Los endpoints son el blanco principal de los ciberataques. Los datos más conservadores cuantifican que, entre un 68% y un 70% de las brechas, comienzan en estos dispositivos. Por eso, la implantación de un EDR (Endpoint Detection and Response) es imprescindible para protegerlos en el contexto actual de amenazas informáticas.
Este EDR es una herramienta avanzada de seguridad que se instala en los dispositivos finales de la infraestructura tecnológica (ordenadores personales, servidores, teléfonos…) y que monitoriza su actividad en tiempo real, sabiendo qué sucede exactamente en cada uno de esos endpoints.
Esto hace posible detectar, analizar y responder a amenazas de seguridad de manera proactiva e inteligente. Y en caso de incidencia, también permite al equipo de respuesta tener toda la información necesaria para investigarlo y solventarlo.
Esto va más allá de las capacidades de un antivirus, solución tradicional para la protección de algunos endpoints, pero que resulta insuficiente para el contexto de seguridad actual en las organizaciones.
- Cómo funciona un EDR
- La diferencia entre gestión de seguridad y gestión de infraestructura
- Enfoques desde la gestión de infraestructura para fortalecer la seguridad
- Cómo abordan la seguridad diferentes EDR y Antivirus (A/V)
- Ventajas e inconvenientes de un EDR frente a un antivirus tradicional
- Enfoques prácticos para la seguridad de endpoints en entornos on-premise
- Cómo complementa la seguridad de los endpoints el uso de Pandora FMS
Cómo funciona un EDR
Las prestaciones de un EDR y la seguridad que ofrecen en el endpoint dependen en última instancia de cada fabricante, pero todos se basan en tres pilares fundamentales, que permiten comprender su funcionamiento y la protección que ofrecen:
- Monitoreo constante de la actividad: desde los procesos, hasta las conexiones del dispositivo, recopilando datos y analizándolos de manera inteligente.
- Detección de amenazas: cuando lo anterior alerta sobre comportamientos anormales, como movimientos laterales, malware, intentos de phishing y otras acciones maliciosas.
- Respuesta automática ante esas amenazas: como aislar el dispositivo comprometido del resto de la red, bloquear procesos con actividades dudosas o eliminar archivos dañinos.
Los EDR se diferencian de los antivirus tradicionales, tanto en capacidades de detección (afrontando amenazas desconocidas y sofisticadas), como de respuesta, siendo capaces de aislar un dispositivo de la red, por ejemplo. En contraposición, un antivirus, como mucho, pone en cuarentena o borra un archivo infectado.
Así, un actor malicioso puede haber creado un malware nuevo que extraiga datos críticos de una organización, como credenciales o información privilegiada.
Mientras que un antivirus no reconocerá el malware y le dejará hacer, un EDR puede detectar, entre otras cosas, la actividad de ese archivo malicioso, como puede ser la fuga de información. Así, puede detenerla si detecta una conexión desconocida y un flujo masivo de datos hacia ella.
Algo similar ocurre si esa exfiltración de datos se produce, por ejemplo, por la acción de un empleado descontento, sin malware de por medio.
Este usuario puede tratar de copiar información a un dispositivo externo y, mientras que un antivirus no reaccionará ante eso, un EDR puede detectar la conexión de una llave USB o el comportamiento anómalo de una copia de gran volumen de datos, y actuar en consecuencia ante este acto sospechoso.
La diferencia entre gestión de seguridad y gestión de infraestructura
Para una óptima protección de endpoints y de nuestro sistema en general, es importante comprender esta diferencia y conseguir que ambos conceptos estén alineados.
La gestión de la infraestructura tecnológica tiene como fin que esta funcione adecuadamente y ayude a los objetivos de la organización. Pero esto quedará comprometido si no tiene también la seguridad en mente.
Por su parte, la gestión de la seguridad implica poner los medios y políticas que protejan la infraestructura, como una integración de SIEM (Security Information and Event Management) y EDR, por ejemplo. Sin embargo, no es lo mismo poner medidas para proteger un edificio de paja construido de cualquier manera, que para un castillo de piedra bien planificado.
Así una gestión de infraestructura tecnológica adecuada facilitará:
- La gestión de la seguridad.
- El trabajo integrado de EDR y SIEM.
