Antivirus de Nueva Generación

Oct 28, 2021 | Ciberseguridad

Antivirus de Nueva Generación. Un sistema EDR, acrónimo en inglés de Endpoint Detection Response, es un sistema de protección de los equipos e infraestructuras de la empresa. Combina el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente ante los riesgos y las amenazas más complejas.
Tiempo de lectura: 7 minutos

EDR (Endpoint Detection Response)

¿Que es EDR (Endpoint Detection Response)?

Antivirus de Nueva Generación. Un sistema EDR, acrónimo en inglés de Endpoint Detection Response, es un sistema de protección de los equipos e infraestructuras de la empresa. Combina el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente ante los riesgos y las amenazas más complejas.

Características de un sistema EDR

Un sistema EDR se caracteriza por unir varios elementos de detección y de tecnologías, como por ejemplo, la inteligencia artificial y el Big Data, que permiten mejorar de forma programada y autónoma la detección y prevención de amenazas complejas, así como su posterior eliminación o mitigación. Antivirus de Nueva Generación

Aunque comparte cometidos con el antivirus tradicional, también conocido como EPP (Endpoint Protection Platform), como son la detección, identificación y la prevención de los efectos de malware, exploits, y en algunos casos, ransomware, esta herramienta además puede detectar amenazas avanzadas, como pueden ser malware de tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social, amenazas persistentes o APT, cuentas comprometidas, etc. En caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder eliminar la amenaza o mitigar sus efectos.

Entre las aplicaciones y herramientas que incorpora, además del antivirus tradicional destacan:

  • Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine learning) para mejorar la detección de amenazas.
  • Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento de los archivos descargados, por ejemplo.
  • Escaneo de IOCs y reglas YARA, que permiten analizar y detectar las amenazas provocadas por amenazas complejas en tiempo real.
  • El uso de listas blancas y negras de correos electrónicos, páginas web e IP.
  • Interoperabilidad e interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware.
  • Ventajas e inconvenientes

Esta herramienta contiene una serie de ventajas y fortalezas frente a los antivirus tradicionales o EPP, como por ejemplo:

  • Recopila información exhaustiva y detallada de las características del dispositivo, como información del sistema operativo, del hardware o los procesos activos, entre otros datos.
  • Permite recopilar y almacenar información de forma automática, así como crear patrones de detección automatizados, facilitando el trabajo de detección.
  • Monitoriza la integridad de los sistemas y de los archivos de configuración claves, avisando en caso de modificación o acceso a los mismos por actores sospechosos.
  • Permite localizar en un solo punto toda la información, posibilitando en caso de incidente la realización de una investigación de forma rápida.

¿Que es SOAR (Security Orchestration Automation and Response)?

  • ¿Que es SOAR (Security Orchestration Automation and Response)?

SOAR (Security Orchestration Automation and Response) es una plataforma de operaciones y generación de informes de seguridad que utiliza datos extraídos de distintas fuentes para proporcionar capacidades de gestión, análisis y generación de informes en apoyo a los equipos analistas en un SOC. Las plataformas SOAR aplican la lógica de toma de decisiones, dentro de un contexto adecuado, para proporcionar flujos de trabajo formalizados y así gestionar la priorización de tareas en respuesta a incidentes. Las plataformas SOAR proporcionan la inteligencia que un equipo de SOC necesita aplicar en sus flujos de trabajo.

  • ¿Qué nos aportan las plataformas SOAR?

Se debe mencionar que las mejores plataformas SOAR son aquellas que pueden justificar y/o demostrar un retorno de la inversión (ROI) tanto en recursos materiales como humanos.

