Sistemas EDR: qué son y cómo ayudan a proteger la seguridad de tu empresa
Un sistema EDR, acrónimo en inglés de Endpoint Detection Response, es un sistema de protección de los equipos e infraestructuras de la empresa. Combina el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente ante los riesgos y las amenazas más complejas.
Gracias a esta conjunción de elementos y tecnologías permite detectar todos aquellos riesgos y amenazas que pueden provocar de forma silenciosa e inadvertida un incidente de seguridad, poniendo en riesgo la viabilidad de la empresa.
Características de un sistema EDR
Un sistema EDR se caracteriza por aunar varios elementos de detección y de tecnologías, como por ejemplo, la inteligencia artificial y el Big Data, que permiten mejorar de forma programada y autónoma la detección y prevención de amenazas complejas, así como su posterior eliminación o mitigación.
Aunque comparte cometidos con el antivirus tradicional, también conocido como EPP (Endpoint Protection Platform), como son la detección, identificación y la prevención de los efectos de malware, exploits, y en algunos casos, ransomware, esta herramienta además puede detectar amenazas avanzadas, como pueden ser malware de tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social, amenazas persistentes o APT, cuentas comprometidas, etc. En caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder eliminar la amenaza o mitigar sus efectos.
Entre las aplicaciones y herramientas que incorpora, además del antivirus tradicional destacan:
- Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine learning) para mejorar la detección de amenazas.
- Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento de los archivos descargados, por ejemplo.
- Escaneo de IOCs y reglas YARA, que permiten analizar y detectar las amenazas provocadas por amenazas complejas en tiempo real.
- El uso de listas blancas y negras de correos electrónicos, páginas web e IP.
- Interoperatibilidad e interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware.
Los principales fabricantes del mercado de soluciones de seguridad ofrecen este tipo de sistemas en su portafolio de aplicaciones. En el caso de que una empresa no cuente con técnicos o con un Departamento de Informática, siempre tiene la posibilidad de subcontratar este servicio a un proveedor o contratar el servicio completo con el fabricante.
Ventajas e inconvenientes
Esta herramienta contiene una serie de ventajas y fortalezas frente a los antivirus tradicionales o EPP, como por ejemplo:
- Recopila información exhaustiva y detallada de las características del dispositivo, como información del sistema operativo, del hardware o los procesos activos, entre otros datos.
- Permite recopilar y almacenar información de forma automática, así como crear patrones de detección automatizados, facilitando el trabajo de detección.
- Monitoriza la integridad de los sistemas y de los archivos de configuración claves, avisando en caso de modificación o acceso a los mismos por actores sospechosos.
- Permite localizar en un solo punto toda la información, posibilitando en caso de incidente la realización de una investigación de forma rápida.
Por el contrario, esta herramienta muestra las siguientes debilidades:
- En algunos casos no permite evaluar y comprobar aquellos dispositivos con sistemas operativos no soportados por la herramienta.
- Su configuración y puesta en marcha es más complicada de realizar que en el caso de un antivirus tradicional.
- Su uso puede provocar fatiga, debido al constante flujo de información y notificación de las propias alertas configuradas, así como de los falsos positivos y negativos que puedan darse.
- En ocasiones no permite monitorizar y analizar las conexiones cifradas.
- La inversión para implantar esta herramienta supone un importe más elevado que en el caso del antivirus tradicional o EPP.
Diferencias respecto a los antivirus tradicionales
Respecto a los antivirus tradicionales, aunque han evolucionado de forma considerable en los últimos años gracias a estos, solo localizan amenazas de malware tradicional, es decir, virus, troyanos y gusanos. Son ineficaces ante la detección de ataques más complejos, en los que se mezclan la ingeniería social junto con los fallos humanos de los empleados, así como las técnicas más complejas (vulnerabilidades 0-day, ransomware, cuentas comprometidas, amenazas persistentes, etc.) en las redes de la empresa, lo que puede provocar que sean más difíciles de detectar y controlar, con los consecuentes daños económicos y reputacionales para la empresa.
En definitiva, usar este tipo de herramientas, aunque puede suponer un gasto inicial más elevado, ofrece una serie de ventajas que permiten amortizar dicha inversión rápidamente gracias a sus características y tecnologías incorporadas, reduciendo así ostensiblemente los efectos perniciosos de ataques más sofisticados contra las infraestructuras digitales de la empresa.
Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.