This post is also available in: Português Español
Una pregunta cada vez más frecuente en el mundo de la seguridad digital es: ¿Cuáles son las diferencias entre el EDR y un antivirus convencional? De manera resumida, Se podría decir que EDR es la evolución del antivirus, actuando como una especie de sustituto. Por eso, EDR comienza a ganar notoriedad en un contexto en el que las empresas pasaron décadas invirtiendo en paquetes de antivirus con la esperanza de resolver los desafíos de la seguridad corporativa. Pero a medida que la complejidad de las amenazas de malware evolucionaban, las deficiencias de los antivirus se hicieron muy evidentes.
Por lo tanto, para proteger adecuadamente a la empresa, es importante comprender más profundamente la diferencia entre el EDR y el antivirus tradicional. Estos dos enfoques de seguridad son fundamentalmente diferentes con distintos niveles de eficacia.
La cuestión es que hace unos años era posible contar con los dedos la cantidad de malwares que aparecían por día. Fue una época en la que los antivirus ofrecían a las empresas una forma de bloquear el malware examinando los archivos a medida que se escribían en los HDs de los ordenadores. Si el archivo era «conocido» por la base de datos de archivos maliciosos, el software impediría la ejecución del malware.
La base de datos de los antivirus convencionales consisten en un conjunto de firmas. Estas firmas pueden contener hashes de un archivo de malware y/o reglas que contienen un conjunto de características que el archivo debe cumplir. Estas características generalmente incluyen strings legibles por humanos o secuencias de bytes que se encuentran en el ejecutable del malware, tipo de archivo, en el tamaño del archivo, entre otras formas de metadados de archivo.
Estas verificaciones son del tipo post-infección, y se añadieron a muchos productos antivirus después de que la avalancha diaria de nuevas muestras de malware empezara a desbordar la capacidad de los proveedores de antivirus para mantener sus bases de datos actualizadas.
Ante el descenso de la eficacia de este enfoque antivirus, algunos proveedores han intentado complementar el producto con otros servicios, como el control del firewall, cifrado de datos, listas de permisos y bloqueos de procesos y otras herramientas. Conocidas genéricamente como «EPP» o Endpoint Protection Platforms, estas soluciones siguen basándose en firmas.
Características del EDR
Mientras que todas las soluciones AV se centran en los archivos potencialmente peligrosos que se introducen en el sistema, un EDR se concentra en recolectar datos del endpoint y en el análisis de tales datos, en busca de patrones maliciosos o anormales en tiempo real. Como indica su nombre, la idea de un sistema EDR es detectar una infección e iniciar una respuesta. Mientras más rápido un EDR puede realizarlo sin intervención humana, más eficaz será.
Un buen EDR también incluye funciones para bloquear archivos maliciosos, pero lo importante es que los EDR reconozcan que no todos los ataques modernos están basados en archivos. Además, ofrecen a los equipos de seguridad funciones esenciales que no se encuentran en los antivirus, incluyendo respuestas automatizadas y visibilidad profunda de las modificaciones en archivos, creaciones de procesos y conexiones de red que ocurrieron en el endpoint. Estas modificaciones son vitales para la búsqueda de amenazas, respuestas a incidentes y el análisis forense digital.
Las trampas de los antivirus
Hay muchas razones por las que las soluciones antivirus no pueden seguir el ritmo de las amenazas a las que se enfrentan las empresas hoy en día. En primer lugar, como ya se ha dicho, el número de nuevas muestras de malware que se ven a diario es mayor que el número que cualquier equipo humano pueda rastrear.
En segundo lugar, la detección mediante firmas antivirus puede ser fácilmente eludida por los actores de la amenaza, incluso sin reescribir su malware. Como las firmas se centran sólo en algunas características del archivo, los cibercriminales han aprendido a crear programas maliciosos con características variables, algo que se conoce como malware polimórfico. Los hash de los archivos, por ejemplo, son una de las características más fáciles de alterar, además las strings internas también se pueden aleatorizar, ofuscar y cifrar de forma diferente en cada compilación del malware.
En tercer lugar, los agentes de amenazas con motivación financiera – operadores de ransomwares – han ido más allá de los simples ataques de malware basados en archivos. Los ataques en memoria o sin archivos se han convertido en algo común, y los ataques de ransomware operados por humanos pueden llevar a comprometer y perder la propiedad intelectual a través de la exfiltración de datos sin que se active nunca una detección basada en firmas antivirus.
