La obtención y análisis de los eventos, actividad y artefactos registrados en los dispositivos finales es totalmente indispensable para una detección y respuesta eficaz y temprana, acorde a las técnicas adoptadas por los adversarios presentes en el escenario actual de ciber amenazas.
Han transcurrido ya muchos años desde que la protección del endpoint exclusivamente recaía en tecnologías de antivirus basadas solo en firmas y análisis heurístico. En paralelo, la sofisticación, frecuencia, persistencia y hostilidad de los ciberdelincuentes se ha incrementado exponencialmente con respecto a lo que acaecía hace décadas.
Estos hechos nos han ido conduciendo a una brecha que la industria ha tenido que salvar mediante las siguientes “evoluciones” que someramente revisaremos a continuación.
Los EPP (Endpoint Protection Platform) deberían estar dotados de, al menos, funcionalidades de protección de red, exploits y ransomware, así como control de periféricos, aplicaciones y navegación. Respecto a la detección de malware, son necesarias las técnicas de sanboxing, heurísticas y de Machine Learning aplicado en distintos contextos (comportamiento, metadatos, detonación, reputación…). Por último, cabe destacar las capacidades de análisis y gestión de vulnerabilidades propias y de activos de red que son visibles.
En cuanto a los EDR (Endpoint Detection and Response), su cometido consiste en obtener una telemetría (eventos, procesos y otros elementos del sistema operativo) rica de los endpoint y detectar amenazas en función del comportamiento. Ahora bien, no se nos puede olvidar la parte más crítica, la “R” de Response. Ésta es la funcionalidad para responder en tiempo real, aislando máquinas, recogiendo ficheros, tomando control remoto del equipo o recolectando el conjunto necesario de artefactos en un paquete, de forma que se pueda realizar un análisis forense de modo offline.
Sin embargo, estas soluciones no están carentes de retos. Entre ellos, se debe resaltar el requisito de disponer de una comunicación bidireccional con otras tecnologías de protección (antiphishing, CASB, protección de identidad…), de forma que se alcance una verdadera orquestación automática en tiempo real, y una visión y gestión unificada. Esto deriva en el deseado enfoque de XDR (eXtended Detection & Response), en el cual no hay lugar para los suculentos silos tecnológicos explotados por los cibercriminales.
Otros importantes desafíos son, por ejemplo, no impactar al rendimiento de los dispositivos, así como facilitar su despliegue y actualización, ya que el control y gestión de éstos puede no estar optimizado. La mejor aproximación consiste en embeber o incluir el agente en el propio sistema operativo, de forma que su activación sea cuestión de aplicar una política.
Por lo tanto, podemos concluir que la adopción y explotación de estas tecnologías es fundamental para hacer frente a los actuales actores maliciosos, siempre exigiendo y evaluando muy bien la solución y el servicio que la gestionará.
Microsoft
Security, Compliance & IdentityLead
