Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Herramientas Endpoint Detection and Response EDR




Los ataques avanzados actuales son cada vez más difíciles de detectar. Mediante técnicas que aisladamente parecen comportamientos rutinarios, un atacante puede acceder a su infraestructura y permanecer sin ser detectado durante meses, lo que aumenta significativamente el riesgo de una costosa vulneración de datos. Cuando ves que un antivirus no es suficiente para proteger a tu empresa de un ataque de ransomware es cuando un EDR se convierte en imprescindible.


  •  EDR (Endpoint Detection and Response), un término acuñado en 2013 por el analista de Gartner Chuvakin

EDR monitoriza su red para descubrir con prontitud actividades sospechosas y proporciona las herramientas para permitirle combatir los ataques informáticos.

Un EDR es un sistema de protección y monitoreo de la red interna de la empresa y de los equipos endpoint (aquellos dispositivos desde los que se conectan los empleados a la red de forma remota, que van desde ordenadores a smartphones y tablets).

Las siglas EDR significan precisamente Endpoint Detection Response (detección y respuesta de punto final) y es una solución de seguridad que combina diferentes herramientas para monitorizar, analizar, anticiparse y solucionar las amenazas que puedan poner en riesgo la red interna y los dispositivos endpoint de los empleados.

EDR se basan en tecnologías Machine Learning, Deep Learning y analítica de datos, las cuales permiten detectar las brechas de seguridad a través de singularidades en el comportamiento de la red corporativa, incluso antes de que se produzca el detonante.

En 2013, la consultora Gartner Group definió las herramientas EDR como una nueva tecnología de ciberseguridad que monitorea los dispositivos terminales en una red, brindando acceso inmediato a la información sobre un ataque en curso. Según Gartner, además de dar visibilidad a la información del ataque, las herramientas EDR ayudan al personal de seguridad de TI a responder rápidamente, ya sea poniendo en cuarentena el dispositivo atacado, bloqueando procesos maliciosos o ejecutando procedimientos de respuesta a incidentes.



Proporciona a los analistas de seguridad y a los equipos de respuesta ante incidentes las herramientas que necesitan para priorizar y analizar actividades sospechosas o bien responder de manera adecuada a las amenazas avanzadas:

  • Detección en tiempo real y reparación automática
  • Rápida priorización de incidentes, investigación y respuesta
  • Detección de actividades sospechosas
  • Validación de actividades sospechosas y priorización de alertas
  • Respuesta ante incidentes con un solo clic
  • Análisis forense previo y posterior al incidente (análisis de la raíz de la causa)
  • Búsqueda de datos actuales e históricos para la localización de amenazas
  • IoC
  • Etiquetas MITRE
  • Procesos, archivos, entradas del registro u otros parámetros

Componentes básicos de EDR

Las herramientas EDR se componen de tres componentes necesarios:

  • La recolección de datos - componentes de software que se ejecutan en dispositivos terminales y recopilan información sobre procesos en ejecución, inicios de sesión y canales de comunicación abiertos.
  • Detección - que analiza la actividad habitual del endpoint, detectando anomalías y reportando aquellas que podrían suponer un incidente de seguridad.
  • El análisis de datos - que agrupa información de diferentes puntos finales y proporciona análisis en tiempo real sobre incidentes de seguridad en toda la red corporativa.

Endpoint Detection and Response EDR



El término endpoint, es decir, el punto final de una comunicación. En esencia, no es otra cosa que un tipo de nodo de red que se comunica con la red a la que está conectado (por ejemplo, un ordenador portátil o un dispositivo móvil).

El usuario suele ser el eslabón más débil y con mayor facilidad de entrada. Los ciberdelincuentes lo saben, y por eso están aumentando los ataques que combinan el envío masivo de SPAM con el uso de ingeniería social.

La seguridad EDR (detección y respuesta en los endpoints) es una tecnología que monitoriza continuamente su red en busca de amenazas digitales y le ayuda a combatir los ataques.

Un sistema EDR se caracteriza por aunar funcionalidades de un antivirus tradicional o EPP (Endpoint Protection Platform), como pueden ser la detección, identificación y la prevención de los efectos de malware y, en algunos casos, de ransomware; con la detección de amenazas avanzadas mediante aprendizaje automático como malware de tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social, amenazas persistentes o cuentas comprometidas.

 Es una solución multifacética que hace todo lo que los antivirus modernos pueden hacer, pero que va un paso más allá, proporcionando mayor seguridad y (lo más importante) tranquilidad. Esto incluye, pero no se limita a:

  • Monitoreo
  • Detección de amenazas
  • Listas blancas y negras
  • Respuesta a la amenaza
  • Integración con otras soluciones de ciberseguridad

Por ejemplo, cuando detecta un comportamiento sospechoso (un correo con un archivo adjunto), lo registra y lo lleva a un entorno aislado para analizar su comportamiento, ejecutándolo como lo haría un usuario. Si el adjunto resulta contener malware, bloqueará el correo que lo contiene en todos los sistemas y reportará el hallazgo.

