Debemos empezar entrando a definir que es la tecnología EDR ya que aun a día de hoy, la pequeña y mediana empresa es desconocedora de sus potencialidades.
Un EDR es un software que combina la supervisión continua en tiempo real y la recopilación de datos de los end points (equipos de usuarios, servidores, dispositivos móviles) con capacidades de respuesta y análisis automatizados basados en reglas. Esas reglas tendrán unos umbrales diferentes en función de las necesidades de la empresa y deberían ser definidos por un analista de ciberseguridad.
El EDR es un sistema de seguridad para la detección. Combinando esto con la investigación de los profesionales que lo gestionen, las alertas que muestran las actividades sospechosas en los hosts y utilizando la automatización para permitir a los analistas de seguridad identificar y responder a las amenazas de una forma rápida y eficaz, se convierte en una de las herramientas más potentes que tenemos a día de hoy en el mercado y por un precio muy razonable.
En resumen, un EDR analiza, supervisa y recopila datos de la actividad de los equipos que pueden ser una amenaza, todo ello para identificar patrones de posibles ataques o amenazas potenciales.
El EDR por sí mismo ya tiene capacidad de responder automáticamente a ciertas amenazas, una vez son identificadas, bien para eliminarlas o bien para contenerlas.
En los EDR se incluyen herramientas forenses y de análisis que son básicas para que los analistas investiguen las amenazas identificadas o la actividad sospechosa.
Vemos una expansión en su uso en los últimos años
Debido a que las técnicas del cibercrimen han evolucionado en los últimos tiempos y los ciberdelincuentes son más agresivos en el proceso de los ciberataques, los EDR han tenido una expansión grande en el mercado.
La combinación de las amenazas comunes (ransomware, por ejemplo), los diferentes patrones de entrada y las actividades basadas en técnicas cada vez más complejas, convierten a las amenazas avanzadas y los ataques dirigidos en un peligro para las organizaciones si dependen únicamente de un enfoque tradicional y estático de seguridad.
Es indudable que los ataques son cada vez más complejos. Vemos ataques utilizando fileless malware, vulnerabilidades de día cero o los tradicionales ataques que se realizan a través de proveedores de servicios pero más sofisticados. La realidad actual de las amenazas es muy volátil y las tecnologías estándar no pueden proteger solas a las PYMEs contra las amenazas actuales. Es importante tener en cuenta que los ciberdelincuentes pueden preparar un ataque dirigido a un coste mínimo, obteniendo incluso todas las herramientas necesarias de una forma rápida y muy asequible, por lo que no es extraño que el número de ataques siga creciendo y a nivel mundial.
Es cierto que los ataques más sofisticados suelen ir dirigidos a empresas grandes pero las PYMEs también son un objetivo rentable para los atacantes.
Pero, ¿por qué necesitamos esta tecnología VS el AV tradicional o qué ventajas tiene?
Evidentemente, no es suficiente con bloquear las amenazas sencillas en los endpoints. Las PYMEs necesitan sistemas que les ayuden a detectar y a responder a las actuales, más complejas y avanzadas.
Las tecnologías tradicionales para la protección de equipos funcionan bien con las amenazas simples o conocidas, que ya no suponen un % alto con respecto al total. Entonces, que pasa con el resto?. El coste de los incidentes asociados a las amenazas estándar (de media 10.000 € en las micropymes) resulta menor si lo comparamos con el coste (de media 900.000 €) de los incidentes por los ataques de amenazas persistentes avanzadas (APT). Ante amenazas complejas, es necesaria la calidad y la eficacia de la detección y la respuesta. Las PYMEs deben priorizar el uso de soluciones especializadas para poder contrarrestar los ataques actuales, los más dirigidos y los APT en sus sistemas.
Aun quedan dudas sobre si necesitamos o no necesitamos un EDR
A modo resumen, un EDR es fundamental para la supervisión continua de los sistemas ya que los antivirus solo tienen una visión muy parcial de lo que ocurre en los sistemas y un cometido muy específico, por el contrario los EDR gracias a su detección y capacidad de respuesta automática ofrecen un nivel de protección mucho mas completo. Esto permite una gestión eficiente y rápida de los posibles problemas.
El análisis de comportamiento que hacen los EDR, con detección de scripts, macros, etc. o de indicadores de ataques (IOA/IOCs), es una de sus características más potentes, correlacionando toda la información de todos los endpoints (o equipos) de la empresa.
Funcionalidades como el filtrado de IPs, direcciones URL, el control de dispositivos USB y el firewall gestionado, si incluye esta opción, son opciones muy potentes.
Merece especial mención el hecho de que en muchas ocasiones los atacantes usan software legítimo (software de administración remota por ejemplo), herramientas o funcionalidades legítimas del sistema operativo, etc. y con esto consiguen acceder a la información y el anti virus tradicional no identifica nada extraño. Es cierto que este tipo de ataques son difíciles de detectar ya que son similares a las acciones de algunos administradores de sistemas, pero con soluciones avanzadas como los EDR se puede llegar a granularizar tanto el nivel de reglas y umbrales que las alertas serán generadas de forma correcta y temprana.
Pero… ¿y existe la necesidad de un MSSP?
Entonces empiezan las dudas, como lo desplegamos? Como lo mantenemos? Quien hace la gestión de su consola o revisa las alertas?
Si no se pueden dedicar recursos humanos a desplegar, configurar, mantener, analizar y supervisar esta herramienta, por muy potente que sea, no vamos a sacar su máximo rendimiento.
Poder disponer de un equipo de personas con conocimientos amplios en ciberseguridad para poder analizar cualquier actividad sospechosa que posiblemente esté relacionada con ataques, o investigar los indicadores para encontrar técnicas y tácticas maliciosas, es fundamental.
Un ejemplo, normalmente el Threat Hunting se ofrece como servicio administrado y ayuda a reducir el tiempo medio de detección y el tiempo medio de respuesta ante un incidente.
Tener threat hunters buscando proactivamente patrones de comportamiento anómalo, o patrones no identificados previamente en la red es un punto extra para completar el trabajo del EDR. De la misma forma que lo es desplegar HoneyPots o complementar la monitorización con información de inteligencia obtenida de fuentes propias y externas.
Otra medida gestionada puede ser el crear nuevas reglas que identifiquen nuevos IOA y que puedan ser aplicadas en los endpoints para protegerlos rápidamente contra nuevos ataques.
Un equipo que ofrece servicios de ciberseguridad puede optimizar la utilización del EDR por parte de la PYME, darle recomendaciones sobre cómo mitigar un ataque o actuar directamente, reducir la superficie de ataque de la empresa. En definitiva, sacar el máximo partido a una herramienta como el EDR para tratar de evitar que la PYME sea víctima de futuros ataques y en todo caso minimizar el tiempo de respuesta e impacto.
Tras la exposición de todas estas ideas podemos centrar los desafíos de los EDR en la necesidad de implantarlo en todo tipo de empresas, definir quien se ocupa de su gestión para sacarle el máximo partido y su precio, que va a ser bastante accesible para la pequeña y mediana empresa, donde se debería empezar a manejar el concepto de “presupuesto anual para ciberseguridad”.
Forensic&Security by Datos 101
CEO
