SolucionesCiberseguridad

Detecta y frena los ataques en tu red gracias a una IA en la nube

9.690

En la medida en que la técnica avanza, los ciberataques se van volviendo cada vez más frecuentes y sofisticados. Por eso, los sistemas de protección utilizados hasta el momento empiezan a dejar de ser suficiente para responder de forma efectiva a estos escenarios. Es para dar una respuesta a esto que surgen los EDR. A continuación, vamos a contarte en qué consisten, gracias a lo que nos cuenta Jordi López, responsable de Sistemas y especialista de seguridad de la empresa de soluciones informáticas Océano IT.

¿Qué significa EDR en informática?

EDR hace referencia a Endpoint Detection and Response. Es una herramienta que ofrece monitorización y análisis continuo tanto del endpoint como de la red. Surge como un tipo de antivirus pensado para grandes empresas con SOC dedicados. Hoy, su demanda se ha extendido a empresas de todos los tamaños gracias a la propia evolución del mercado que ha llevado a que los fabricantes integren funcionalidades EDR en sus EPP.

Lo que la tecnología EDR hace es detectar ataques que los antivirus convencionales pueden pasar por alto. Además, proporciona herramientas adicionales orientadas a buscar amenazas desconocidas. Se puede llevar a cabo un análisis forense y responder de forma veloz y eficaz a los ataques. Asimismo, se monitorizan y evalúan todas las actividades de la red, como pueden ser archivos, procesos, eventos de los usuarios, registros, memoria y red, entre otras cosas. Es una herramienta que detecta ataques informáticos en tiempo real y, de ser necesario, permite tomar medidas inmediatas.

Claves del funcionamiento de un EDR

Siguiendo lo mencionado con anterioridad, podemos decir que el EDR es más efectivo que un antivirus en lo que respecta específicamente a la detección de malware desconocido. Esto, debido a que emplea una serie de técnicas avanzadas y novedosas. Estas son:

  • Machine learning.
  • Analítica.
  • Alertas generadas por sistemas externos y categorización de incidentes para poder reconocer y actuar sobre los más críticos de forma veloz.
  • Investigación de los incidentes, incluyendo rastreo de origen y evolución.
  • Herramientas de remediación para eliminar ficheros infectados, retornar al estado anterior y poner en cuarentena lo que sea necesario.

En otros términos, el EDR monitoriza la actividad de los endpoints y lleva a cabo una clasificación automática de los archivos en función de que estos sean seguros, desconocidos o peligrosos. Cuando detecta archivos que clasifica como “sospechosos” o desconocidos, los envía de forma automática a la nube, dejándolo aislado en un entorno de pruebas. Posteriormente, lo ejecuta imitando el comportamiento que un usuario podría tener.

Mientras esto sucede, un sistema de machine learning observa y aprende, como lo haría un cerebro humano, del comportamiento de la amenaza. Después de observarlo por un tiempo, determina si es seguro o si es peligroso. Si lo considera peligroso, lo que hace es proceder a bloquearlo en todos los endpoints. De esa manera, si en el futuro se detecta ese archivo nuevamente en cualquiera de los endpoints, lo que hará será bloquearlo directamente impidiendo la ejecución.

Los EDR pueden además ampliar su capacidad de análisis añadiendo módulos de integración con otros servicios críticos para las organizaciones. Estos módulos englobados dentro de las siglas XDR (Extended detection and reponse) permiten que el EDR monitorice los eventos de seguridad de servicios como (office 365, Google Workspaces, Active Directory, etc…) De este modo extendemos la capacidad de análisis, protección y detección del EDR a toda la superficie de ataque de las organizaciones.

Otros aspectos a considerar

Para finalizar, queremos hacer mención a otros aspectos de los EDR y su funcionamiento:

  • Utilizan inteligencia artificial para reducir la tasa de falsos positivos.
  • Están diseñados para vigilar y responder a una amplia variedad de amenazas, además del malware.
  • Permite bloqueo avanzado de amenazas.
  • Reparan el endpoint a fondo para que pueda recuperar el estatus anterior a la infección.
Noticias Relacionadas
Soluciones

Larga vida a Windows 10… con 0patch

Ciberseguridad

El 76% de las empresas mejoran sus ciberdefensas para poder optar a un ciberseguro

Ciberseguridad

Por qué tu negocio necesita contratar a una empresa de seguridad informática

Soluciones

Nuevas ayudas de Kit Digital más de 50 empleados para mejorar el SEO de tu empresa

Deja tu comentario sobre esta noticia

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.