Como te contamos en una entrada anterior, un EDR es, en pocas palabras, una herramienta que proporciona monitoreo y análisis continuo de una terminal y su red, con el fin de detectar amenazas avanzadas. Esta herramienta se puede pensar como una evolución natural de los antivirus tradicionales, pensada para implementarse en SOCs y empresas de gran magnitud y alcance; sin embargo, con los cambios de estrategia que muchos criminales han tomado, donde utilizan empresas pequeñas y medianas como catapulta para llegar a sus objetivos finales a lo largo de la cadena de distribución, la implementación de una herramienta de detección y remediación mucho más robusta se ha vuelto común en todos los niveles de casi todas las industrias. Esto se potencia con la creciente dependencia a dispositivos interconectados, no solo del tipo IoT, sino las mismas redes a través de las cuales trabajamos, nos comunicamos y usamos para intercambiar información, pues multiplican los posibles vectores de entrada.
¿Cuáles son las diferencias entre los EDR y los Antivirus?
Campo de acción
De forma evidente, los antivirus, dado que en su mayoría están pensados como soluciones para usuarios finales, son programas mucho más simples y con un espectro y campo de acción limitados. En este sentido, uno puede considerar que algunas de las funciones clave de un antivirus ya son parte intrínseca de un EDR. A nivel de presentación, los antivirus son soluciones únicas, que fungen como un solo programa que escanea, detecta y remueve malware; en este sentido, un EDR está conformado por múltiples soluciones, cada una con un propósito determinado, aunando a las acciones que los antivirus suelen implementar, por ejemplo: herramientas de control de red y conexiones, herramientas de monitoreo de redes, visualización de sistemas y generación de alertas, análisis de logs y etc... Estas herramientas integradas, permiten generar una solución de seguridad robusta contra amenazas contemporáneas avanzadas. Dado que un EDR no está basado en un solo dispositivo, sus funciones son ejercidas a manera de servidor, el cual tiene acceso y control sobre todos los dispositivos de la empresa. Es decir, su campo de acción, tanto en soluciones como en terminales, es mucho más amplio y uniforme.
Centraliza tu seguridad
El perímetro de las empresas ha cambiado de forma exponencial. Las conexiones ya no se realizan de forma centralizada y se accede a la red interna desde muchos dispositivos, los cuales no siempre son gestionados o administrados por la empresa. Los antivirus, dado su funcionamiento, son programas descentralizados, es decir, actúan de manera local en la terminal donde se encuentran. Aunque esto puede ser positivo en un microecosistema, viendo la imagen completa se nota una falla fundamental: cada dispositivo administra su seguridad de forma individual, dejando de lado el bienestar global del perímetro empresarial. Esto lo vuelve ineficiente para el contexto actual.
Los EDR fungen de manera centralizada, es decir, concentran los intercambios de información de todos los dispositivos de tu red con el fin de detectar aquellas vulnerabilidades que pueden penetrar tu ecosistema. La herramienta clave de esto es el monitoreo: al saber quiénes y desde dónde se conectan a tu red, podrás determinar los factores de riesgo que cada una de estas conexiones implica, así como el estado de los dispositivos que integran tu perímetro digital.
Capacidad para encontrar amenazas
Los ataques se vuelven cada vez más complejos y las amenazas que los criminales utilizan son más avanzadas y persistentes. Su motivo es claro: quieren pasar desapercibidos el mayor tiempo posible e incluso, después de ello, permanecer en el sistema de forma invisible. Un antivirus tradicional no tiene la capacidad para detectar amenazas complejas, pues los antivirus suelen funcionar a través de las huellas que el malware suele poseer al momento de ejecutarse: las nuevas amenazas están pensadas para actuar de forma específica en el objetivo que desean atacar.
Un antivirus, por más robusto que sea, no está pensado para encontrar las amenazas escritas para adaptarse a los sistemas que penetran, pues esta clase de comportamientos no pueden ser almacenados en una base de datos.
Contrario a éstos, los EDR funcionan a través de monitoreo, análisis de comportamiento y análisis digital forense, lo que potencia las capacidades de respuesta a incidentes, investigaciones e identificación de amenazas específicas.
Visibilidad total de amenazas
Dada su programación, los antivirus carecen de la capacidad para responder a algunos tipos de ataque, como los de día cero, ataques de ransomware y los ataques sin malware. Los de día cero son aquellos ataques que explotan la vulnerabilidad en alguna solución de seguridad el mismo día en que ésta es descubierta, por lo que las herramientas no tienen la capacidad de detener los códigos maliciosos que penetren a través de ésta. Por su parte, muchos de los ataques de ransomware ocurren a partir de la descarga de algún archivo aparentemente legítimo, lo que imposibilita que las soluciones de antivirus lo reconozcan como una amenazas. Finalmente —y los más complejos— son los ataques sin malware, los cuales ocurren como una alteración a programas legítimos ya instalados en los dispositivos —como lo que ocurrió con el ataque a SolarWinds y el gobierno estadounidense.
Las soluciones EDR tienen la capacidad de detectar esto y más, pues conjuntan la inteligencia artificial con el registro de comportamientos de la red, para poder determinar, de manera segura, si algo corresponde a un ataque o no.
Las herramientas más robustas para protegerte
Un plan de Respuesta a Incidentes implementa por naturaleza un EDR dentro de los servicios de monitoreo, con el fin de obtener visibilidad y detectar anomalías a través de todas tus terminales y estaciones de trabajo, desde el instante en el que una amenaza penetra a una red y antes de que logre causar daños o transmitir información.
Soluciones como esta pueden ser desplegadas por el Centro de Respuesta a Incidentes de Nordstern-Kaspersky, cuyo equipo especializado tiene la capacidad de brindarle a tu empresa la fortaleza necesaria en la implementación de tu plan de seguridad de TI.
El CRI de Nordstern ha sido reconocido por Kaspersky, volviéndolo el primero en el continente latinoamericano y el tercero a nivel mundial avalado por la marca líder en Ciberseguridad. Nuestro conocimiento, brindando soluciones de Seguridad Administrada por más de 15 años, a la par de las herramientas y la inteligencia de Kaspersky, hacen de nuestro Centro de Respuesta a Incidentes una solución robusta y adaptable a las necesidades de tu negocio.
Si crees que has sido víctima de un ciberataque o quieres proteger de forma proactiva los activos de tu organización, contáctate con uno de nuestros expertos, quienes te ayudarán a implementar una solución apegada a tus necesidades. Da clic en la siguiente imagen.
