Cuando los mecanismos de prevención fallan, las herramientas EDR (detección y respuesta de endpoints) permiten una reacción rápida que mantiene los daños al mínimo.

En caso de que ocurra un ciberataque, cada segundo cuenta. Las pérdidas debidas a un ataque pueden multiplicarse con cada minuto que pasa. Es por eso que la detección temprana es clave para minimizar el impacto de un ciberataque. Las herramientas EDR son un valioso aliado cuando se trata de mitigar rápidamente un peligro incidente de ciberseguridad.

Importancia de reaccionar a tiempo

Cuanto más tiempo pasan desapercibidos los ciberdelincuentes en una red corporativa, más datos recopilan y más se acercan a los activos comerciales críticos. Por eso las empresas deberían frenar Ataques ciberneticos reduciendo el tiempo de exposición y deteniéndolos antes de que el daño sea irreparable.

En 2013, la consultora Gartner Group definió las herramientas EDR como una nueva tecnología de ciberseguridad que monitorea los dispositivos terminales en una red, brindando acceso inmediato a la información sobre un ataque en curso. Según Gartner, además de dar visibilidad a la información del ataque, las herramientas EDR ayudan al personal de seguridad de TI a responder rápidamente, ya sea poniendo en cuarentena el dispositivo atacado, bloqueando procesos maliciosos o ejecutando procedimientos de respuesta a incidentes.

¿Qué es un dispositivo de punto final?

In networking, un punto final se define como cualquier dispositivo conectado a los bordes de una red de datos. Esto incluye todo, desde computadoras, teléfonos y servicio al cliente. quioscos, a impresoras, terminales de punto de venta (POS) y dispositivos IoT (Internet de las cosas). En conjunto, los puntos finales plantean desafíos para los administradores de seguridad de la red, ya que son la parte más expuesta de la red y porque crean posibles puntos de penetración para los ciberatacantes.

Componentes básicos de EDR

Las herramientas EDR se componen de tres componentes necesarios:

  • La recolección de datos - componentes de software que se ejecutan en dispositivos terminales y recopilan información sobre procesos en ejecución, inicios de sesión y canales de comunicación abiertos.
  • Detección - que analiza la actividad habitual del endpoint, detectando anomalías y reportando aquellas que podrían suponer un incidente de seguridad.
  • El análisis de datos - que agrupa información de diferentes puntos finales y proporciona análisis en tiempo real sobre incidentes de seguridad en toda la red corporativa.

Entre las características deseables de una solución EDR se encuentra la identificación inteligente de Indicadores de compromiso (IoC) en los puntos finales. Estos indicadores permiten comparar la información de un incidente en curso con datos registrados en eventos anteriores, para identificar rápidamente la amenaza y no perder tiempo con el análisis que no sería útil para detener el ataque.

Otros aspectos clave de las soluciones EDR son análisis forense y alertas que notifican al personal de TI cuando ocurre un incidente, brindándoles acceso rápido a toda la información sobre el incidente. Un contexto adecuado y de fácil acceso del incidente es fundamental para que el personal de seguridad tenga todo lo necesario para investigarlo. También es importante que la solución EDR proporcione funciones de seguimiento, tanto para identificar otros puntos finales afectados por el ataque como para determinar el punto final utilizado para penetrar en la red.

Las respuestas automatizadas también son un aspecto deseable de una solución EDR. Dichas respuestas consisten en iniciativas proactivas, como bloquear el acceso a la red, bloquear procesos individuales o tomar otras acciones que podrían contener o mitigar el ataque.

Echemos un vistazo a algunas de las mejores herramientas de EDR que puede utilizar.

Heimdal Security

Heimdal propone un enfoque de varias capas para EDR a través de una pila de tecnologías que se pueden personalizar para adaptarse a cualquier escenario empresarial y cubrir todas las posibles brechas de seguridad. La solución EDR ofrece búsqueda de amenazas, monitoreo continuo, escaneo local y en la nube y bloqueo de amenazas con telemetría de tráfico de próxima generación.