Una solución SOAR deberá incorporar e integrar como mínimo las siguientes opciones/características:

  • Threat Intelligence: deberá facilitar a los equipos de análisis el poder comparar rápidamente las amenazas potenciales con las amenazas conocidas.
  • Case Management Based Incident Response: los equipos de análisis recopilan, procesan y analizan los datos, pero deben ser capaces de aprovecharlos para priorizar las alertas y responder a las amenazas lo antes posible. La capacidad de respuesta ante incidente de una plataforma SOAR es fundamental para ello.
  • Vulnerability Management: Parte del trabajo de un analista de SOC es saber qué alertas deben ser priorizadas y gestionadas. Estas decisiones deberán ser tomadas normalmente en base a las capacidades de gestión de vulnerabilidades de una plataforma SOAR y datos reales y/o verificables.
  • Endpoint Detection and Response: Después de priorizar las alertas de seguridad, los analistas de seguridad deben profundizar en los incidentes investigando y supervisando el comportamiento de los endpoints (EDR), lo que hace que la detección y respuesta de los mismos sea una parte crítica de cualquier plataforma SOAR.
  • Process Management: dado que las plataformas SOAR están orientadas a la respuesta ante incidentes, una parte esencial de una solución SOAR es la capacidad de crear y gestionar procedimientos que se alinean con las políticas de respuesta ante incidentes de la organización.

Las plataformas SOAR proporcionan a los SOCs un enfoque diferente de cómo gestionar la seguridad IT, uno que no está restringido por procesos manuales y que aprovecha la automatización, el análisis predictivo y (cada vez más) la IA para ayudar a identificar y responder a intrusiones no autorizadas antes de que logren afianzarse en las redes corporativas. SOAR promete ofrecer una forma de reducir los tiempos de permanencia de posibles atacantes (entendiendo por permanencia el tiempo que se tarda en detectar una amenaza tras el compromiso inicial), así como los tiempos de detección y reparación (mitigando la amenaza una vez que ha sido identificada).

  • Ventajas de las plataformas SOAR

Mientras que un SIEM tradicional permite conocer que algo está ocurriendo en la red corporativa, las plataformas SOAR permiten actuar en base a esa información. Una solución SOAR recolecta y consolida todos los eventos generados por dispositivos y/o aplicaciones de seguridad y fuentes threat intelligence, yendo un paso más allá que las plataformas SIEM tradicionales al automatizar respuestas y coordinar tareas de seguridad asociadas a través de las aplicaciones y procesos conectados.

SOAR permite agregar información sobre amenazas de terceros a partir de múltiples fuentes, a la vez que ofrece la posibilidad de desarrollar procedimientos de respuesta ante cualquier amenaza.

Es muy frecuente que los equipos de análisis de amenazas desplegados en un SOC puedan sentirse abrumados por la gran cantidad de alertas e información que tienen a su disposición y a menudo diseminada a través de diferentes sistemas. Una gran parte del tiempo consumido por estos equipos se dedica a examinar la información para organizarla y presentarla de una manera consolidada que facilite la toma de decisiones. Aquí es donde entran las plataformas SOAR, donde su principal función es la de liberar a estos equipos de estas tareas, ayudando así a que se concentren en tareas de mayor prioridad y proporcionando un retorno medible de la inversión en un período de tiempo relativamente corto.

¿Que es XDR (eXternal Data Representation)?

XDR (acrónimo de eXternal Data Representation) es un protocolo de presentación de datos, según el Modelo OSI. Permite la transferencia de datos entre máquinas de diferentes arquitecturas y sistemas operativos. Trabaja al nivel de ordenamiento de byte, códigos de caracteres y sintaxis de estructura de datos (muy similar a la de C) para servir a este propósito. Fue creado para ser utilizado con el protocolo de sesión ONC RPC (llamadas a procedimiento remoto de Sun Microsystems).

En pocas palabras, XDR es una herramienta de respuesta y detección de capas cruzadas, capaz de recopilar y correlacionar datos de diversas capas de seguridad, entre los que se incluyen correo electrónico, servidores, aplicaciones, nubes y redes. Esto quiere decir que, es un enfoque que lo abarca todo dando como resultado una visibilidad del entorno tecnológico completa. De esta forma, los equipos de seguridad pueden detectar e investigar los ataques de un modo más rápido y eficaz.

  • ¿Para qué se utiliza?

Esta herramienta se centra en recoger datos de un método más avanzado que las anteriores soluciones. Gracias al análisis a través de un flujo constante de eventos múltiples, los equipos de seguridad pueden hacer conexiones lógicas a partir de una única vista de los datos y mitigar rápidamente las amenazas.

