Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS




Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s