Seguridad EDR: ¿Qué es la detección y respuesta de endpoints?

• martes 9 noviembre, 2021

La evolución del malware

Fue en los años 70´s cuando surgió el primer malware de la historia: Creeper, un programa que se replicaba así mismo y se difundía de entre las máquinas con sistema operativo Tenex, aunque según fuentes afirman que también afectó a los IBM Series 360. ¡Este malware mostraba el mensaje “I’m a creeper, catch me if you can!”. A partir de ahí, nace el primer antivirus llamado Reaper, y su función era la de eliminar las infecciones por Creeper. Con ello nace la seguridad informática como respuesta al malware.  

A partir de los 80´s el avance que tuvo el malware llegó al punto de utilizar el antivirus de manera obligatoria, tanto para organizaciones, como para los particulares. Con el paso de las décadas y los avances en la informática, su valor e importancia tanto para las organizaciones como para los ciberdelincuentes va en considerable aumento.

En este panorama de ataque, para 2017 fue el año de la evolución del ransomware. La llegada de los ransomware worms basados en la red elimina la necesidad del elemento humano en el lanzamiento de campañas de ransomware. Y para algunos ciberdelincuentes, el premio no es un rescate, sino la destrucción de sistemas y datos.

En la actualidad las redes tienen una alta explosión en la cantidad de puntos finales, incluidas estaciones de trabajo físicas y virtuales, servidores e instancias de máquinas en la nube, un crecimiento que se acelera con la pandemia, de acuerdo con McKinsey & Company, las empresas pasaron de tener, apenas a un 10 por ciento de sus empleados teletrabajando, y un 90 por ciento realizando su actividad en la oficina, a tener exactamente lo contrario. Cada EndPoint es potencialmente vulnerable a todo tipo de ataques y los equipos de seguridad tienen acceso limitado a la visibilidad de la actividad maliciosa que tiene lugar en cada uno de ellos, su capacidad para investigar y por supuesto también contener un ataque.

Para 2020 más del 25 por ciento de las empresas en México dijeron haber sido víctimas del ransomware, costando a las compañías alrededor de 2 millones de dólares.

Para protegerse a los nuevos tipos de malware las organizaciones pasaron de antivirus heredados a plataformas de protección de puntos finales (EPP) que ayudan a prevenir las amenazas de seguridad, incluido el malware conocido y desconocido. Sin embargo, existen virus que logran eludir el Endpoint Protection Platforms (EPP) y por ello es necesario pasar al siguiente nivel de protección, que consiste en una plataforma de detección y respuesta de EndPoint (EDR).

¿Qué es EDR en seguridad informática?

Endpoint Detection and Response (EDR) se refiere a las prácticas y tecnologías utilizadas para monitorear la actividad de los endpoints, identificar amenazas y responder a los ataques activando acciones automáticas en el dispositivo del endpoint. Anton Chuvakin de Gartner acuñó el término en 2013, con énfasis en proporcionar visibilidad de los incidentes de seguridad que ocurren en las terminales.

Los principales objetivos de una solución EDR son alertar al equipo de seguridad sobre la actividad maliciosa y permitir una investigación y contención rápidas de los ataques a terminales.

Las soluciones EDR comprenden tres mecanismos clave:

• 1.     Recopilación continua de datos de terminales: agrega datos sobre eventos como la ejecución de procesos, la comunicación y los inicios de sesión de los usuarios que ocurren en las terminales.
• 2.     Motor de detección: realiza análisis de datos para descubrir anomalías y detectar actividad maliciosa en los puntos finales.
• 3.     Registro de datos: proporciona a los equipos de seguridad datos en tiempo real sobre incidentes de seguridad en terminales, que luego pueden utilizar con fines de investigación.

Plataformas de protección de endpoints y la necesidad de EDR

Las plataformas de protección de punto final (EPP) proporcionan tanto antivirus (AV) heredados como antivirus de próxima generación (NGAV). Las técnicas de ataque modernas pueden eludir los antivirus heredados, y NGAV proporciona protección adicional, incluidas medidas no basadas en firmas, como análisis de comportamiento, inteligencia artificial y módulos deterministas.

Sin embargo, si se produce un ataque en un punto final y los sistemas AV y NGAV heredados no pudieron bloquearlo, los equipos de seguridad encontrarán un desafío para abordar la situación. Es posible que no sepan que se está produciendo un incidente de seguridad en el punto final y no tendrán la información forense necesaria para investigar y responder al ataque.

Incluso con las medidas más avanzadas, algunos ataques lograrán comprometer los puntos finales. EDR se desarrolló con esta realización para ayudar a los equipos de seguridad a detectar rápidamente ataques en los puntos finales y recopilar datos en tiempo real para facilitar la respuesta. EDR también permite el control remoto del punto final para contener el ataque y evitar que se propague más.

Hoy en día, EDR se considera una parte inseparable de la protección de terminales y muchas soluciones de EPP vienen con un componente EDR integrado. Las soluciones EDR pueden reducir el tiempo de respuesta a incidentes cuando se trata de ataques dirigidos a endpoints y aumentar las posibilidades de detectar un ataque y detenerlo antes de que se propague y cause daños.

¿Qué tipos de amenazas detecta EDR?