La solución de Heimdal fusiona EPP con EDR, obteniendo un modelo de seguridad denominado E-PDR: Endpoint Prevention, Detection, and Response. E-PDR utiliza parches y protección contra ataques basados ​​en DNS, combinados con estrategias de respuesta inmediata que repelen las amenazas cibernéticas avanzadas de todo tipo.

Utilizando un enfoque integral para el análisis de datos y comparando los datos recopilados de los puntos finales con las fuentes de inteligencia de amenazas, Heimdal rastrea toda la actividad del punto final y responde a los incidentes de seguridad. Al agregar la opción para administrar los derechos de escritorio, cubre todas las recomendaciones de proyectos de seguridad de Gartner en una solución: # 1, Gestión de acceso privilegiado, #2, Gestión de vulnerabilidady # 3 Detección y respuesta.

Destacados

  • Darklayer GUARD se encarga del filtrado del tráfico de DNS para proporcionar prevención, detección y bloqueo de amenazas.
  • VectorN Detection aplica la detección de comportamiento de aprendizaje automático para realizar una búsqueda inteligente de amenazas.
  • X-Ploit Resilience realiza un inventario de software automatizado, una gestión de vulnerabilidades y un parche de software automatizado.
  • Thor AdminPrivilege es el módulo de administración de acceso de Heimdal, que proporciona una mayor seguridad en los puntos finales y administración de derechos de administración.

Bitdefender

Zona de gravedad Ultra tiene como objetivo minimizar la superficie de ataque del punto final de una red, lo que dificulta que los atacantes puedan penetrarla. Para minimizar la sobrecarga en el punto final, la solución ofrece análisis de riesgo del comportamiento del usuario y del punto final en un solo agente y una sola arquitectura de consola.

Este enfoque integrado de la seguridad de los endpoints reduce la cantidad de proveedores, el costo total de propiedad y el tiempo necesario para responder a las amenazas.

A través de una lista de prioridades comprensible, el motor de análisis de riesgos de Bitdefender ayuda a fortalecer las configuraciones y configuraciones erróneas de seguridad de los endpoints, además de identificar los comportamientos de los usuarios que crean riesgos de seguridad para la organización. Bitdefender agrega una nueva capa de seguridad para endpoints llamada Network Attack Defense, diseñada para prevenir intentos de ataque que hacen uso de vulnerabilidades conocidas.

Los ataques basados ​​en flujos de red, como el movimiento lateral, la fuerza bruta o los ladrones de contraseñas, se bloquean antes de que puedan ejecutarse.

Destacados

  • Protección de datos a través de cifrado de disco completo módulo adicional.
  • Aprendizaje automático ajustable, inspección de procesos en tiempo real y análisis de espacio aislado para proporcionar detección previa a la ejecución y erradicación de malware.
  • Visibilidad del ataque antes y después del compromiso.
  • Búsqueda de datos actuales e históricos basada en IOC, etiquetas MITRE, procesos, archivos, entradas de registro u otros parámetros.

Snort

Bufido es un sistema de detección de intrusiones en la red (NIDS) de código abierto creado por Cisco Systems.

Funciona como un rastreador de paquetes, que examina los datos a medida que circulan por la red. Snort tiene su propio formato de datos, que es utilizado por muchos otros desarrolladores de sistemas de detección de intrusos para intercambiar información sobre amenazas. Snort capturas paquetes de red, los analiza y guarda los resultados del análisis en un archivo de registro o los muestra en una consola.

Snort también se puede usar solo para aplicar un conjunto de reglas a los paquetes de red y alertar al usuario en caso de que identifique algún contenido malicioso. Se puede usar en un sistema de escritorio individual para protección personal, pero puede tomar mucho trabajo configurarlo correctamente para usarlo de manera efectiva.

Además, no existe una GUI estándar para realizar todas las configuraciones, por lo que no es precisamente un producto para principiantes. Se puede encontrar una gran cantidad de documentación y archivos de configuración de muestra en el sitio web de Snort, lo que simplifica el trabajo para los administradores de seguridad.

Destacados

  • El sistema de prevención de intrusiones más implementado: más de 5 millones de descargas y más de 600,000 usuarios registrados.
  • Compatible con sistemas operativos x86 - Linux, FreeBSD, NetBSD, OpenBSD, Windows - y Sparc Solaris, PowerPC MacOS X, MkLinux, PA-RISC HP-UX.
  • Requiere una segunda interfaz Ethernet para "inhalar" y un disco duro grande para guardar los datos de registro.
  • Puede usarse para detectar diferentes tipos de ataques de inyección SQL.

SentinelOne

Singularidad, de SentinelOne, es una plataforma de protección de endpoints (EPP) completa que incluye la funcionalidad EDR. Ofrece algunas características que lo distinguen del resto. Entre ellos, cabe destacar la función de reversión de ransomware, un proceso de restauración que revierte el daño causado por los ataques de ransomware.

Los agentes SentinelOne se pueden instalar fácilmente en todo tipo de endpoints: máquinas Windows o Linux, dispositivos POS, IoT, entre muchos otros. El proceso de instalación es sencillo y rápido; los usuarios informan que se necesitan solo dos días para que los agentes estén en funcionamiento en cientos o miles de puntos finales junto con sus redes corporativas.

La interfaz de usuario de SentinelOne ofrece visibilidad de los procesos en cada uno de los puntos finales, junto con prácticas herramientas de búsqueda y análisis forense. La evolución del producto es continua, con la incorporación de nuevas funciones a un ritmo asombroso.

Destacados

  • Tecnología de agente único: utiliza un motor de IA estático para la protección previa a la ejecución.
  • AI reemplaza la detección tradicional basada en firmas.
  • IA de comportamiento para procesos en ejecución, que cubre todos los vectores: malware basado en archivos / sin archivos, documentos, scripts, etc.
  • Acciones de EDR automatizadas: aislamiento de la red, inmunización automática de puntos finales, reversión del punto final al estado preinfectado.

Sophos

Sophos Intercept X es una solución rápida, liviana y de pequeño tamaño que protege los terminales de una red de las amenazas a las que están expuestos. Su principal cualidad es que proporciona mecanismos de protección efectivos que consumen pocos recursos en los dispositivos cliente.

Intercept X actúa como un guardia de seguridad extremadamente devoto, lo cual es genial desde el punto de vista de la defensa. Pero los usuarios informan que puede bloquear más eventos de los que debería, lo que puede generar muchos falsos positivos al identificar amenazas.

La herramienta ofrece una plataforma en la nube de gestión centralizada, que ofrece un único lugar desde el que controlar la protección de servidores y puntos finales. Esta plataforma simplifica el trabajo de los administradores de sistemas, facilitando la verificación del estado de las amenazas encontradas, analizar accesos a URL bloqueadas, etc. Adicionalmente, ofrece funcionalidad de firewall que complementa su utilidad como antivirus.

Destacados

  • Diseñado para analistas de seguridad y gerentes de TI.
  • Disponible para Windows, macOS y Linux.
  • Consultas SQL personalizables para acceder a hasta 90 días de datos históricos y en vivo.
  • Priorización de incidentes basada en aprendizaje automático.

CrowdStrike

Para las pequeñas o medianas empresas que no pueden permitirse un equipo de especialistas en seguridad de TI, Halcón de CrowdStrike completo La solución ofrece bajos costos de adquisición, implementación y mantenimiento.

A pesar de sus bajos costos, su efectividad no se queda atrás de la de otras soluciones. Los usuarios de Falcon Complete destacan su velocidad y proactividad, asegurando que en el momento en que los administradores del sistema sean notificados de una amenaza, esta ya haya sido bloqueada y eliminada por la herramienta EDR.

Como complemento a la solución EDR Falcon, CrowdStrike ofrece un servicio gestionado de detección, caza y eliminación de amenazas que destaca por su velocidad y precisión. El servicio es ideal para liberar al personal de sistemas de la empresa cliente para tareas más estrechamente relacionadas con su negocio, en lugar de perder el tiempo lidiando con amenazas que los analistas de CrowdStrike saben cómo repeler.

Destacados

  • Uso de IOA (indicadores de ataque) para identificar automáticamente el comportamiento del atacante y enviar alertas priorizadas a la interfaz de usuario.
  • La priorización de incidentes reduce la fatiga por alerta (exposición continua a alarmas frecuentes) en un 90% o más.
  • Marco de detección basado en MITRE y CrowdScore Incident Workbench.
  • El controlador en modo kernel de Falcon Insight captura más de 400 eventos sin procesar e información relacionada necesaria para rastrear incidentes.

Carbon Black

Muchas herramientas de seguridad utilizan un mecanismo de detección de amenazas basado en firmas. Este mecanismo obtiene la firma de cada posible amenaza y la busca en una base de datos, para identificarla y determinar cómo neutralizarla. El principal problema de este mecanismo es que cuando surge una nueva amenaza, se necesita tiempo para obtener su firma y para que las herramientas de detección convencionales aprendan a identificarla.

Para evitar el problema de la detección basada en firmas, soluciones como Carbon negro utilizar métodos heurísticos para detectar amenazas potenciales. En el caso particular de Carbon Black, los usuarios afirman que la herramienta es capaz de detectar y bloquear numerosas amenazas avanzadas, mucho antes de que sus firmas estén disponibles. Las herramientas de análisis forense de Carbon Black también son muy apreciadas por los usuarios debido a la profundidad de su análisis y al nivel de detalle de sus informes.

La herramienta VMware es ideal para equipos de seguridad avanzados, ya que le permite definir reglas detalladas para interceptar ataques en puntos finales, además de proporcionar herramientas para realizar una búsqueda manual de amenazas.

Destacados

  • Local, nube privada virtual, SaaS o MSSP.
  • Automatización mediante integraciones y API abiertas.
  • Remediación remota: Live Response permite a los respondedores de incidentes crear una conexión segura con hosts infectados para extraer o enviar archivos, eliminar procesos y realizar volcados de memoria.
  • Los datos de terminales registrados de forma continua brindan a los profesionales de la seguridad la información que necesitan para detectar amenazas en tiempo real.

Cynet 360

EDR de Cynet El producto se distingue por utilizar señuelos engañosos para capturar y neutralizar amenazas. Los señuelos pueden ser archivos, cuentas de usuario y cuentas de dispositivos, que se instalan en la red alrededor de las áreas más sensibles, atrayendo a posibles atacantes y evitando que penetren en la red.

Los usuarios de Cynet 360 destacan la facilidad de instalación de los agentes en los endpoints, así como su consola bien presentada, que ofrece resultados detallados y fáciles de entender. La herramienta de software está respaldada por un SOC (centro de operaciones de seguridad) compuesto por ingenieros de malware y piratas informáticos éticos, que inmediatamente entran en acción cuando ocurre un incidente en cualquiera de sus clientes.

La arquitectura multiinquilino de la plataforma Cynet es adecuada para revendedores, ya que simplifica el soporte para numerosos clientes. Por otro lado, las aplicaciones personalizadas que muestran la postura de seguridad de toda la empresa en dispositivos Android, iOS y televisores inteligentes facilitan a los revendedores ofrecer Cynet 360 a sus clientes.

Destacados

  • Implementación de alta velocidad: hasta 50K hosts / servidores en un día.
  • Descubrimiento y autodespliegue automatizados en máquinas nuevas.
  • Protección de hosts, servidores y entornos virtuales.
  • Compatibilidad con Windows, macOS y cinco versiones de Linux.

