Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
julio
(Total:
52
)
- Las 30 vulnerabilidades más explotadas en 2020 y 2021
- Dos mujeres hackearon cajeros automáticos con una ...
- La Unión Europea impone multa récord a Amazon con ...
- Dos detenidos por acosar a niñas menores a través ...
- Contratistas de defensa de E.U. fueron engañados p...
- BlackMatter y LockBit 2.0: novedades en el mundo d...
- Supuesta filtración 4 billones de teléfonos de Clu...
- Vulnerabilidades en el router de fibra HGU Askey d...
- Actualizaciones de seguridad de Apple para iOS, iP...
- Diferencias GPUs NVIDIA RTX vs GTX
- Clonar Disco Duro HDD o Unidad SSD con CloneZilla
- Nuevo ataque PetitPotam permite hackear dominios d...
- Quién es Shalev Hulio, el militar responsable de P...
- El 97% de los emails que usan los funcionarios Esp...
- DuckDuckGo presenta "Email Protection", un servici...
- Detenido en Estepona responsable hackear más de 1...
- Grave vulnerabilidad local kernel sistema de fiche...
- Nueva vulnerabilidad en Windows permite elevación ...
- WhatsApp permitirá activar el cifrado de la copia ...
- Estados Unidos acusa formalmente a 4 ciudadanos Ch...
- Análisis forense víctimas de Pegasus del grupo NSO...
- Grave vulnerabilidad ejecución remota de código en...
- ASIC para minar criptomonedas
- Las 3.800 PS4 confiscadas en Ucrania no minaban cr...
- Microsoft revela que ciudadanos en Cataluña han si...
- Hackean las cuentas de Twitter y Facebook de La Se...
- Steam Deck: Valve presenta consola portátil para j...
- Documentos maliciosos Excel 4.0 XLM Macros
- Detenidas en España 16 personas por estafar 3,5 mi...
- Actualizaciones de seguridad productos Microsoft, ...
- Gmail quiere acabar con el phishing gracias al BIMI
- Intervenido en Málaga un dron de 4,35 metros de en...
- Mozilla VPN ya está disponible en España
- Fallo de seguridad en la web Vacunación Covid de C...
- Herramientas Endpoint Detection and Response EDR
- Alternativas correo Gmail basadas en la privacidad
- Descubren a un conductor de contrabando con 256 CP...
- ChatControl: El Parlamento Europeo aprueba la vigi...
- Parche incompleto de Microsoft para PrintNightmare...
- Error en la web de Sanidad Madrid expone datos pri...
- Descubren miles de Bases de Datos desprotegidas en...
- Cifrado por hardware unidades SSD (SED)
- Ingeniero de Microsoft consiguió robar 10 millones...
- WhatsApp ya permite enviar fotografías y vídeos qu...
- Descubren 9 aplicaciones Android que roban credenc...
- Ciberataque global del ransomware REvil afecta a m...
- Publicada herramienta descifrado gratuita para víc...
- Europol cierra servicio de VPN DoubleVPN utilizado...
- Operadores de Telefonía añaden enlaces publicidad ...
- 30 millones ordenadores Dell vulnerables por culpa...
- Grupo MASMOVIL España hackeado por el ransomware d...
- Grave vulnerabilidad en el servicio de impresión d...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Herramientas Endpoint Detection and Response EDR
Los ataques avanzados actuales son cada vez más difíciles de detectar. Mediante técnicas que aisladamente parecen comportamientos rutinarios, un atacante puede acceder a su infraestructura y permanecer sin ser detectado durante meses, lo que aumenta significativamente el riesgo de una costosa vulneración de datos. Cuando ves que un antivirus no es suficiente para proteger a tu empresa de un ataque de ransomware es cuando un EDR se convierte en imprescindible.
- EDR (Endpoint Detection and Response), un término acuñado en 2013 por el analista de Gartner Chuvakin
EDR monitoriza su red para descubrir con prontitud actividades sospechosas y proporciona las herramientas para permitirle combatir los ataques informáticos.