Al proporcionar visibilidad de las terminales, las soluciones EDR pueden ayudar a detectar amenazas que otras medidas de seguridad de terminales pueden haber pasado por alto. Incluyen:

• ·       Malware que puede evadir AV o NGAV heredados: los atacantes desarrollan constantemente nuevas técnicas de ataque. En caso de que AV o NGAV en el dispositivo no detecten una nueva cadena de malware, EDR puede detectar signos de que un dispositivo está infectado.
• ·       Ataques sin archivos: los exploits sin archivos no escriben archivos en el disco, por lo que pueden evadir AV y, en algunos casos, NGAV también. Si bien EDR no puede bloquear un ataque sin archivos, puede ayudar a detectar que ocurrió un ataque y ayudar a los analistas de seguridad a investigarlo y mitigarlo.
• ·       Amenazas internas y cuentas comprometidas: personas internas malintencionadas o atacantes externos pueden usar cuentas de usuario existentes para causar daños. EDR puede identificar que un usuario supuestamente legítimo se está comportando de manera anómala, lo que indica que una cuenta puede haber sido comprometida.

¿Cómo funciona EDR?

Las soluciones EDR funcionan identificando un incidente de seguridad y ayudan a los equipos de seguridad a mitigarlo. El proceso generalmente implica los siguientes pasos:

• ·       Monitorear terminales: monitoreo continuo de todos los dispositivos terminales.
• ·       Análisis de comportamiento para detectar anomalías: establece una línea de base de comportamiento para cada dispositivo, detectando la actividad que difiera de los patrones normales y cuándo excede un umbral aceptable que probablemente sea malicioso.
• ·       Pone en cuarentena los endpoints y los procesos afectados: tan pronto como se descubra un incidente de seguridad, aísla automáticamente el dispositivo del endpoint y detiene los procesos sospechosos que se ejecutan en él.
• ·       Rastrear hasta el punto de entrada original del atacante: recopila datos sobre los puntos de entrada potenciales para un ataque, proporcionando un contexto más allá de la actividad en el punto final actual.
• ·       Proporciona información sobre la anomalía y la supuesta infracción: proporciona a los analistas todo lo que necesitan para investigar el incidente.

Protección EDR y más…

Las soluciones EDR atienden exclusivamente al comportamiento del proceso que dispara alertas. Las organizaciones pueden usar herramientas EDR en respuesta a ciertas áreas de Tácticas, Técnicas y Procedimientos (TTP) comunes que usan los atacantes. Sin embargo, los productos EDR son ciegos a otros tipos de ataques.

Veamos el ejemplo del robo de credenciales. El método predeterminado que usan los atacantes consiste en descargar hashes de contraseñas de la memoria utilizando una herramienta de código abierto o una herramienta personalizada. El método de ataque implica un comportamiento anómalo, por lo que una herramienta EDR puede reconocer este tipo de ataques. Sin embargo, un atacante puede obtener los mismos hashes raspando el tráfico de red entre dos hosts, un método que no incluye actividad anómala.

Un ejemplo posterior involucra la técnica de ataque del movimiento lateral. En este escenario, el atacante puede comprometer con éxito varias credenciales y registros de cuentas de usuario, relacionados con varios hosts en la red. En este ejemplo, la anomalía es la actividad del usuario, más que el comportamiento del proceso. Por lo tanto, el EDR vería el ataque, pero sin el contexto suficiente, o no identificaría el ataque en absoluto, lo que desencadenaría falsos positivos. Por lo tanto, aunque los datos de proceso son esenciales, las organizaciones no pueden confiar en ellos como la única fuente de sus datos de seguridad.

Otra limitación de las herramientas EDR es que se limitan a los puntos finales y no pueden ayudar a mitigar los ataques o restaurar las operaciones a nivel de red o de usuario.

“Para obtener información sobre la detección y respuesta extendidas (XDR), la siguiente etapa en la evolución de EDR te invitamos a leer nuestro artículo: ¿Qué es XDR en Ciberseguridad y para qué sirve?”   

Solución holística de ciberseguridad Cynet 360

En Advance Networks te hablaremos sobre Cynet 360, la primera plataforma autónoma de protección contra violaciones del mundo. Cynet elimina la necesidad de pilas complejas de varios productos, lo que hace que una sólida protección contra violaciones esté al alcance de cualquier organización, en 2020 fue galardonada con el premio de oro a la excelencia en ciberseguridad de plataformas de protección contra violaciones.

La plataforma Cynet 360 es una solución cibernética integral que se crea para ejecutarse en todo el entorno de una organización y no solo en sus puntos finales. Para hacerlo, Cynet 360 protege todas las superficies de ataque rastreando los tres aviones; tráfico de red, comportamiento del proceso y actividad del usuario. Los atacantes a menudo se manifiestan en uno o varios de estos tres planos.

Incluso con las medidas más avanzadas, algunos ataques lograrán comprometer los puntos finales. EDR se desarrolló con esta realización para ayudar a los equipos de seguridad a detectar rápidamente ataques en los puntos finales y recopilar datos en tiempo real para facilitar la respuesta. EDR también permite el control remoto del punto final para contener el ataque y evitar que se propague más.

Hoy en día, EDR se considera una parte inseparable de la protección de terminales y muchas soluciones de EPP vienen con un componente EDR integrado. Las soluciones EDR pueden reducir el tiempo de respuesta a incidentes cuando se trata de ataques dirigidos a endpoints y aumentar las posibilidades de detectar un ataque y detenerlo antes de que se propague y cause daños.

Si deseas conocer más acerca de Cynet de la mano de los especialistas más reconocidos del mercado, contáctanos ahora y un representante Advance estará encantado(a) de brindarte todo el apoyo que necesitas.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.