Cytomic

Panda Security Citómico La unidad de negocio ofrece una plataforma de seguridad diseñada especialmente para grandes corporaciones que necesitan proteger endpoints en redes distribuidas en diferentes continentes, con diferentes equipos de operaciones en cada uno. La solución permite que el personal de TI corporativo tenga una visión completa de la postura de seguridad desde un punto central, mientras que la administración y el trabajo diario se delega en los equipos locales de cada país, cada uno con su propia consola administrativa.

El despliegue de agentes de seguridad en estaciones de trabajo y servidores Windows se realiza sin problemas, aunque la compatibilidad con Linux no está garantizada para todas las distribuciones. Un servicio de caza de amenazas proporcionado directamente por Panda Security es un valioso complemento de la herramienta, ya que ofrecen un equipo de soporte siempre disponible, atento y listo para ayudar ante cualquier incidencia. El costo de la solución se encuentra entre los más bajos de la gama de productos adecuados para clientes corporativos.

Destacados

  • El servicio Threat Hunting está incluido en los productos.
  • Los ataques basados ​​en exploits están bloqueados.
    Búsqueda de IoC retrospectiva y en tiempo real.
  • Las alertas avanzadas se priorizan y se asignan en el marco MITRE ATT & CK.

Kaspersky

Solución EDR de Kaspersky está orientado principalmente a mitigar ataques de amplio espectro y etapas múltiples. Al implementarse en la misma plataforma que Kaspersky Anti Targeted Attack (KATA), KEDR se puede combinar con KATA para detectar y responder de manera efectiva a los ataques dirigidos a la infraestructura del punto final de la red.

Video de Youtube

La complejidad de los ataques de amplio espectro hace que sea imposible identificarlos a nivel de servidor individual o estación de trabajo. Por esta razón, KEDR automatiza los procesos de recopilación de datos y analiza automáticamente la actividad sospechosa junto con la infraestructura del punto final, utilizando una combinación de aprendizaje automático, big data y experiencia humana. En paralelo, la tecnología System Watcher monitorea el comportamiento de cada aplicación después de que se inicia en un servidor o terminal, con el fin de identificar patrones de comportamiento maliciosos.

KEDR emplea una única consola para la visualización y el seguimiento detallados de todos los eventos, incluidas las detecciones recibidas y los resultados del análisis de los indicadores de compromiso (IoC) en el punto final. Kaspersky tiene una gran cantidad de clientes en el segmento empresarial, lo que mantiene su red de seguridad alimentada con el tipo de amenazas que las grandes empresas deben soportar.

Destacados

  • Detección de comportamiento con reversión automática.
  • Defensas móviles contra amenazas e integración EMM.
  • Prevención de intrusiones basada en host (HIPS).
  • Evaluación de vulnerabilidades y gestión de parches.
  • Control de aplicaciones con listas blancas basadas en categorías.

MVISION

Con MVISION, McAfee ofrece una solución en la nube de bajo mantenimiento que permite a los analistas de seguridad centrarse en la defensa estratégica de las redes, en lugar de dedicar su tiempo a tareas administrativas de rutina. Con una tecnología de investigación de amenazas basada en inteligencia artificial, MVISION logra reducir los tiempos de detección y respuesta, priorizando las incidencias que deben ser atendidas con la mayor urgencia.

La herramienta de McAfee pretende ser un asistente para los agentes de SOC al recopilar, resumir y permitir la visualización de la infraestructura de endpoints desde múltiples fuentes. De esta forma, es posible reducir la cantidad de recursos requeridos en el SOC. A su vez, para simplificar la instalación y reducir los costos de mantenimiento, MVISION puede integrarse con la plataforma de administración McAfee ePolicy Orchestrator (ePO), ya sea local o basada en SaaS.

Los usuarios de MVISION destacan las importantes reducciones de costos, en hardware, software, consumo de energía del centro de datos y tiempo dedicado a tareas de mantenimiento, logradas después de implementar la solución McAfee EDR.