Un EDR es un sistema de protección y monitoreo de la red interna de la empresa y de los equipos endpoint (aquellos dispositivos desde los que se conectan los empleados a la red de forma remota, que van desde ordenadores a smartphones y tablets).
Las siglas EDR significan precisamente Endpoint Detection Response (detección y respuesta de punto final) y es una solución de seguridad que combina diferentes herramientas para monitorizar, analizar, anticiparse y solucionar las amenazas que puedan poner en riesgo la red interna y los dispositivos endpoint de los empleados.
EDR se basan en tecnologías Machine Learning, Deep Learning y analítica de datos, las cuales permiten detectar las brechas de seguridad a través de singularidades en el comportamiento de la red corporativa, incluso antes de que se produzca el detonante.
En 2013, la consultora Gartner Group definió las herramientas EDR como una nueva tecnología de ciberseguridad que monitorea los dispositivos terminales en una red, brindando acceso inmediato a la información sobre un ataque en curso. Según Gartner, además de dar visibilidad a la información del ataque, las herramientas EDR ayudan al personal de seguridad de TI a responder rápidamente, ya sea poniendo en cuarentena el dispositivo atacado, bloqueando procesos maliciosos o ejecutando procedimientos de respuesta a incidentes.
Proporciona a los analistas de seguridad y a los equipos de respuesta ante incidentes las herramientas que necesitan para priorizar y analizar actividades sospechosas o bien responder de manera adecuada a las amenazas avanzadas:
- Detección en tiempo real y reparación automática
- Rápida priorización de incidentes, investigación y respuesta
- Detección de actividades sospechosas
- Validación de actividades sospechosas y priorización de alertas
- Respuesta ante incidentes con un solo clic
- Análisis forense previo y posterior al incidente (análisis de la raíz de la causa)
- Búsqueda de datos actuales e históricos para la localización de amenazas
- IoC
- Etiquetas MITRE
- Procesos, archivos, entradas del registro u otros parámetros
Componentes básicos de EDR
Las herramientas EDR se componen de tres componentes necesarios:
- La recolección de datos - componentes de software que se ejecutan en dispositivos terminales y recopilan información sobre procesos en ejecución, inicios de sesión y canales de comunicación abiertos.
- Detección - que analiza la actividad habitual del endpoint, detectando anomalías y reportando aquellas que podrían suponer un incidente de seguridad.
- El análisis de datos - que agrupa información de diferentes puntos finales y proporciona análisis en tiempo real sobre incidentes de seguridad en toda la red corporativa.
Endpoint Detection and Response EDR
Es una solución multifacética que hace todo lo que los antivirus modernos pueden hacer, pero que va un paso más allá, proporcionando mayor seguridad y (lo más importante) tranquilidad. Esto incluye, pero no se limita a:
- Monitoreo
- Detección de amenazas
- Listas blancas y negras
- Respuesta a la amenaza
- Integración con otras soluciones de ciberseguridad
Por ejemplo, cuando detecta un comportamiento sospechoso (un correo con un archivo adjunto), lo registra y lo lleva a un entorno aislado para analizar su comportamiento, ejecutándolo como lo haría un usuario. Si el adjunto resulta contener malware, bloqueará el correo que lo contiene en todos los sistemas y reportará el hallazgo.
Así, el sistema EDR se basa en:
- La detección de una amplia variedad de amenazas, no solo malware, como por ejemplo, intentos de phishing, los virus polimórficos o la inclusión en una botnet.
- La contención de aquellas amenazas que detecta en tiempo real.
- La investigación rápida de incidentes de seguridad, para solucionarlos y minimizar su impacto. Además, realiza análisis forenses que el equipo de TI utilizará en su propia investigación de un incidente seguridad.
- La eliminación de las amenazas en los equipos endpoint y de la propia red.
- Puesto que monitoriza todo el sistema en tiempo real (o prácticamente en tiempo real), puede detectar intentos de acceso o movimientos de datos sospechosos y parar así la amenaza antes de que logren materializarse por completo.
- Recoge en un solo punto toda la información relativa a incidentes o eventos o acciones sospechosas, lo que permite llevar a cabo una investigación más rápida.