Así, el sistema EDR se basa en:

  • La detección de una amplia variedad de amenazas, no solo malware, como por ejemplo, intentos de phishing, los virus polimórficos o la inclusión en una botnet.
  • La contención de aquellas amenazas que detecta en tiempo real.
  • La investigación rápida de incidentes de seguridad, para solucionarlos y minimizar su impacto. Además, realiza análisis forenses que el equipo de TI utilizará en su propia investigación de un incidente seguridad.
  • La eliminación de las amenazas en los equipos endpoint y de la propia red.
  • Puesto que monitoriza todo el sistema en tiempo real (o prácticamente en tiempo real), puede detectar intentos de acceso o movimientos de datos sospechosos y parar así la amenaza antes de que logren materializarse por completo.
  • Recoge en un solo punto toda la información relativa a incidentes o eventos o acciones sospechosas, lo que permite llevar a cabo una investigación más rápida.
  • Sus herramientas permiten tener una mejor capacidad para adelantarse a amenazas y ataques dirigidos.
  • Crea una segunda línea defensa para frenar las amenazas que logren traspasar una primera solución de seguridad, como puede ser el antivirus.
El EDR es especialmente efectivo para detectar ataques de ingeniería social, como el ya citado phishing o spear phishing, para conseguir credenciales de usuario con las que acceder al sistema y empezar a moverse por él o quedarse oculto y latente hasta el momento en que decida actuar.

También es efectivo para detectar archivos adjuntos maliciosos o sospechosos de serlo, como documentos de Word o PDF con macros que incluyen código malicioso listo para ejecutarse en el momento en el que el usuario lo abra. Así como para la detección, como ya mencionamos, del malware sin archivos (que se ejecuta desde la memoria) o de virus polimórficos, que van cambiando de forma para burlar las medidas de seguridad.

¿Qué aporta una solución EDR frente a un Endpoint tradicional?

Los EDR aportan una serie de significativas mejoras frente a los enfoques EPP tradicionales. Entre ellas, éstas son las más destacadas:

  • Prevención: gracias a potentes motores de análisis de Machine y Deep Learning las soluciones EDR permiten detectar las amenazas en base a patrones de comportamiento permitiendo determinar focos de amenaza antes incluso de que las mismas se detonen en la máquina.
  • Respuesta: las soluciones EDR están diseñadas no sólo para prevenir las amenazas si no para aplicar los mecanismos de respuesta más adecuados en base a cada situación.
  • Investigación: otro aspecto diferencial de las soluciones de EDR es la capacidad de almacenar toda la actividad de los puestos de trabajo de cara a facilitar las labores forenses requeridas después de un incidente.

¿Qué tipo de respuesta pueden generar?

Quizás lo más interesante de estas soluciones sea entender qué tipo de mecanismos ponen a nuestra disposición para responder frente a una determinada amenaza. Como es lógico cada fabricante tiene sus capacidades, pero es interesante analizar en su conjunto alguna de las principales.

  • Aislamiento: con este mecanismos podemos conseguir que uno o varios equipos infectados queden desconectados de la red de cara a evitar movimientos laterales y posibles nuevas infecciones
  • Borrado de ficheros: en el momento en el que se detecta una potencial amenaza estas herramientas permiten no sólo borrar el fichero origen de la misma si no actuar sobre el resto de máquinas que tengan dicho fichero para evitar que se generen nuevas amenazas
  • Blacklist: en este caso lo que permiten estas soluciones es añadir las direcciones IP origen o destino de un ataque a una lista negra que evita que ningún otro equipo pueda acceder o ser accedido desde las mismas
  • Rollback: este mecanismo está muy vinculado con ataques tipo ransomware y lo que permiten es llevar a cabo una recuperación de los ficheros que hayan podido ser encriptados durante un ataque de este tipo

¿Cuál es la diferencia entre EPP y EDR?

Las soluciones EPP actúan como la primera línea de defensa en ataques contra endpoints. Las soluciones EDR están diseñadas para hacer frente a las amenazas que el software EPP no puede detectar, lo que ayuda a identificarlas y mitigarlas después de que ocurren.

Por ejemplo, un EPP puede detectar malware de día cero u otras amenazas avanzadas, pero una vez que se ataca el punto final, comenzará a generar una actividad inusual. EDR puede detectar esta actividad, bloquear automáticamente el punto final y ayudar a los analistas de seguridad a investigar más a fondo.



¿Cuál es la diferencia entre EDR y XDR?

XDR permite la detección y la respuesta que van más allá del enfoque en silos de las herramientas de seguridad tradicionales, como EDR. EDR es potente pero, en última instancia, limitado, porque solo se pueden proteger los puntos finales administrados con un agente de EDR. Esto limita la gama de amenazas y ataques contra los que puede ser eficaz.

EDR a menudo se complementa con herramientas de análisis de tráfico de red (NTA), pero estas herramientas se limitan a la red y al segmento de red supervisado. Debido a que las soluciones NTA generan una gran cantidad de registros y alertas, es necesario analizar la relación entre las alertas de red y otros datos para identificar eventos de seguridad importantes.

Si bien la industria ha logrado un gran progreso en la detección y respuesta, la funcionalidad EDR se ha proporcionado tradicionalmente como una solución puntual en una capa de seguridad específica y los beneficios se limitan a esa capa. XDR permite la detección y la respuesta en una plataforma unificada e integrada, que puede ofrecer resultados mucho mejores.


Herramientas EDR



  • - Heimdal Security
  • - Bitdefender
  • - Snort
  • - SentinelOne
  • - Sophos
  • - CrowdStrike
  • - Carbon Black
  • - Cynet 360
  • - Cytomic
  • - Kaspersky
  • - MVISION
  • - Cybereason
  • - ESET
Comparativa




0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.