¿Qué es la detección y respuesta del Endpoint (EDR)?

La detección de amenazas es una capacidad fundamental de una capacidad EDR. No se trata de si atacará una amenaza avanzada, sino de cuándo evadirá sus defensas de primera línea. Al ingresar a su entorno, debe poder detectar con precisión la amenaza para poder contenerla, evaluarla y neutralizarla. Esta no es una tarea fácil cuando se trata de malware sofisticado que puede ser extremadamente sigiloso y capaz de transformarse de un estado benigno a uno malicioso después de cruzar el punto de entrada.

Con el análisis continuo de archivos, EDR podrá marcar los archivos ofensivos a la primera señal de comportamiento malicioso. Si un archivo se considera seguro, pero después de algunas semanas comienza a exhibir criptominería o actividad de ransomware, EDR detectará el archivo y el proceso de evaluación, análisis y alertará a su organización para que tome medidas.  

Además del análisis continuo de archivos, es importante tener en cuenta que un EDR es tan bueno para detectar archivos como la inteligencia de ciberamenazas que lo alimenta. La inteligencia de amenazas cibernéticas aprovecha los datos a gran escala, las capacidades de aprendizaje automático y el análisis de archivos avanzado para ayudar a detectar amenazas. Cuanto mayor sea la inteligencia de amenazas cibernéticas, más probable es que su solución EDR identifique la amenaza. Sin ninguna inteligencia de amenazas cibernéticas, una solución EDR es ineficaz.

Después de detectar un archivo malicioso, EDR debe poder contener la amenaza. Los archivos maliciosos tienen como objetivo infectar tantos procesos, aplicaciones y usuarios como sea posible. La segmentación puede ser una gran defensa dentro de su centro de datos para evitar el movimiento lateral de amenazas avanzadas. La segmentación es útil, pero un EDR robusto puede ayudar a contener un archivo malicioso antes de probar los bordes de las áreas segmentadas de la red. El ransomware es un tremendo ejemplo de por qué necesita contener las amenazas. El ransomware puede ser complicado de eliminar. Una vez que haya cifrado la información, su EDR debe poder contener completamente el ransomware para mitigar los daños. Como control adicional, EDR brinda la capacidad de aislar la red, lo que evita un mayor cifrado en la red.

Una vez que el archivo malicioso ha sido detectado y contenido, EDR debe investigar. Si el archivo se coló a través del perímetro la primera vez, claramente existe una vulnerabilidad. Tal vez el equipo de inteligencia de amenazas nunca antes haya visto este tipo de amenaza avanzada. Tal vez un dispositivo o aplicación esté desactualizado y deba actualizarse. Sin las capacidades de investigación adecuadas, su red no obtendrá información sobre el motivo por el que se ha filtrado una amenaza. Como resultado, es probable que su red vuelva a experimentar estas mismas amenazas y problemas  EDR proporciona el tipo de revisión por incidente necesaria para revelar estos problemas y evitar la explotación futura a través del mismo vector de amenazas siempre que sea posible.

En el proceso de investigación, el sandboxing es una capacidad crítica. El sandboxing se puede usar en el perímetro, para ayudar a otorgar o denegar el acceso, pero también se puede usar de manera efectiva después del punto de entrada. Sandboxing es cuando el archivo se aísla en un entorno simulado y se prueba y supervisa.  EDR puede proporcionar sandboxing a través de Cisco Secure Malware Analytics integrado.

Dentro de este entorno simulado y aislado, EDR intentará determinar la naturaleza del archivo sin poner en riesgo la seguridad del entorno más amplio. En este proceso, EDR puede comprender los atributos y la naturaleza de este archivo malicioso y aprender de él. Al evaluar completamente el archivo, EDR puede comunicarse con el equipo de inteligencia de ciberamenazas que ejecuta EDR y adaptarse a futuras amenazas.

El componente más obvio de un EDR debe ser su capacidad para eliminar la amenaza. Si detecta, contiene e investiga una amenaza, eso es genial. Pero si no puede eliminarlo, entonces básicamente continúa, sabiendo que su sistema está comprometido. Eso no es aceptable. Para eliminar adecuadamente las amenazas, EDR necesita una visibilidad excepcional para responder preguntas como:

• ¿Dónde se originó el archivo?
• ¿Con qué diferentes datos y aplicaciones interactuó este archivo?
• ¿Se ha replicado el archivo?

La visibilidad es crucial para la eliminación. Poder ver la línea de tiempo completa de un archivo es crucial. No es tan fácil como simplemente eliminar el archivo que ha observado. Cuando elimine el archivo, es posible que necesite remediar automáticamente varias partes de la red. Por esta razón, EDR debe proporcionar datos procesables sobre la vida útil del archivo. Si el EDR tiene capacidades retrospectivas, estos datos procesables deben usarse para remediar automáticamente los sistemas a su estado anterior a la infección.

Por último, es muy importante entender que la mejor solución EDR combina las capacidades de EPP y EDR. Una verdadera solución de seguridad de endpoint de próxima generación protege en el perímetro (EPP) y monitorea continuamente dentro del entorno (EDR) para brindar y administrar la seguridad durante toda la vida útil de los archivos.