad empresarial garantice que se cumplan las normativas y que los datos confidenciales de los endpoints queden fuera del alcance de las ciberamenazas.
  
  Con EDR, puede garantizar la protección de empresas de todo tamaño y nivel de complejidad, gracias a sus servicios de gran valor y adaptables a múltiples clientes.

• ¿Cómo reduce EDR los gastos de explotación frente a otras soluciones EDR?

  Las mejores herramientas y soluciones EDR existentes en su categoría están orientadas a grandes empresas por sus costes, su complejidad y porque precisan grandes equipos de profesionales de seguridad. Además, los analistas de seguridad deben realizar manualmente actividades de caza de amenazas, analizando cientos de líneas de registros y dedicando horas a investigar actividades sospechosas. Aun así, para cubrir el marco del NIST y asegurar la continuidad de la actividad empresarial, hacen falta soluciones y agentes de software adicionales, lo cual incrementa aún más la complejidad y la fragmentación de soluciones.
  
  Al igual que otras herramientas EDR, EDR recopila datos continuamente basándose en eventos de seguridad relacionados, pero después optimiza el análisis activando alertas sobre cualquier incidente potencial y agregando datos en interpretaciones del ataque guiadas según las categorías de MITRE ATT&CK®. Todo ello ayuda a los analistas de seguridad a investigar rápidamente las actividades sospechosas en varios clientes, lo que reduce de horas a minutos el tiempo de investigación y mejora la escalabilidad.
  
  Además, EDR es una solución de seguridad para endpoints integrada en Acronis Cyber Protect Cloud, lo cual ofrece a los administradores ventajas especiales, como la respuesta con un solo clic en todo el marco del NIST, incluida la recuperación. Así se elimina la fragmentación de soluciones y es posible ofrecer una protección exhaustiva para endpoints con un solo agente y una sola consola de Acronis.

• ¿Contra qué tipo de amenazas protege EDR?

  Muchos tipos de ciberamenazas avanzadas pueden sortear otras capas de protección para endpoints, como el software antivirus existente, pero algunas de las más habituales incluyen:

  • Malware y ransomware de día cero: malware o ransomware que se infiltra en el sistema a través de una vulnerabilidad de día cero (una vulnerabilidad aprovechable para la que el proveedor de software no ha publicado todavía ningún parche; la vulnerabilidad puede ser conocida o desconocida). Puede sortear algunas detecciones basadas en comportamientos.
  • Amenazas persistentes avanzadas (APT): ataques que utilizan técnicas de hacking para conseguir acceso no autorizado a un sistema y escapar a la detección durante un periodo de tiempo prolongado, con consecuencias potencialmente destructivas. Normalmente constan de varias fases, como infiltración en el sistema, escalada, desplazamiento lateral y, finalmente, filtración de datos confidenciales. Las amenazas persistentes avanzadas suelen depender de técnicas "living off the land", término que describe el comportamiento del ciberdelincuente que aprovecha las herramientas del entorno objetivo, lo que resulta más difícil de detectar y considerablemente más barato para él.
  • Ataques sin archivos: el malware sin archivos (también denominado fileless) es un tipo de software malicioso que utiliza programas legítimos para infectar un ordenador. No se basa en archivos y no deja rastro, por lo que dificulta la detección y corrección de ataques.
  • Hackeo: es el acto de identificar y después aprovechar vulnerabilidades en un sistema informático o una red, normalmente para obtener acceso no autorizado a datos personales o de una empresa. Dependiendo de las técnicas utilizadas, el hackeo puede ser difícil de detectar, ya que a veces emplea credenciales robadas u otras técnicas para adoptar la apariencia de un proceso perfectamente normal hasta que se produce la filtración, momento en que ya es demasiado tarde para responder.

  
  Para detectar y responder a estas y a otras amenazas avanzadas, hacen falta controles de seguridad más avanzados, como EDR.