En los últimos tiempos, con el trabajo remoto completamente en auge, la gran mayoría de las empresas están centrando la seguridad en el empleado y en su herramienta de trabajo, el endpoint. Esto es debido a que los atacantes, por su parte, también están centrados en estos dispositivos finales, diseñando nuevas formas de tomar control sobre ellos para así obtener acceso a la red interna de la empresa.
De este modo, la protección de los llamados endpoints está sufriendo un cambio generacional. Los antiguos software de antivirus, basados en firmas, e incluso los de nueva generación, basados en machine-learning, están quedando expuestos respecto a los nuevos tipos de amenazas.
Aquí es donde entra el software Endpoint Detection and Response (o EDR), centrándose en el análisis del comportamiento del endpoint y ofreciendo protección ante los nuevos tipos de amenazas tales como los ataques de día cero, malware sin archivos/sin firmas y amenazas avanzadas persistentes (APT).
Dentro de las capacidades de los EDR, se destacan las siguientes:
- Visibiliza el endpoint, permitiendo a los equipos de seguridad monitorizar en tiempo real y detectar amenazas, incluyendo aquellas no reconocidas por los antiguos antivirus. Al estar basado en el comportamiento puede detectar amenazas desconocidas con un comportamiento poco habitual.
- Recopila y analiza datos que determinan los patrones de amenaza y alerta a la organización sobre la misma.
- Dispone de análisis forense que ayuda a determinar qué sucedió durante un evento de seguridad.
- Aísla y pone en cuarentena elementos sospechosos o infectados utilizando zonas de prueba (o sandbox) para garantizar la seguridad de un archivo sin interrumpir el funcionamiento del endpoint.
- Puede incluir remediación o eliminación automatizada de ciertas amenazas.
Como todo software de última generación, los EDR actuales (XDR o Extended Detection and Response) incluyen más funcionalidades que los primeros en llegar al mercado. Estos últimos se basan ya no sólo en el endpoint sino también en las redes y las cargas de trabajo en la nube ofreciendo así capacidades de antivirus, SIEM y firewall, simplificando de este modo la administración de éstos por parte del personal de ciberseguridad de la empresa.
El auge de la deslocalización del puesto de trabajo ha hecho que los principales desarrolladores de software (Microsoft, VMWare) estén creando sus propias herramientas EDR/XDR. Sin embargo, este nicho de mercado lleva tiempo siendo explotado por empresas puramente dedicadas a la ciberseguridad como Cylance (Optics), recientemente adquirida por Blackberry, o Sophos (Intercept X) que disponen de más experiencia dentro de este sector.