Destacados

  • Protección en línea / fuera de línea de iOS y Android contra phishing, ataques de día cero y pérdida de datos.
  • Aprendizaje automático, defensa contra robo de credenciales y corrección de reversión a las capacidades básicas de seguridad del sistema operativo.
  • Gestión de un solo panel de vidrio.
  • Administración local con McAfee Gestión basada en ePO o SaaS con MVISION ePO.

Cybereason

Cybereason EDR utiliza un enfoque basado en firmas y de comportamiento para identificar amenazas y reducir el riesgo en su entorno.

Puede detectar y bloquear automáticamente todo tipo de ransomware, incluidos los ataques sin archivos. Toda la información relevante para cada ataque se consolida en una vista intuitiva llamada Malop, abreviatura de Malicious Operation. El Malop contiene todos los elementos relacionados con el ataque, incluidas todas las máquinas y usuarios afectados, la causa raíz, las comunicaciones entrantes y salientes e incluso una línea de tiempo del ataque.

Con Cybereason EDR, las alertas se pueden asignar al marco MITRE ATT & CK, donde los analistas pueden comprender la detección compleja con solo un vistazo. De esta manera, el SOC reduce el tiempo que lleva clasificar las alertas, acelerando la priorización y la corrección. Los equipos de expertos de Cybereason monitorean su entorno 24 × 7, respondiendo activamente a las amenazas y ampliando la capacidad de su propio equipo de seguridad.

Una única plataforma de monitoreo brinda una vista de toda la actividad maliciosa en cada máquina y cada proceso. Los agentes de seguridad pueden ver todo el árbol de procesos con una cronología detallada de los eventos y, con un solo clic, pueden matar procesos, poner en cuarentena archivos, eliminar mecanismos de persistencia, evitar la ejecución de archivos y aislar máquinas.

Destacados

  • La búsqueda de archivos interactiva y la compatibilidad con las reglas nativas de YARA nos permiten descubrir archivos maliciosos en máquinas con Windows, macOS y Linux.
  • Cybereason Deep Response le permite a su equipo extraer volcados de memoria, archivos de registro, registros de eventos, MFTe información de transacciones NTFS.
  • Tiempo de implementación de tan solo 24 horas, con opciones en la nube o en las instalaciones.
  • El componente Cybereason Threat Finder busca actividades, tácticas y procedimientos maliciosos utilizados por los atacantes en campañas del mundo real.

ESET

Inspector empresarial de ESET trabaja en conjunto con ESET Endpoint Protection Platform para proporcionar una solución de prevención completa para proteger contra ransomware, detectar amenazas persistentes avanzadas, detener ataques sin archivos y bloquear amenazas de día cero. Emplea un motor de detección único basado en el comportamiento y la reputación, que es totalmente transparente para los SOC.

Todas las reglas se pueden editar a través de archivos XML para permitir un ajuste fino.

La solución de ESET permite a los desarrolladores integrar sus soluciones a través de una API que brinda acceso a los datos de detección / corrección. De esta forma, pueden integrar herramientas como sistemas de ticketing, SIEM (gestión de eventos e información de seguridad), SOAR (automatización y respuesta de la orquestación de seguridad), entre otros.

Otra característica destacada de Enterprise Inspector es su capacidad remota de PowerShell, que permite a los ingenieros de seguridad inspeccionar y configurar de forma remota los puntos finales.

Conclusión

Dejando de lado las posibles diferencias en costos, rendimiento de detección o características de valor agregado, todas las herramientas mencionadas en este artículo cumplen con la tarea de proteger la infraestructura de endpoint de una red. Es importante elegir la herramienta más adecuada a las necesidades de cada empresa, pero lo más importante es actuar sin demora, siendo consciente de las amenazas a las que se enfrenta. terminales de red están expuestos, y protéjalos con una herramienta EDR de probada eficacia.