Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.
Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.
Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.
Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.
La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.
Las características principales de un EDR son:
1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.
2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.
3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización.
4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue. Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.
5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas. En el caso de los EDR cuya plataforma está basada en la nube, se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.
La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo.
El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.
En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.
Tomado de: https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS
¿Ha escuchado que ejecutar dos programas antivirus al mismo tiempo es algo problemático?
¿Esto es un buen consejo basado en argumentos técnicos o es un intento para disuadirlo de instalar los productos de la competencia?
Hagamos una análisis del argumento:
Problemas de complejidad: incompatibilidad potencial
Los programas de protección se crean de muchas maneras diferentes y, muy a menudo, los desarrolladores no se adhieren a los estándares de codificación recomendados. En particular, el uso de interfaces de sistema operativo no documentadas a menudo causa bloqueos inesperados o bloqueos que son muy difíciles de resolver. A veces, es muy difícil saber si algunos proveedores no tienen la experiencia necesaria para crear sus productos de una manera que los haga compatibles con otros, o simplemente no les importa y esperan que sus clientes resuelvan estos problemas por su cuenta.
Ambos Antivirus detectan una amenaza: ¿Quién es el primero en ponerse en cuarentena?
Imagine que tiene ambos productos de seguridad con análisis en tiempo real. Al descargar un archivo peligroso ambos podrían detectar y alertar sobre la amenaza; Pero, ¿Cuál es el primero en ponerlo en cuarentena o eliminar la amenaza? ¿Qué pasaría con el segundo antivirus? Seguramente el que accione de último, generaría mensajes de error porque los archivos se desaparecerían repentinamente al ser eliminados o puestos en cuarentena.
Más no siempre es mejor. Múltiples soluciones seguro representarán un alto consumo de recursos.
Los productos de protección contra malware hoy en día son bastante complejos y el número creciente de amenazas se multiplica exponencialmente, lo que requiere de una gran cantidad de código para mantener su computadora segura. Esto resultará en un uso relativamente alto de los recursos informáticos, muy especialmente de su memoria (RAM). Por lo tanto, es posible que termine gastando de 0.5 a 1 GB o más de su RAM disponible para aumentar su tasa de detección, digamos, de 98% a 99%. Pero, ¿realmente vale la pena esta minúscula mejora? Cada nuevo archivo en la computadora tendría que ser escaneado por ambos productos, lo que desencadenaría dos complejos conjuntos de código que usan gran parte de su tiempo de CPU, que sin duda podrían usarse mejor para otras tareas.
Podemos sacar como conclusión, que no vale la pena utilizar 2 programas de protección antivirus completos en su computador, a menos que sean configurados para que operen en cadena y no de forma simultánea, además que se complementen en análisis y no compitan por los recursos de su equipo.
Si quiere aumentar la protección de su antivirus actual, le recomendamos que se complemente con un agente EDR (Endpoint Detection and Response).
Fuente: BLOG EMSISOFT «Why it isn’t a good idea to run multiple full antivirus products at the same time»
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 