EDR: prevención y protección de primera clase

La EDR es una solución multifactor que puede hacer todo lo que un antivirus y que va un paso más allá, al ofrecer mayor seguridad y tranquilidad. Sus características incluyen, entre otras:

  • Supervisión
  • Detección de amenazas
  • Uso de listas de elementos permitidos y denegados/excluidos
  • Respuesta a amenazas
  • Integración con otras soluciones de ciberseguridad
  • Ir más allá de la detección de amenazas y las cuarentenas

Al igual que en el caso de los antivirus, los MSP gestionan la EDR sin que sea necesario la intervención por parte del usuario final. Dado el número de amenazas que surgen a diario, la gestión de grandes cantidades de endpoints puede ser más difícil con los antivirus y otras soluciones. Este es el punto en el que las diferencias entre los antivirus y la EDR quedan claras.

La EDR es proactiva. Formado por software de supervisión y agentes para endpoints, el aprendizaje automático integrado y la inteligencia artificial avanzada permite que la EDR identifique los vectores de amenaza con comportamientos sospechosos para gestionarlos antes que se confirme que son dañinos. En lugar de basarse en actualizaciones de definiciones, busca comportamientos anómalos.

Por ejemplo, si varios archivos cambian de forma simultánea, es probable que esto se deba a un ataque al endpoint.

Si utiliza N-able™ Endpoint Detection and Response (EDR), el procesamiento se realiza a nivel local en el endpoint, a diferencia de lo que sucede con otros proveedores de EDR, que requieren cargas intensivas en tiempo y recursos a la nube para el análisis y procesamiento de amenazas. Puede recuperarse rápido, de forma automatizada.

No es suficiente aceptar que una amenaza ha causado daños. Querrá preguntarse cómo y por qué ha llegado hasta ese punto. Es en este aspecto donde la EDR destaca, a través del análisis de las causas raíz. N-able EDR proporciona contexto mediante su “narración visual”.

Podrá comprobar qué proceso ha iniciado el ataque y cómo se ha replicado y extendido. También obtendrá información sobre la naturaleza de la amenaza. Esto permitirá que el usuario final entienda su papel a la hora de permitir el acceso de la amenaza (cuando sea el caso).

La narración se produce en tiempo real a medida que se produce. Con la EDR, no estará indefenso en ningún momento. En este sentido, el agente de EDR actúa como un analista personal de un centro de operaciones de seguridad.

Sus opciones de recuperación incluyen eliminar la amenaza, ponerla en cuarentena, adoptar medidas de resolución y revertir el ataque (vea la Foto2), en función de la forma en la que haya configurado el agente para cada usuario final. En caso de que se produzca un ataque de ransomware, podrá restaurar un endpoint infectado a su estado previo al ataque (solo Windows®).

Para ser objetivos en nuestra evaluación, debemos tener en cuenta la cuestión del coste. El coste de la EDR por licencia es superior al del antivirus, pero no es algo prohibitivo. Muchos clientes pueden quejarse del gasto extra, pero es probable que se encuentren en una situación en la que no pueden permitirse no usar EDR. Si quiere consultar un ejemplo de los posibles costes empresariales para un cliente que decide no disponer de EDR, examine este reciente estudio de caso.

Si su cliente no dispone de protección de endpoints, recomendamos el uso de EDR. No tendrán que asumir costes de actualización asociados al paso de antivirus a la EDR y la tranquilidad añadida justifica la elección de sobra. Asimismo, en el caso de sus servidores, debe tratarlos de la misma forma que los recursos de alto valor que contiene. La EDR es su mejor opción.

Si detecta resistencia a la adopción de la EDR en función del coste, no se centre en lo que pierde el cliente, sino en lo que va a ganar: tiempo. Los procesos de reversión suelen tardar menos de un minuto frente a las cuatro o seis horas necesarias para recuperar cada dispositivo a partir de una imagen. Además, dispondrá de información sobre qué ha sucedido. Por último, si se produce un ataque, existe una posibilidad considerable de que pierda a ese cliente.

Una última consideración: la EDR no sustituye a las copias de seguridad. Sin ninguna duda, realizar copias de seguridad de los datos y almacenarlos en una ubicación externa sigue siendo una práctica recomendada en materia de ciberhigiene. Juntos, son una combinación increíble.

Antivirus vs EDR: resumen

ANTIVIRUSEDR
Disponibilidad de datos sobre amenazas de tipo forense y sobre contextoLimitadaCompleta
Opciones de eliminación, cuarentena, resolución y reversiónSolo eliminación/ cuarentenaTodo
Uso del sistema de elementos de exposición y vulnerabilidades comunesNo
Protección del usuario sin conexiónRequiere definiciones actualizadas
Política para permitir/bloquear dispositivos USB por proveedor/clase/
número de serie/producto
No
Política para contener amenazas mediante la desconexión de la redNo
Política para controlar la configuración de los cortafuegos de los endpointsNo
Uso de recursosModeradoLigero
Contribuye a mejorar la defensa frente a amenazas de ofuscación/
variaciones/contenedores
Requiere definiciones actualizadas
Contribuye a mejorar la defensa frente a ataques sin archivosNo
Contribuye a mejorar la defensa frente a ataques desconocidos y de día ceroRequiere definiciones actualizadas
Utiliza detección basada en firmas

Saber sobre:

n-able