Qué son las herramientas EDR y cómo ayudan a mejorar la seguridad informática de las empresas

• Las herramientas EDR permiten tener una visión global y en tiempo real del estado de la seguridad de los endpoints empresariales.
• Se integran como una capa adicional a las soluciones de protección de los endpoints.
• No importa si la empresa no cuenta con departamento de TI propio o infraestructura propia, el soporte 24/7 de la herramienta EDR puede extenderse al despliegue y migración de estas herramientas.

Las empresas han sido uno de los objetivos prioritarios de los ciberdelincuentes, por lo que cada vez se necesitan herramientas más sofisticadas con las que protegerlas y mejorar la eficiencia en la gestión de todos los equipos. Estas herramientas quedan englobadas bajo las siglas EDR o Endpoint Detection and Response. Estas herramientas actúan como un HUB que conectan a todos los equipos de la empresa para gestionar y analizar las amenazas y políticas de protección desde un solo panel de control.

Los Endpoints son los equipos finales o, dicho de otra forma, los equipos que utiliza todo el personal de la empresa para llevar a cabo su trabajo. Cada uno de esos equipos cuenta con su propio sistema de protección avanzada que se encarga de proteger la seguridad de la empresa en la operativa cotidiana de la empresa: mientras el usuario está navegando, cuando recibe un correo, cuando descarga archivos, etc.

Las soluciones de protección para endpoints son la primera línea de defensa frente a todo tipo de ataques por ransomware, malware o robo de credenciales a los que las empresas se encuentran constantemente expuestas.

¿Qué son las soluciones EDR y para qué sirven?

Las soluciones EDR son recursos para luchar de forma global contra todas esas amenazas contra la seguridad informática de las empresas.

Las herramientas EDR actúan en varias áreas de la seguridad informática haciendo más eficientes los sistemas de alerta temprana, mejorando la capacidad de respuesta a los ataques gracias a la administración centralizada de todos los equipos corporativos y la compartición de información de lo que sucede en cada uno de los endpoints.

Por ejemplo, si uno de ellos sufre un intento de instalación de algún tipo de malware desde un archivo adjunto, ese archivo se bloqueará para el resto de los equipos empresariales para evitar la amenaza.

En pocas palabras, las soluciones EDR ofrecen una fotografía más global de la seguridad empresarial, permitiendo detectar vulnerabilidades que pueden pasar inadvertidas cuando se producen en un solo equipo, pero que pueden convertirse en una seria amenaza cuando se replica en otros equipos y se mira desde un punto de vista global.

Las soluciones EDR se implementan como una capa adicional a los sistemas de seguridad para endpoints que ya se han instalado en los equipos corporativos, servidores de correo, etc.

Cómo funciona una solución EDR

Decir que una solución de seguridad mejora la detección de amenazas y agiliza la aplicación de soluciones es casi una obviedad, por lo que lo mejor es ver un ejemplo de cómo actúan estas herramientas.

ESET es una empresa europea con más de 30 años de experiencia en el desarrollo de soluciones de seguridad y cuentan en su catálogo de soluciones EDR con ESET Dynamic Threat Defense y ESET Enterprise Inspector.

Cada una de ellas realiza una tarea diferente dentro de lo que se considera en ámbito EDR. Por ejemplo, como su propio nombre indica, ESET Dynamic Threat Defense está más orientado a la detección de potenciales amenazas que todavía no han sido registradas y que, por lo tanto, no existe una herramienta específica para luchar contra ellas. Son las conocidas como Zero Days.

Cuando ESET Dynamic Threat Defense está activo, monitoriza la actividad de los endpoints donde realiza un cribado de archivos clasificándolos como seguros, peligrosos o como desconocidos. El sistema no duda cómo actuar ante los archivos clasificados como seguros o como peligrosos y directamente los bloquea o admite según su condición, pero ¿y los que marca como “desconocidos”?

Cuando detecta archivos sospechosos en uno de los endpoints de la empresa, como un archivo adjunto sospechoso, automáticamente lo envía a la nube, donde una inteligencia artificial lo aísla en un entorno de pruebas emulado, y lo ejecuta imitando el comportamiento que tendría un usuario (ejecutar, aceptar permisos, etc.) mientras un sistema de machine learning observa y aprende del comportamiento de la amenaza.

Tras esa observación se determina si finalmente es seguro, o por el contrario es potencialmente peligroso, por lo que se toman medidas al respecto bloqueando ese archivo en todos los equipos de la empresa. De ese modo, cuando la solución de seguridad instalada en cualquiera de los endpoints detecte de nuevo ese archivo, directamente lo bloqueará impidiendo su ejecución.

Es decir, un archivo que ha sido detectado en un solo equipo, ha servido para poner en alerta al resto de equipos de la empresa evitando que esa amenaza pueda afectar a cualquier otro equipo de la empresa.

ESET Enterprise Inspector, cuando las amenazas no viajan en archivos

La sofisticación de los ataques informáticos es cada vez mayor, y ante la eficiencia de los sistemas de protección de endpoints, los ciberdelincuentes deben agudizar el ingenio para intentar romper las barreras de seguridad.

Esto ha hecho que aumenten el número de lo que comúnmente se conoce como ataques sin archivos, una técnica de ataque en la que no es necesario descargar un archivo adjunto o ejecutar la macro de un documento, sino que todo el proceso se realiza mediante fragmentos de código desde el navegador o desde vulnerabilidades en aplicaciones de terceros.

La ausencia de un archivo que sirva de vector de ataque complica la identificación de una amenaza que todavía permanece latente. Por ese motivo, ESET Enterprise Inspector permite analizar la gran cantidad de datos que recibe desde los endpoints de la empresa centrándose en los pequeños cambios en el registro, monitorizando los procesos para, al mínimo síntoma de anomalía analizar todos los datos relacionados reaccionando como un sistema de alerta temprana frente a amenazas que todavía no se han manifestado.

Leer más: Las copias de seguridad son la clave para mejorar la resiliencia de las empresas

Este sistema podría, por ejemplo, alertar de la propagación de un ransomware que, de forma sigilosa para permanecer indetectable, se infiltra hasta el corazón de una red empresarial, asegurándose el acceso incluso a los sistemas de copia de seguridad para, llegado el momento, abrir la Caja de Pandora que desata el caos en la red de ordenadores de toda la empresa cifrando su contenido.

Una herramienta EDR avanzada como ESET Enterprise Inspector no sabría en un primer momento que se trata de un ataque con ransomware, pero el comportamiento anómalo de esta amenaza latente ya habría activado todos los sistema de alerta temprana evitando su avance y neutralizando su ejecución llegado el momento.

Seguridad al alcance de todas las empresas

Uno de los principales problemas a los que se enfrentan las empresas a la hora de llevar a cabo el despliegue de un sistema de protección integral de los endpoints es la falta de personal especializado en este tipo de soluciones, su despliegue y el análisis de los datos que ofrece.

Por ese motivo, nadie mejor que técnicos especializados y certificados en el uso de esas herramientas para desplegar, migrar y configurar las soluciones EDR en las empresas, ofreciendo un nuevo servicio de soporte completo en el que no se limitan a ayudar al departamento TI interno sino que, en ausencia de este, incluso pueden realizar todo el despliegue y puesta en marcha de la herramienta. Además, desde el propio soporte técnico puede realizarse la monitorización de las soluciones EDR alertando a los clientes 24/7.

Esto supone una gran ventaja para pequeñas y medianas empresas que, sin contar con infraestructura suficiente o un departamento de TI propio, pueden acceder a las mejores herramientas de seguridad informática para sus redes.