- Sus herramientas permiten tener una mejor capacidad para adelantarse a amenazas y ataques dirigidos.
- Crea una segunda línea defensa para frenar las amenazas que logren traspasar una primera solución de seguridad, como puede ser el antivirus.
¿Qué aporta una solución EDR frente a un Endpoint tradicional?
Los EDR aportan una serie de significativas mejoras frente a los enfoques EPP tradicionales. Entre ellas, éstas son las más destacadas:
- Prevención: gracias a potentes motores de análisis de Machine y Deep Learning las soluciones EDR permiten detectar las amenazas en base a patrones de comportamiento permitiendo determinar focos de amenaza antes incluso de que las mismas se detonen en la máquina.
- Respuesta: las soluciones EDR están diseñadas no sólo para prevenir las amenazas si no para aplicar los mecanismos de respuesta más adecuados en base a cada situación.
- Investigación: otro aspecto diferencial de las soluciones de EDR es la capacidad de almacenar toda la actividad de los puestos de trabajo de cara a facilitar las labores forenses requeridas después de un incidente.
¿Qué tipo de respuesta pueden generar?
Quizás lo más interesante de estas soluciones sea entender qué tipo de mecanismos ponen a nuestra disposición para responder frente a una determinada amenaza. Como es lógico cada fabricante tiene sus capacidades, pero es interesante analizar en su conjunto alguna de las principales.
- Aislamiento: con este mecanismos podemos conseguir que uno o varios equipos infectados queden desconectados de la red de cara a evitar movimientos laterales y posibles nuevas infecciones
- Borrado de ficheros: en el momento en el que se detecta una potencial amenaza estas herramientas permiten no sólo borrar el fichero origen de la misma si no actuar sobre el resto de máquinas que tengan dicho fichero para evitar que se generen nuevas amenazas
- Blacklist: en este caso lo que permiten estas soluciones es añadir las direcciones IP origen o destino de un ataque a una lista negra que evita que ningún otro equipo pueda acceder o ser accedido desde las mismas
- Rollback: este mecanismo está muy vinculado con ataques tipo ransomware y lo que permiten es llevar a cabo una recuperación de los ficheros que hayan podido ser encriptados durante un ataque de este tipo
¿Cuál es la diferencia entre EPP y EDR?
Las soluciones EPP actúan como la primera línea de defensa en ataques contra endpoints. Las soluciones EDR están diseñadas para hacer frente a las amenazas que el software EPP no puede detectar, lo que ayuda a identificarlas y mitigarlas después de que ocurren.
Por ejemplo, un EPP puede detectar malware de día cero u otras amenazas avanzadas, pero una vez que se ataca el punto final, comenzará a generar una actividad inusual. EDR puede detectar esta actividad, bloquear automáticamente el punto final y ayudar a los analistas de seguridad a investigar más a fondo.
¿Cuál es la diferencia entre EDR y XDR?
XDR permite la detección y la respuesta que van más allá del enfoque en silos de las herramientas de seguridad tradicionales, como EDR. EDR es potente pero, en última instancia, limitado, porque solo se pueden proteger los puntos finales administrados con un agente de EDR. Esto limita la gama de amenazas y ataques contra los que puede ser eficaz.
EDR a menudo se complementa con herramientas de análisis de tráfico de red (NTA), pero estas herramientas se limitan a la red y al segmento de red supervisado. Debido a que las soluciones NTA generan una gran cantidad de registros y alertas, es necesario analizar la relación entre las alertas de red y otros datos para identificar eventos de seguridad importantes.
Si bien la industria ha logrado un gran progreso en la detección y respuesta, la funcionalidad EDR se ha proporcionado tradicionalmente como una solución puntual en una capa de seguridad específica y los beneficios se limitan a esa capa. XDR permite la detección y la respuesta en una plataforma unificada e integrada, que puede ofrecer resultados mucho mejores.
- - Heimdal Security
- - Bitdefender
- - Snort
- - SentinelOne
- - Sophos
- - CrowdStrike
- - Carbon Black
- - Cynet 360
- - Cytomic
- - Kaspersky
- - MVISION
- - Cybereason
- - ESET
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.