Beneficios del EDR
Por su enfoque en proporcionar visibilidad a los equipos de seguridad de empresas, junto con respuestas de detección automatizadas, el EDR está mejor equipado para hacer frente a las amenazas actuales y a los desafíos de seguridad que representan.
Al centrarse en la detección de actividades inusuales y proporcionar una respuesta, el EDR no se limita a detectar las amenazas basadas en archivos conocidos. Por lo contrario: la principal propuesta del EDR es que la amenaza no necesita definirse con precisión de la misma manera que con las soluciones antivirus. Una solución EDR puede buscar patrones de actividad inesperados, inusuales y no deseados, emitiendo una alerta para que un analista de seguridad proceda a un análisis más profundo.
Además, como los EDR funcionan recogiendo una amplia gama de datos de todos los endpoints protegidos, ofrecen la oportunidad de visualizar estos datos en una interfaz centralizada e intuitiva. A continuación, es posible tomar estos datos e integrarlos con otras herramientas para un análisis más profundo, ayudar a crear la postura global de seguridad de la empresa, definiendo lo que podría ser un posible ataque futuro. Los datos completos de un EDR también pueden permitir la búsqueda y el análisis retrospectivo de amenazas.
¿Demasiadas alertas?
A pesar de todas esas ventajas, algunas soluciones de EDR no están teniendo el impacto que los equipos de seguridad corporativa esperaban, porque requieren una gran cantidad de recursos humanos para su gestión: recursos que generalmente no están disponibles debido a las limitaciones de personal o de presupuesto.
En vez de disfrutar de mayor seguridad y darle menos trabajo a sus equipos de TI y seguridad, muchas empresas que han invertido en EDR se han encontrado simplemente reasignando recursos de una tarea de seguridad a otra: Desde la detección de dispositivos infectados a la detección de una montaña de alertas EDR.
Pero eso puede ser diferente, ya que la diferencia más resaltante del EDR es su capacidad para mitigar las amenazas de forma autónoma sin necesidad de intervención humana. Al aprovechar el poder del aprendizaje automático y la inteligencia artificial, el EDR alivia la carga de los equipos de seguridad y es capaz de mitigar de forma autónoma los eventos en el endpoint sin depender de los recursos de la nube.
Esto significa que las amenazas se mitigan a la velocidad de la máquina -más rápido que cualquier análisis remoto en la nube- y sin esfuerzo humano.
Implementación
La elección del EDR adecuado requiere comprender las necesidades de la empresa y las características del producto que se ofrece. También es importante realizar pruebas, asegurándose de que éstas tienen aplicación en el mundo real. ¿Cómo será usado ese producto por su equipo día a día? ¿Es fácil de aprender? ¿Seguirá protegiendo su empresa cuando los servicios en la nube de los que depende estén offline o inaccesibles?
También es importante tomar en cuenta la implementación y su lanzamiento ¿Podrá automatizar la implantación en todo el sistema? ¿Y la compatibilidad de plataformas? ¿Da el proveedor elegido la misma importancia a Windows, Linux y macOS? Al fin y al cabo, todos y cada uno de los puntos finales deben estar protegidos, sin excepciones.
A continuación, hay que pensar en la integración. La mayoría de las empresas tienen un montón de softwares complejos. A continuación, hay que analizar si la solución presentada ofrece una amplia integración, sencilla, con otros servicios en los que el equipo ya confía.
Sea como fuere, es esencial tener en cuenta que los actores de las amenazas hace tiempo que han superado a los antivirus. Las empresas deben tener en cuenta que estos productos ya no son suficientes contra las amenazas actuales. Basta ver el número de reportajes sobre empresas que sufren ataques como el ransomware, a pesar de haber invertido en controles de seguridad, pero quizás no de la forma adecuada. El EDR ayuda entonces a garantizar que la empresa sea capaz de defenderse no sólo de los ataques ya conocidos, como lo hace el antivirus clásico, pero también tiene como evitar los ataques del presente y del futuro antes de que se produzcan.
¿Tiene alguna pregunta? Hable con nuestros expertos.
This post is also available in: Português Español