Entre sus principales usos se encuentra la detección de amenazas desconocidas y ataques avanzados. Para ellos, XDR centra los eventos de seguridad en diversos controles para dar un enfoque holístico sobre el progreso de los ataques complejos a través de una cadena cruzada de vectores. Esta solución transforma señales de seguridad débiles de varios orígenes en señales más fuertes para gestionar todo tipo de amenazas.

También, la herramienta trabaja como una plataforma integrada para correlacionar los datos, evitando así el ruido de un volumen enorme de alertas de seguridad. XDR descarta falsas amenazas y permite que las operaciones se centren en las amenazas reales.

  • Funcionamiento de la seguridad XDR y sus características

Inicialmente, este enfoque se implementa como una herramienta basada en SaaS, que debe integrarse con los productos de los que dispone la compañía y, así, poder crear un sistema unificado de seguridad. En consecuencia, el sistema recopila datos e información sin procesar de los diferentes niveles de la red de la empresa, generando un Data Lake, donde a continuación realiza un análisis y una correlación automatizada de los datos para buscar las amenazas sofisticadas.

Llegado el momento en el que la herramienta detecta una amenaza, se construye una línea de tiempo de ataque gráfica, a la que se permite el acceso desde una interfaz de usuario centralizada, generando respuestas sobre cómo se produjo el ataque, donde se originó, etcétera.

Por último, la herramienta puede dar respuesta al ataque de modo que lo contenga o lo elimine en función de los datos correlacionados de los que dispone. Además, XDR dispone de una inteligencia de amenazas para evitar que se produzcan amenazas y ataques similares a los anteriores.

La unificación de la infraestructura de la red que lleva a cabo XDR brinda una visibilidad completa y, esto trae diversos beneficios:

  • Aumento de la visibilidad: XDR genera una vista completa de la infraestructura TI. Así pues, desaparecen los silos de seguridad y brinda la oportunidad de observar las amenazas desde cualquier parte, conocer su origen, donde ha afectado, etcétera. En consecuencia, esto aporta mayor conocimiento a los analistas para generar respuestas más rápidas y adecuadas con el tipo de amenaza.
  • Eficiencia gracias a la automatización: XDR emplea la automatización para reforzar las capacidades de los empleados de seguridad y optimizar los flujos de trabajo. Así pues, desaparecen las tareas repetitivas que no aportan valor y significan una pérdida de tiempo.
  • Aumento de la calidad operativa: La visión de todo el entorno que ofrece XDR gracias a la recopilación de datos centralizada y a una única interfaz de usuario mejora la eficiencia operativa. Los analistas disponen de más tiempo para detectar y solucionar amenazas al no tener que cambiar de paneles de control en función de la herramienta que estaban empleando.
  • Análisis personalizado de las amenazas: La visibilidad holística de XDR permite adaptar las respuestas a las amenazas en función del activo atacado y, así, aprovechar puntos de control para minimizar el impacto a toda la red de la empresa.
  • Clasificación de los eventos: El análisis automatizado de los datos y la correlación de estos permite agrupar alertas similares, priorizarlas y enumerarlas. De este modo, se evita que los equipos de seguridad se enfrenten a un elevado número de alertas.
  • Aceleración de la detección y eficacia en las respuestas: La generación de un Data Lake que implica esta herramienta permite una detección y una respuesta a las amenazas más rápida y sofisticada, junto con una mayor capacidad de detección de ataques silenciosos.
  • Mejora de la productividad de SecOps: XDR es capad de brindar una capacidad de respuesta de incidentes integrada con alertas de alta fidelidad. Cuenta con un centro de administración, que como ya se ha mencionado, mejora la visibilidad de todos los entornos. Así pues, los analistas de bajo nivel pueden desempeñar puestos de mayor nivel de protección contra las amenazas y, en consecuencia, aumentar la productividad de SecOps.

Si deseas que tu empresa cuente con expertos que te puedan asesorar para la contratación del servicio de EDR, haz clic aquí y uno de nuestros asesores se pondrá en contacto contigo para proporcionarte más información sobre el servicio.

Marcelo Ivan Sotelo Santamaria

Marcelo Ivan Sotelo Santamaria

Licenciado en Administración de Empresas, con más de 20 años de experiencia en Tecnologías de la Información y Ciberseguridad.

0 comentarios

Artículos relacionados