¿Qué es EDR?
Dentro de su parque informático, cada terminal conectado constituye un potencial vector de ataque y cada conexión es un punto de entrada a su sistema de información y sus datos sensibles. Las tecnologías antivirus presentan limitaciones frente a los ciberataques avanzados. Limitaciones que las soluciones EDR (Endpoint Detection and Response) pueden paliar.
Estas soluciones EDR intervienen para reforzar la seguridad de los terminales con una vigilancia en tiempo real, una detección inteligente de las intrusiones y su corrección rápida, así como una mejora continua de la protección.
Vigilancia en tiempo real de los terminales
La tecnología EDR se basa en la recopilación de datos que transitan por los terminales, desde las conexiones de red hasta los diferentes procesos, pasando por los archivos abiertos, la carga de los pilotos, el uso de la memoria y del disco y el acceso a la base de datos central. Posteriormente, todos estos datos se transmiten a un motor de análisis EDR, que detectará comportamientos sospechosos y anormales. La clave es una visibilidad en tiempo real y completa en todas las actividades de los terminales, para identificar rápidamente las actividades maliciosas.
Detección inteligente y corrección rápida
Las tecnologías EDR recurren al análisis conductual para reconocer estos comportamientos sospechosos y anormales. La fase de análisis de datos centralizados es fundamental, ya que corrobora la información para deducir patrones de ataque, incluidos los ciberataques tipo Zero Day. En caso de detección de una ciberamenaza o de intento de intrusión, el EDR recomienda medidas de corrección, como la interrupción de un proceso en curso, el bloqueo de una ejecución, la puesta en cuarentena de un archivo o el aislamiento de terminales infectados, etc. Los administradores y analistas de seguridad podrán entonces investigar a partir de los resultados de análisis y aplicar las opciones de corrección más adecuadas.
Mejora continua de la protección
Frente a la evolución constante de los modus operandi, la solución EDR contribuye a la comprensión y el aprendizaje de los equipos de seguridad. Gracias a los datos recogidos y analizados en las fases de investigación, están mejor equipados para luchar contra futuros ciberataques. La respuesta a incidentes permite así, en particular, comprender mejor las acciones del pasado, por ejemplo visualizando las relaciones de causalidad de una cadena de ataque, y mejorar de forma continua la protección que brinda la solución EDR.
Stormshield Endpoint Security Evolution, su solución EDR certificada
Con la solución Stormshield Endpoint Security Evolution (SES), aumente el nivel de protección de sus puestos de trabajo con una solución EDR proactiva. La solución SES, basada en una tecnología de análisis sin firma, detecta los ataques y ciberamenazas y responde a ellos de una forma adecuada. Nuestra solución EDR de confianza ha obtenido la certificación de seguridad de primer nivel (CSPN), expedida por la ANSSI para la categoría Detección de intrusiones.
Descubra una solución EDR para la protección de terminales y servidores de nueva generación. Y gracias a sus funciones de Cyber Threat Intelligence y Threat Hunting, disfrute de una capacidad avanzada de detección de los ciberataques más sofisticados.
Preguntas frecuentes: ¿Cómo funciona un EDR? Para detectar ciberataques sofisticados, el EDR identifica los comportamientos sospechosos y anormales gracias a unos indicadores de compromiso (IoC - Indicators of Compromise). No siempre se trata de acontecimientos excepcionales, pueden ser acciones banales como abrir una conexión en un servidor externo. Una vez identificados estos comportamientos sospechosos, la solución EDR recomienda medidas de corrección rápida y permite una investigación posterior a partir de los resultados del análisis.
Preguntas frecuentes: ¿EDR o XDR? Es imprescindible que las herramientas de protección de los terminales integren una capacidad de detección y respuesta a incidentes. Como complemento al EDR informático, la plataforma XDR (eXtended Detection and Response) pretende reunir todos los activos informáticos internos y externos (red, anuarios, recursos en la nube, firewalls, etc.) con el fin de ofrecer una visión general de los eventos del sistema de información.