- La labor de nuestro blue team en caso de tenerlo.
- La respuesta a posibles incidentes.
Veamos un ejemplo de la diferencia que marca una infraestructura bien gestionada de una desprotegida.
Imaginemos una gestión con una segmentación adecuada de redes, un buen control de accesos de dispositivos y una política de parcheo constante.
Incluso en el caso de que algún elemento de la infraestructura falle (como la actualización tardía del firmware de un dispositivo IoT ante una vulnerabilidad), si ese dispositivo ha sido configurado con políticas adecuadas de red y acceso, contribuiremos a la seguridad. Así, reduciremos las probabilidades de que un actor malicioso que haya comprometido ese endpoint pueda moverse lateralmente a otro elemento más crítico de la red.
Si, además de esa gestión adecuada de la infraestructura, tenemos una buena gestión de seguridad con un EDR integrado con SIEM, se detectará el intento de movimiento extraño, avisando y mitigando.
Pero si ese dispositivo IoT sigue teniendo configurado el usuario y contraseña de fábrica (algo demasiado habitual, por desgracia) o bien no se ha limitado a qué tiene acceso en nuestra red, dicho actor malicioso tiene enormes posibilidades de moverse por ella hasta elementos fundamentales, o comprometer el dispositivo de otras maneras, como grabarnos con una webcam.
Enfoques desde la gestión de infraestructura para fortalecer la seguridad
Siguiendo con el símil anterior, ¿cómo levantamos nuestro castillo con piedra robusta y un diseño resistente?
Una gestión de infraestructura así pasaría por estrategias prácticas como estas:
- Políticas estrictas de actualización y parcheo: para evitar la acción de malware o técnicas que exploten vulnerabilidades de versiones antiguas. Esto implica actualización tanto de software como de firmware en los endpoints.
- Diseño óptimo de redes: segmentándolas adecuadamente y con la política de que cada dispositivo acceda solamente a lo mínimo necesario para funcionar correctamente, tanto en lo que se refiere a datos, como a otros dispositivos.
- Implementación de soluciones SIEM: que recoja información para el Network Operations Center (NOC) de lo que sucede en nuestra infraestructura, la unifique, analice y alerte ante cualquier hecho sospechoso.
- Políticas de supervisión y análisis de logs: que detecten anomalías en esos registros. Actualmente las políticas de seguridad permiten a las empresas cumplir con los más altos estándares y certificaciones de seguridad como la ISO 27001 y normativas a nivel gubernamental como la nueva NIS2, que muchas empresas ya están comenzando a implementar.
Con estas premisas, nuestra infraestructura será más sólida por sí misma a ataques, a la vez que cumple su objetivo principal, apoyar los objetivos y el trabajo de la organización.
Se suele hablar de la elección entre seguridad y conveniencia, o seguridad y rendimiento, pero es una falsa dicotomía. Una buena gestión de infraestructuras apoya seguridad y funcionamiento, no tiene que elegir. Aunque las infraestructuras actuales de los sistemas y los entornos de naturaleza híbrida constituyan un bache a sortear para obtener una visión unificada, Pandora FMS unifica fuentes de datos y permite llevar a cabo una gestión centralizada.
Cómo abordan la seguridad diferentes EDR y Antivirus (A/V)
Aunque hablamos de EDRs y antivirus como de dos enfoques generales en seguridad de endpoints, es cierto que no todo es homogéneo dentro de cada opción.
Por eso, es interesante conocer las principales características de cada solución, y cómo pueden variar en ocasiones según el fabricante de la misma.
|
EDR |
Antivirus |
|---|---|
|
Monitorización constante de la actividad en los endpoints para detectar comportamientos sospechosos. |
Escanea archivos y aplicaciones en busca de firmas de malware conocidas. |
|
Utiliza análisis de comportamiento para identificar amenazas desconocidas. |
Utiliza bases de datos de firmas para identificar malware conocido. |
|
Algunas opciones usan IA predictiva, como Pandora FMS, para detección y toma de decisiones. |
Algunos fabricantes usan heurística (reglas predefinidas de comportamientos sospechosos), una tecnología menos avanzada con más falsos positivos. |
|
Respuesta automatizada sofisticada: puede aislar dispositivos, bloquear procesos sospechosos y generar alertas avanzadas (el alcance de dicha respuesta dependerá de las prestaciones de cada fabricante). |
Respuesta automatizada limitada a cuarentena o eliminación de archivos infectados. |
|
Capacidad forense avanzada, registrando todo lo ocurrido para facilitar auditorías o la labor del equipo de respuesta a incidentes. |
Capacidad forense limitada a registrar detecciones básicas. |
|
Protección activa y reactiva. |
Protección reactiva basada en el fichero de firmas. |
|
Elevada capacidad de integración con SIEM y la infraestructura en general. |
Integración limitada. |
Ese último aspecto de integración de SIEM y EDR es crítico hoy y la clave de la seguridad en un entorno tan cambiante.
