What Is Endpoint Detection and Response?

La detección y respuesta para endpoints (EDR), también conocida como detección y respuesta a amenazas para endpoints (ETDR) es una solución integrada de seguridad para endpoints que combina la supervisión y la recopilación continuas en tiempo real de datos de endpoints con funciones de análisis y respuesta automatizadas basadas en reglas. El término fue propuesto por Anton Chuvakin de Gartner para describir los sistemas de seguridad emergentes que detectan e investigan actividades sospechosas en hosts y endpoints, empleando un alto grado de automatización para permitir que los equipos de seguridad identifiquen y respondan rápidamente a las amenazas.

Las funciones principales de un sistema de seguridad EDR son:

  • Supervisar y recopilar datos de actividad de los endpoints que podrían indicar una amenaza.
  • Analizar estos datos para identificar patrones de amenaza.
  • Responder automáticamente a las amenazas identificadas para eliminarlas o contenerlas y notificar al personal de seguridad.
  • Forensics and analysis tools to research identified threats and search for suspicious activities

Adopción de soluciones EDR

Se prevé que la adopción de EDR aumente significativamente en los próximos años. Según el informe Global Market Outlook (2017-2026) de Stratistics MRC sobre EDR, se espera que las ventas de soluciones EDR, tanto locales como basadas en la nube, alcancen los 7270 millones de dólares en 2026, con una tasa de crecimiento anual de casi el 26 %.

Uno de los factores que impulsa el aumento de la adopción de EDR es el aumento del número de endpoints conectados a las redes. Otro factor importante es la mayor sofisticación de los ciberataques, que a menudo se centran en los endpoints como objetivos más fáciles para infiltrarse en una red.

Componentes clave de la seguridad EDR

La seguridad EDR proporciona un concentrador integrado para la recopilación, correlación y análisis de datos de endpoints, así como para coordinar alertas y respuestas a amenazas inmediatas. Las herramientas EDR tienen tres componentes básicos:

Agentes de recopilación de datos de endpoints. Los agentes de software supervisan los endpoints y recopilan datos (como procesos, conexiones, volumen de actividad y transferencias de datos) en una base de datos central.

Respuesta automatizada. Las reglas preconfiguradas de una solución EDR pueden reconocer cuando los datos entrantes indican un tipo conocido de infracción de seguridad y desencadenan una respuesta automática, como cerrar la sesión del usuario final o enviar una alerta a un miembro del personal.

Analysis and forensics. An endpoint detection and response system may incorporate both real-time analytics, for rapid diagnosis of threats that do not quite fit the pre-configured rules, and forensics tools for threat hunting or conducting a post-mortem analysis of an attack.

  • Un motor de análisis en tiempo real utiliza algoritmos para evaluar y correlacionar grandes volúmenes de datos en busca de patrones.
  • Forensics tools enable IT security professionals to investigate past breaches to better understand how an exploit works and how it penetrated security. Los profesionales de la seguridad de TI también utilizan herramientas de análisis forense para buscar amenazas en el sistema, como malware u otros exploits que pueden acechar sin ser detectados en un endpoint.

Las nuevas funciones EDR mejoran la inteligencia de amenazas

Las nuevas funciones y servicios están ampliando la capacidad de las soluciones EDR para detectar e investigar amenazas.

Por ejemplo, servicios de inteligencia de amenazas de terceros, como Trellix Global Threat Intelligence, aumentan la eficacia de las soluciones de seguridad de los endpoints. Los servicios de inteligencia de amenazas proporcionan a una organización un conjunto global de información sobre las amenazas actuales y sus características. Esa inteligencia colectiva ayuda a aumentar la capacidad de una solución EDR para identificar exploits, especialmente los ataques zero-day y multicapa. Muchos proveedores de seguridad EDR ofrecen suscripciones de inteligencia de amenazas como parte de su solución de seguridad de endpoints.

Además, las nuevas funciones de investigación de algunas soluciones EDR pueden aprovechar la inteligencia artificial y el aprendizaje automático para automatizar las etapas de un proceso de investigación. Estas nuevas funciones pueden aprender los comportamientos de referencia de una organización y utilizar esta información, junto con otras fuentes de inteligencia de amenazas, para interpretar los hallazgos.

Otro tipo de inteligencia de amenazas es el proyecto Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) que desarrolla MITRE, un grupo de investigación sin ánimo de lucro que colabora con el gobierno de EE. UU. ATT&CK es una base de conocimiento y un marco de trabajo basado en el estudio de millones de ciberataques reales.

ATT&CK clasifica las ciberamenazas según varios factores, como las tácticas utilizadas para infiltrarse en un sistema de TI, el tipo de vulnerabilidades del sistema explotadas, las herramientas de malware utilizadas y los grupos delictivos asociados con el ataque. El objetivo del trabajo es identificar patrones y características que no se alteran con pequeñas modificaciones en un exploit. Detalles como direcciones IP, claves de registro y números de dominio pueden cambiar con frecuencia. Sin embargo, los métodos del atacante (o "modus operandi") suelen ser los mismos. Una solución EDR puede utilizar estos comportamientos comunes para identificar amenazas que pueden haberse alterado de otras formas.

A medida que los profesionales de la seguridad de TI se enfrentan a ciberamenazas cada vez más complejas, así como a una mayor diversidad en el número y los tipos de endpoints que acceden a la red, necesitan más ayuda del análisis y la respuesta automatizados que proporcionan las soluciones de detección y respuesta para endpoints.

Explore more Security Awareness topics