Cuando hablamos de protección avanzada de endpoints, lo primero que deberíamos saber es qué entendemos por dispositivos de punto final: son todos aquellos equipos informáticos que están conectados a una red con la que se comunican, como por ejemplo ordenadores de escritorio, portátiles, tablets, servidores, etc, …

Una vez definidos, la siguiente cuestión que nos podríamos plantear es la de por qué es importante protegerlos.

La respuesta es bastante evidente: constituyen la vía de entrada por la que un ciberdelincuente puede hacerse con el control de nuestros sistemas; es donde los atacantes ejecutan código y explotan vulnerabilidades; y donde se almacena la información sensible que puede ser robada o encriptada para extorsionarnos.

Principales vías de infección

Los principales vectores de ataque por los que un endpoint puede verse comprometido han sido, tradicionalmente, los que todos conocemos y hemos herramientas EDR proteccion avanzada de endpointsoído en multitud de charlas de concienciación o en correos de nuestros responsables de seguridad:

  • Correo electrónico
  • Fallos de sistemas
  • Páginas web maliciosas
  • Descarga de ficheros de internet
  • USBs o dispositivos extraíbles
  • Ataques directos
  • Apps maliciosas o desactualizadas.

Todos ellos, de una manera o de otra, constituyen la vía de entrada habitual de malware y conforman una potencial debilidad en sí mismos. La “buena noticia” es que todos ellos pueden protegerse mediante una solución tradicional o básica como los antivirus.

Protección avanzada

Sin embargo, las amenazas actuales se multiplican y cambian tan rápido que no deberíamos depender de una simple solución tradicional para estar protegidos.

La realidad es que los riesgos nunca han sido tan diferentes y continuos como lo son ahora: en un mismo día, un endpoint puede sufrir un par de estafas de phishing con un enlace de malware, descargar un ransomware de un sitio web falsificado o ser víctima de un ataque sin archivo que se mantiene oculto durante mucho tiempo sin que haya (o lo parezca) conexión entre ninguno de estos ataques.

Para estar realmente protegido a día de hoy, se debe contar con soluciones de ciberseguridad multicapa que monitoricen en tiempo real los sistemas y endpoints para encontrar patrones de comportamiento que permitan detectar las amenazas persistentes avanzadas, ataques sin archivos u otras actividades maliciosas que puedan suponer un peligro para la organización.

Ahí es donde entra en juego la protección EDR, es decir, Endpoint Detection and Response, detección y respuesta (de incidentes) en el dispositivo final, con la que, gracias a la monitorización y a la Inteligencia Artificial, se consigue una protección mucho más completa llegando a conseguir anticiparse a la mayoría de los ataques.

Algunos aspectos  clave de la protección avanzada de endpoints son:

  • Monitorización constante y recogida de datos. La seguridad para el endpoint requiere la recopilación y el análisis de información para analizar comportamientos y crear patrones. Es vital poder saber qué pasa en cada dispositivo, red y conexión para poder detectar cambios en ellos que puedan suponer un riesgo.
  • Detección de ataques no basados en archivos. Hoy en día, existen multitud de ataques que utilizan técnicas de post explotación que no necesitan la descarga de ningún archivo, sino que cargan y ejecutan código malicioso directamente desde la memoria del sistema.
  • Múltiples capas. Para poder cubrir el mayor número posible de ciberamenazas se necesita una combinación de herramientas locales basadas en las firmas, tecnologías asentadas en la nube y el análisis de comportamiento basado en contextos para detectarlas y responder de forma adecuada.

¿En qué consisten las herramientas Endpoint Detection and Response?

Las herramientas EDR constituyen los mejores recursos para combatir las amenazas avanzadas y responder así a incidentes en los endpoint. Combinan el análisis y bloqueo de comportamiento, control de aplicaciones, listas blancas, monitorización de la red y respuesta a incidentes.

Las herramientas EDR se integran con otras herramientas de seguridad para:

  • Mejorar la visibilidad de los comportamientos y procesos en el endpoint.
  • Administrar los activos.
  • Mejorar la respuesta.
  • Proporcionar datos a los responsables de seguridad para el análisis de dispositivos.

Cómo funcionan las herramientas EDR

Las herramientas EDR funcionan supervisando eventos de los endpoints y de red. La información registrada se lleva a una base de datos central donde, gracias al apoyo de la Inteligencia Artificial, se realizan tareas de análisis, detección, investigación, informes y generación de alertas.

Este tipo de herramientas identifican aquellas tareas que pueden mejorar el estado general de seguridad de una empresa al ser capaces de identificar, responder y desviar amenazas internas y ataques externos

Ventajas de utilizar herramientas EDR

  • Mejora la capacidad de anticipación ante los ataques dirigidos. Gracias a modelos preventivo (pre-infección) y de detección (post-infección) se analizan patrones de comportamiento que permiten anticipar amenazas.
  • Disminución del tiempo de exposición a incidentes de seguridad gracias a un enfoque proactivo
  • Buena capacidad de filtrado, al ser capaces de detectar y marcar los falsos positivos.
  • Bloqueo avanzado de amenazas: no solo en el momento en que se detecten, sino también mientras dure el ataque

En definitiva, lo que conseguimos es un aumento de nuestra capacidad de respuesta a incidentes y de la protección contra múltiples amenazas simultaneas.