Sin embargo, en el otro plato de la balanza, la capacidad de los antivirus es mucho más reducida, tanto en información que pueden enviar a un SIEM, como en capacidad de integración con estos. Además, algunos antivirus son proclives a no llevarse bien con el resto de la infraestructura tecnológica o de seguridad, produciendo problemas de compatibilidad con firewalls u otras herramientas de protección.
Ventajas e inconvenientes de un EDR frente a un antivirus tradicional
Lo anterior no significa que todo sean puntos positivos en el caso de los EDRs, de modo que un análisis imparcial debe poner sobre la mesa dichas ventajas, pero también inconvenientes y desafíos.
Ventajas de un EDR frente a un antivirus
- Mayor capacidad de detección y protección ante amenazas, conocidas o no.
- Mayor capacidad de respuesta automatizada ante incidentes.
- Mayor capacidad de gestión de seguridad gracias a una visibilidad detallada sobre qué ocurre exactamente en cada endpoint.
Desventajas de un EDR frente a un antivirus
- Más complejo de implementar y gestionar.
- Requiere de personal capacitado para interpretar y responder a los incidentes. También para su instalación e integración, especialmente en soluciones on-premise.
- Mayor coste económico por regla general.
Ventajas de un antivirus frente a un EDR
- Facilidad y rapidez de implementación.
- Eficaz contra malware conocido y amenazas comunes.
- Más económico que los EDR, e incluso gratis.
Desventajas de un antivirus frente a un EDR
- Protección insuficiente en el contexto actual de ciberseguridad para casos más allá de un usuario individual de bajo riesgo.
- Puede generar problemas de gestión, como falsos positivos o interacciones con otras aplicaciones.
- Capacidad de respuesta muy limitada ante sucesos de seguridad.
Enfoques prácticos para la seguridad de endpoints en entornos on-premise
Ya sea por exigencias legales, como protección y gestión de datos sensibles, o por estrategia tecnológica, como la necesidad de un mayor control o rendimiento de los equipos, las soluciones on-premise ganan atractivo frente al enfoque de 100% en la nube.
Por eso, es interesante tener en cuenta estas estrategias fundamentales para implementar con éxito soluciones EDR en estos entornos on-premise.
- Análisis y evaluación de necesidades de nuestra infraestructura. Toda acción realmente estratégica, del tipo que sea, empieza por este paso. Debemos conocer bien nuestra red, sus activos críticos y las principales amenazas a las que nos enfrentamos, lo que conformará una parte importante de nuestro threat model particular, que será diferente del de otras organizaciones.
- Elección de la solución EDR adecuada. Según las conclusiones del punto anterior y nuestro presupuesto.
- Poner en marcha una fase de pruebas. En un entorno controlado que nos permita ver si la elección ha sido adecuada.
- Establecer una estrategia de despliegue gradual. Aunque las pruebas hayan sido exitosas, es importante ir poco a poco, para localizar y corregir los inconvenientes y desafíos que aparecerán inevitablemente.
- Integración con el resto de herramientas. En especial con un SIEM, configurando reglas y probando que funcionen.
- Establecer una buena política de monitoreo y auditoría. La herramienta no es nada sin un buen proceso detrás, con lo que es conveniente sistematizar las labores de supervisión.
- Establecer planes de contingencia. ¿Qué ocurriría si todo fallara? La seguridad debe hacerse siempre esta pregunta, incluso cuando aplique las mejores prácticas, ya que la probabilidad de eventos imprevistos de cisne negro nunca es cero. Para esos casos, debemos tener un plan de «botón rojo» que permita continuar el funcionamiento y la restauración de datos e infraestructura en el menor tiempo posible.
