Seguridad Integral

Por qué las organizaciones necesitan EDR inteligente

Brenda Facundo


Posted in Amenazas on Jul 01, 2020

Para comprender la necesidad de la detección y respuesta de punto final (EDR), comencemos discutiendo el entorno de ciberseguridad.

Las organizaciones tienen que lidiar con múltiples amenazas que intentan ingresar a sus entornos diariamente. Naturalmente, muchas de estas amenazas se detienen por completo con fuertes defensas de ciberseguridad. Pero aquellos que son evasivos, poco comunes o poco claros pueden pasar, que es donde entra en juego EDR. EDR surgió de la necesidad de complementar las herramientas de protección de endpoints existentes.

Para que sea más fácil de entender, usemos un ejemplo visual:

1. Benigno

Estos son programas no maliciosos que forman parte de la vida diaria en la gran mayoría de las organizaciones, como Microsoft Word, Outlook o Google Chrome. No queremos interferir con ellos, ya que esto causaría interrupciones en el negocio en general.

2. Área gris o 'la brecha'

Esta área se refiere a artículos que obviamente no son buenos o malos, por lo que no sabemos si están bien para dejarlos o si deben bloquearse sin realizar más investigaciones manuales.

EDR fue desarrollado para investigar la brecha. ¿Son estos elementos realmente maliciosos, que requieren acciones como aislar los dispositivos afectados o realizar la limpieza? ¿Son aplicaciones potencialmente no deseadas (PUA)? ¿O algo benigno que pueda ser ignorado?

A medida que las amenazas evolucionan, muchas se vuelven más sigilosas y utilizan métodos específicos para engañar a las soluciones antivirus. EDR brinda a las organizaciones las herramientas para buscar Indicadores de compromiso sospechosos (COI) y detectar estas amenazas ocultas.

3. Malware

Los archivos maliciosos deben detenerse por completo mediante puntos fuertes y defensas del servidor. Estos son condenados como maliciosos y no requieren interacción humana. Desafortunadamente, algunas herramientas EDR tradicionales fallan aquí, dejando pasar el malware que debería haber sido atrapado. Esto se debe a que sus puntos fuertes residen en la detección posterior al evento y no en la protección preventiva.

Qué buscar en una solución EDR

Las herramientas EDR pueden variar enormemente en términos de facilidad de uso y granularidad de análisis. Las preguntas clave que se deben hacer al evaluar una solución EDR son:

  • ¿Requiere recursos adicionales o puede obtener valor con su equipo actual?
  • ¿Te ayuda a priorizar tu tiempo mostrándote los elementos más sospechosos?
  • ¿Puedes ver cómo entró una amenaza potencial y con qué interactuó?
  • ¿Obtiene inteligencia sobre el elemento sospechoso, como especialistas en aprendizaje automático o ciberseguridad?
  • ¿Es fácil tomar medidas cuando ha tomado una decisión? Por ejemplo, ¿bloquear una amenaza o aislar un dispositivo?


Sophos Intercept X con EDR que combina protección líder en la industria con capacidades EDR potentes y fáciles de usar.


Déjanos un comentario: