Cinco razones por las que necesita un EDR, Ricardo Maté, Sophos

  • Opinión

Ricardo Maté Sophos

Las herramientas Endpoint Detection and Response (EDR) están diseñadas para complementar la seguridad de los endpoints con mayores capacidades de detección, investigación y respuesta. Sin embargo, el alboroto que rodea a las herramientas EDR puede dificultar la comprensión de cómo se pueden utilizar exactamente y por qué son necesarias. Para empeorar las cosas, las soluciones actuales pueden ser complicadas de utilizar, carecen de suficientes capacidades de protección y consumen muchos recursos.

A continuación, algunos puntos a tener en cuenta para considerar una solución EDR realmente efectiva y sencilla.

Otras recomendaciones de Sophos para construir un entorno digital:

SophosLabs 2019 Threat Report

Cinco razones por las que necesitas un EDR

 

Información con confianza sobre su situación de seguridad en cualquier momento

Los equipos de TI y seguridad a menudo están motivados por métricas de ataque y defensa, sin embargo, la pregunta más difícil de responder para la mayoría es "¿estamos seguros en este momento? Esto se debe a que, la mayor parte de las redes, tienen puntos ciegos considerables que hacen que los equipos de TI y seguridad tengan dificultades para ver lo que sucede en sus entornos. La falta de visibilidad es la razón principal por la que las organizaciones luchan por entender el alcance y el impacto de los ataques. Esto se manifiesta frecuentemente cuando ocurre un incidente y el equipo asume que están a salvo porque ese incidente fue detectado. Una solución EDR ha de proporcionar información adicional que determine si otras máquinas fueron impactadas. El hecho de poder ver las otras ubicaciones donde existen amenazas, permitirá al equipo de seguridad priorizar los incidentes para una investigación adicional y una posible reparación. Generar una visión clara de la postura de seguridad de una organización también proporciona la ventaja de poder informar sobre el estado de cumplimiento. Esta información ayudará a identificar las áreas que pueden ser vulnerables a los ataques. También permitirá a los administradores determinar si el alcance de un ataque ha impactado en las áreas donde se almacenan los datos confidenciales.

 

Detectar ataques que han pasado desapercibidos

Cuando se trata de ciberseguridad, incluso las herramientas más avanzadas pueden ser derrotadas con tiempo y recursos suficientes, lo que dificulta la comprensión real de cuándo se producen los ataques. Las organizaciones a menudo dependen únicamente de la prevención para mantenerse protegidas, y aunque la prevención es crítica, EDR ofrece otra capa de capacidades de detección para encontrar potencialmente incidentes que han pasado desapercibidos. Las organizaciones pueden utilizar EDR para detectar ataques buscando indicadores de compromiso (IOCs). Esta es una manera rápida y directa de cazar ataques que podrían haber sido pasados por alto. Las búsquedas de amenazas se inician con frecuencia después de una notificación de inteligencia de amenazas de terceros: por ejemplo, una agencia gubernamental (como US-CERT, CERT-UK o CCN-Cert) puede informar a una organización de que hay actividad sospechosa en su red. La notificación puede ir acompañada de una lista de CPIs, que puede utilizarse como punto de partida para determinar lo que está sucediendo. Una buena solución EDR proporcionará una lista de los principales eventos sospechosos, para que los analistas sepan exactamente qué deben investigar. Esto facilitará a los analistas el priorizar sus cargas de trabajo y centrarse en los eventos más importantes.

 

Responder más rápido a potenciales incidentes

Una vez que se detectan los incidentes, los equipos de TI y de seguridad generalmente se esfuerzan por remediarlos lo más rápido posible para reducir el riesgo de que los ataques se propaguen y para limitar cualquier daño potencial. Naturalmente, la pregunta más pertinente es cómo deshacerse de cada amenaza. En promedio, los equipos de seguridad y de TI dedican más de tres horas a tratar de remediar cada incidente. EDR puede acelerar esto significativamente.

El primer paso que un analista podría dar durante el proceso de respuesta a incidentes sería detener la propagación de un ataque. Aislar los endpoints bajo demanda es un paso clave para evitar que una amenaza se extienda por todo el entorno. Los analistas a menudo hacen esto antes de investigar, ganando tiempo mientras determinan el mejor curso de acción. El proceso de investigación puede ser lento y doloroso. Esto, por supuesto, supone que se lleva a cabo una investigación. La respuesta a los incidentes depende tradicionalmente en gran medida de personal altamente cualificado. La mayoría de las herramientas EDR también dependen de los analistas para saber qué preguntas hacer y cómo interpretar las respuestas. Nuestra solución EDR ideal hará que los equipos de seguridad de todos los niveles puedan responder rápidamente a los incidentes de seguridad gracias a las investigaciones guiadas que ofrezcan sugerencias sobre los siguientes pasos, representaciones de ataques visuales claras y experiencia integrada.

 

Añadir experiencia sin añadir personal

Por un amplio margen, las organizaciones que buscan añadir capacidades de detección y respuesta de endpoints citan el "conocimiento del personal" como el principal impedimento para la adopción de una solución EDR. Esto no debería ser una gran sorpresa, ya que la brecha de talento para encontrar profesionales cualificados en ciberseguridad ha sido ampliamente discutida durante varios años. Esta barrera es especialmente pronunciada en las organizaciones más pequeñas.

Para combatir la falta de conocimiento del personal, la solución EDR elegida ha de aprovechar el aprendizaje automático para integrar una visión profunda de la seguridad. Así, las capacidades inteligentes de EDR ayudarían a llenar los vacíos causados por la falta de conocimiento del personal, reproduciendo las funciones de varios tipos de analistas, como son los analistas de seguridad, analistas de malware y los de inteligencia de amenazas.

 

Entender cómo ocurrió un ataque y cómo evitar que vuelva a ocurrir

Los analistas de seguridad tienen pesadillas recurrentes donde han sufrido un ataque: un ejecutivo grita: "¿Cómo ha ocurrido esto? La identificación y eliminación de archivos maliciosos resuelve el problema inmediato, pero no aclara cómo llegó allí en primer lugar ni qué hizo el atacante antes de que se cerrara el ataque. Una herramienta EDR ha de poner en relieve todos los eventos que condujeron a una detección, lo que facilitará la comprensión de los archivos, procesos y claves de registro que el malware tocó para determinar el impacto de un ataque, proporcionando así una representación visual de toda la cadena de ataque, lo que garantiza un informe seguro sobre cómo comenzó el ataque y hacia dónde se dirigió el atacante. Y lo que es más importante, al comprender la causa raíz de un ataque, es mucho más probable que el equipo de TI evite que vuelva a ocurrir.

 

Autor: Ricardo Maté, country manager Iberia de Sophos