EDR Endpoint Detection and Response

Definición de EDR

EDR (Endpoint Detection and Response) es una herramienta que proporciona monitorización y análisis continuo del endpoint, dispositivo informático en remoto, que es y la red. La finalidad es identificar, detectar y prevenir amenazas avanzadas (APT) con mayor facilidad.

EDR combate amenazas avanzadas y responde a incidentes en los puntos finales de la red. Combina características como el análisis de comportamiento, bloqueo de comportamiento, control de aplicaciones y listas blancas de aplicaciones, monitorización de la red y respuesta a incidentes. Si bien es posible encontrar herramientas específicas de seguridad que ofrezcan servicios similares, como es el caso de los antivirus, proporciona detalles que permiten ofrecer una respuesta más rápida.

Tareas del EDR

• Mejorar la visibilidad de los comportamientos y procesos en el punto final.
• Administrar los activos físicos y de información.
• Mejorar la respuesta.
• Ayuda con la recopilación de datos para proporcionar a TI análisis de dispositivos.

Funcionamiento

El EDR es más efectivo que un antivirus debido a que utiliza técnicas avanzadas que el antivirus no como alertas generadas a través de sistemas externos, rastreadores del origen del problema que investigan su evolución o herramientas cuya función es eliminar los ficheros infectados, al ponerlos en cuarentena hasta que vuelven a su estado original y no dañado.

También monitoriza la actividad de los endpoints y realiza una clasificación de los archivos según sean seguros, peligrosos o desconocidos. Cuando detecta archivos sospechosos o desconocidos automáticamente lo envía a la nube. Ese archivo queda aislado, y lo ejecuta imitando el comportamiento que tendría un usuario. Mientras, un sistema observa y analiza el comportamiento de la amenaza y, tras un periodo de tiempo, se determina si es seguro o peligroso. Si se considera peligroso, se bloqueará en todos los endpoints. Por ende, si en el futuro se detecta de nuevo ese archivo se bloqueará.

Características claves del EDR

• Detección. Gracias a que utilizan inteligencia artificial pueden reducir la tasa de falsos positivos. Los equipos optimizan los recursos que son claves y se centran en actividades TI importantes en lugar de un gran número de alertas y falsos positivos. Es una herramienta diseñada para detectar y responder ante variedad de amenazas.
• Contención. El EDR permite que las amenazas se bloqueen de manera avanzada al tener la capacidad de detectarlas rápido y actuar contra los ataques en el mismo momento en que se están produciendo.
• Investigación. Esta herramienta da una respuesta rápida y precisa ante las amenazas como se ha mencionado. El objetivo del EDR es el de detener el ataque para volver a la normalidad lo más pronto posible.
• Eliminación. Reparan el dispositivo que ha sufrido la amenaza, eliminándolo y volviendo al estado original, asegurando que el mismo problema no volverá a suceder en el futuro.

Beneficios

• Anticipación a los ataques. Gracias al modelo de prevención  (pre- infección) y de detección (post-infección) se analizan patrones de comportamiento y es posible anticipar amenazas.
• Menor tiempo de exposición. Debido al enfoque reactivo se actúa en cuestión de pocos segundos o minutos.
• Visibilidad de las amenazas. La investigación guiada facilita la comprensión del origen de los ataques, la ruta que siguen, el impacto o quién se ha visto afectado y cómo responder.