Son muchos los cambios que ha sufrido el cibercrimen en los últimos años. Los tradicionales ataques basados en malware han dejado paso a avanzadas técnicas que no requieren de ningún fichero, a la posibilidad de que cualquiera por un precio irrisorio pueda incluso contratar ataques dirigidos bajo demanda o del empleo de ataques de día cero indetectables para la mayoría de las tecnologías del mercado.
Estos cambios son ya una realidad fehaciente y nos afectan día tras día. A nosotros y a nuestras organizaciones. Se ha llegado en este aspecto a una curiosa persecución entre los buenos y los malos en la que por muy rápido que avance la tecnología los cibercriminales son más ágiles y rápidos para esquivar cualquier mecanismo que se les ponga por delante.
De entre todos los avances que se han producido en los últimos tiempos hay uno que está cambiando el paradigma de protección en el puesto de trabajo pasando de un concepto de protección a uno de respuesta. Estamos hablando de las soluciones EDR (Endpoint Detection and Response).
Las soluciones EPP (Endpoint Protection), los tradicionales antivirus basados en firmas a los que estamos acostumbrados, hace tiempo que dejaron de ser suficientes. Han sido durante muchos años un mecanismo de seguridad considerado mínimo para cualquier organización pero a medida que las técnicas del cibercrimen han evolucionado las soluciones de protección lo han tenido que ir haciendo junto a ellas.
¿Qué aporta una solución EDR frente a un Endpoint tradicional?
Los EDR aportan una serie de significativas mejoras frente a los enfoques EPP tradicionales. Entre ellas, éstas son las más destacadas:
- Prevención: gracias a potentes motores de análisis de Machine y Deep Learning las soluciones EDR permiten detectar las amenazas en base a patrones de comportamiento permitiendo determinar focos de amenaza antes incluso de que las mismas se detonen en la máquina.
- Respuesta: las soluciones EDR están diseñadas no sólo para prevenir las amenazas si no para aplicar los mecanismos de respuesta más adecuados en base a cada situación.
- Investigación: otro aspecto diferencial de las soluciones de EDR es la capacidad de almacenar toda la actividad de los puestos de trabajo de cara a facilitar las labores forenses requeridas después de un incidente.
¿Qué tipo de respuesta pueden generar?
Quizás lo más interesante de estas soluciones sea entender qué tipo de mecanismos ponen a nuestra disposición para responder frente a una determinada amenaza. Como es lógico cada fabricante tiene sus capacidades, pero es interesante analizar en su conjunto alguna de las principales.
- Aislamiento: con este mecanismos podemos conseguir que uno o varios equipos infectados queden desconectados de la red de cara a evitar movimientos laterales y posibles nuevas infecciones
- Borrado de ficheros: en el momento en el que se detecta una potencial amenaza estas herramientas permiten no sólo borrar el fichero origen de la misma si no actuar sobre el resto de máquinas que tengan dicho fichero para evitar que se generen nuevas amenazas
- Blacklist: en este caso lo que permiten estas soluciones es añadir las direcciones IP origen o destino de un ataque a una lista negra que evita que ningún otro equipo pueda acceder o ser accedido desde las mismas
- Rollback: este mecanismo está muy vinculado con ataques tipo ransomware y lo que permiten es llevar a cabo una recuperación de los ficheros que hayan podido ser encriptados durante un ataque de este tipo
Como suele ocurrir con muchas otras herramientas tecnológicas uno de los caballos de batalla a los que se enfrentan las soluciones EDR es la capacidad que tienen los clientes para dedicar recursos a la gestión de la valiosísima información que estos sistemas son capaces de generar. En su origen las soluciones EDR eran soluciones destinadas a Centros de Operaciones de Seguridad (SOC) donde un ejército de expertos ingenieros podían analizar todas las causas de cada ataque o potencial ataque para en base a ellas determinar mecanismos de protección y respuesta.
Los fabricantes conocedores de esta circunstancia están facilitando interfaces de gestión que buscan la sencillez y que el usuario pueda en un par de clicks disponer de toda la información necesaria para una toma de decisiones, pero desde luego este tipo de soluciones son un claro ejemplo del valor añadido que puede aportar un servicio gestionado.
Como conclusión las soluciones EDR son una solución óptima (que no nueva) para adaptar los mecanismos de seguridad empresarial a las nuevas amenazas que nos rodean. Son sin duda alguna una obligación para cualquier corporación que quiera definir una estrategia de seguridad completa y adaptada a la realidad de un mundo digital cuyos mecanismos de ataque avanzan mucho más rápido que nuestras defensas.