skip to Main Content
Detección Y Respuesta De Endpoints

¿Qué es la detección y respuesta de endpoints (EDR)?

La detección y respuesta de endpoints (EDR), también conocida como detección y respuesta de amenazas de endpoints (ETDR), es una solución integrada de seguridad de endpoints que combina el monitoreo continuo en tiempo real y la recopilación de eventos del endpoint con capacidades de análisis y respuesta automatizadas basadas en reglas. El término describe sistemas de seguridad emergentes que detectan e investigan actividades sospechosas en hosts y puntos finales, empleando un alto grado de automatización para permitir que los equipos de seguridad identifiquen y respondan rápidamente a las amenazas.

Las funciones principales de un sistema de seguridad EDR son:

  1. Supervisar y recopilar datos de actividad de los puntos finales que podrían indicar una amenaza
  2. Analizar estos datos para identificar patrones de amenazas
  3. Responder automáticamente a las amenazas identificadas para eliminarlas o contenerlas y notificar al personal de seguridad
  4. Herramientas forenses y de análisis para investigar las amenazas identificadas y buscar actividades sospechosas.

Nuevos tipos de endpoints y ataques a endpoints

Un departamento de TI promedio administra miles de puntos finales en su red. Estos puntos finales incluyen no solo computadoras de escritorio y servidores, sino también computadoras portátiles, tabletas, teléfonos inteligentes, dispositivos de Internet de las cosas (IoT) e incluso relojes inteligentes y asistentes digitales. La Encuesta de respuesta y protección de terminales de SANS informa que el 44% de los equipos de TI administran entre 5000 y 500000 terminales. Cada uno de estos puntos finales puede convertirse en una puerta abierta a los ciberataques; por lo tanto, la visibilidad del endpoint es fundamental.

Si bien las soluciones antivirus actuales pueden identificar y bloquear muchos tipos nuevos de malware, los piratas informáticos crean más constantemente. Muchos tipos de malware son difíciles de detectar mediante métodos estándar. Por ejemplo, el malware sin archivos (fileless), un desarrollo reciente, opera en la memoria de la computadora, evitando así los escáneres de firmas de malware.

Para reforzar la seguridad, un departamento de TI puede implementar una variedad de soluciones de seguridad para terminales, así como otras aplicaciones de seguridad, a lo largo del tiempo. Sin embargo, varias herramientas de seguridad independientes pueden complicar el proceso de detección y prevención de amenazas, especialmente si se superponen y producen alertas de seguridad similares. Un mejor enfoque es una solución de seguridad de punto final integrada.

 

Componentes clave de la seguridad EDR

La seguridad de EDR proporciona un centro integrado para la recopilación, correlación y análisis de datos de terminales, así como para coordinar alertas y respuestas a amenazas inmediatas.

Las herramientas EDR tienen tres componentes básicos:

  1. Agentes de recopilación de datos de endpoint. Los agentes de software llevan a cabo la supervisión de terminales y recopilan datos, como procesos, conexiones, volumen de actividad y transferencias de datos, en una base de datos central.
  2. Respuesta automatizada. Las reglas preconfiguradas en una solución EDR pueden reconocer cuando los datos entrantes indican un tipo conocido de violación de seguridad y desencadenan una respuesta automática, como cerrar la sesión del usuario final o enviar una alerta a un miembro del personal.
  3. Análisis y forensica. Un sistema de respuesta y detección de endpoints puede incorporar tanto análisis en tiempo real, para un diagnóstico rápido de amenazas que no se ajustan del todo a las reglas preconfiguradas, como herramientas forenses para buscar amenazas o realizar un análisis post-mortem de un ataque.

 

  1. Un motor de análisis en tiempo real utiliza algoritmos para evaluar y correlacionar grandes volúmenes de datos, buscando patrones.
  2. Las herramientas forenses permiten a los profesionales de seguridad de TI investigar violaciones pasadas para comprender mejor cómo funciona un exploit y cómo penetró la seguridad. Los profesionales de seguridad de TI también utilizan herramientas forenses para buscar amenazas en el sistema, como malware u otras vulnerabilidades que pueden acechar sin ser detectadas en un punto final.

Fuente: McAfee

 

This Post Has 0 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top
Obtener consulta gratuita
close slider

Este sitio está protegido por reCAPTCHA y Google  Política de privacidad y se aplican Términos de servicio.