Si bien la noción on-premise vuelve a ganar adeptos, nada es una cuestión de absolutos, con lo que se puede optar por una solución híbrida.
Por eso, estas son las diferencias entre una implementación 100% local (también conocida como on-premise), una híbrida y una 100% en la nube.
- 100% local: la infraestructura de seguridad se encuentra dentro de las instalaciones de la organización. Su beneficio principal es el control total sobre datos, dispositivos y seguridad, así como un probable mayor rendimiento y menor latencia. A cambio, su desafío es que es más costosa en cuanto a recursos económicos y humanos. Estos, además de ser más numerosos, deben tener también mayor capacitación y realizarán una labor más intensiva de gestión. Hay que destacar que muchas veces por requerimientos de ENS o NIS2 ciertas piezas de infraestructura deben ser on-premise.
- Implementación Híbrida: combina elementos on-premise y en nube. La clave es aprovechar lo mejor de ambos mundos y, por ejemplo, que los datos sensibles se mantengan en local, pero que el análisis de amenazas y su respuesta se gestionen en la nube. Una buena planificación híbrida nos da la ventaja de reducir costes y aumentar la flexibilidad. El mayor desafío es que no dependeremos solamente de nosotros, existiendo puntos de fallo que escaparán a nuestro control.
- 100% nube: Su principal beneficio es la reducción de coste económico y humano, así como una menor complejidad tecnológica, que descansa en el proveedor de la nube. La otra cara de la moneda es que ponemos lo más importante en manos ajenas, en las que deberemos confiar. Y en caso de incidencia, dependeremos también de su capacidad de respuesta.
Esto no es cualquier cosa y en la mente de todo responsable de seguridad resuenan los ecos del 19 de julio de 2024. Aquella mañana, millones de sistemas Windows mostraron la famosa pantalla azul de fallo catastrófico, provocada por una mala actualización remota de CrowdStrike, uno de los EDRs más famosos.
Cómo complementa la seguridad de los endpoints el uso de Pandora FMS
Durante todo este recorrido, se ha hecho hincapié en que las soluciones de EDR son más avanzadas, pero también tan efectivas como la capacidad de supervisión y detección de amenazas en tiempo real que tengamos.
Ahí es donde conecta el siguiente eslabón de la cadena de seguridad, con un sistema de monitorización flexible como Pandora FMS, que complementa la seguridad de los endpoints.
¿Cómo?
- Mediante la integración con Pandora SIEM, que recoge y centraliza todo, para saber siempre de un vistazo lo que ocurre.
- Con el análisis de registros y auditorías, que refuerzan aún más la protección de endpoints. Cada empresa es un mundo y sus amenazas propias, también. Eso implica que debemos conocer exactamente lo que ocurre en nuestra infraestructura, sus particularidades propias y sus desviaciones sospechosas frente a la norma, que serán diferentes de las de otros.
- Con una correlación avanzada de eventos de seguridad, para identificar eficazmente esas anomalías en nuestro caso concreto, respondiendo de forma adecuada.
- Con una integración sin fisuras con dispositivos de red y firewalls, asegurando que todo funcione suavemente.
- Con una recogida de eventos desde agentes en endpoints multiplataforma (Windows, macOS o Linux).
Como hemos visto, para una organización que se tome en serio la seguridad, el uso de EDR, más una estrategia SIEM, es imprescindible.
El entorno de ciberamenazas cambia mucho y muy rápido. Los ataques son cada vez más frecuentes y los actores maliciosos, más sofisticados. Apoyados por la irrupción de las IAs, estas permiten, incluso a adversarios con poco conocimiento técnico, modificar malware para comprometer las defensas y evadir sistemas tradicionales de detección como antivirus, por ejemplo. O incluso crear nuevos programas maliciosos desde cero.
Así, amenazas que antes eran territorio exclusivo de actores con gran conocimiento y motivación, ahora están al alcance de muchos. De ahí la importancia de diseñar nuestra infraestructura con la resiliencia en mente e integrar medidas de seguridad capaces de anticiparse a ese panorama cambiante.
Sin eso, nos adentraremos desprotegidos cada mañana en un contexto más hostil y complejo que nunca.
Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.
Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.
