EDR y NDR para fortalecer la seguridad
Estrategias de EDR y NDR: Fortaleciendo la Ciberseguridad Empresarial
Fran Fernández, Responsable de la Unidad de Negocio de Seguridad en Exclusive Networks Iberia
No es algo novedoso; la ciberseguridad se ha convertido en una preocupación crítica para los entornos corporativos, a causa de la constante transformación y sofisticación de las amenazas cibernéticas.
Como consecuencia de este incremento y de la mayor complejidad de los ataques, las organizaciones no han tenido más remedio que evolucionar sus estrategias de seguridad, a fin de proteger sus activos de amenazas que logran socavar la protección perimetral y se esconden en puntos ciegos de la red.
En este contexto, los dos pilares básicos que han permitido esta transición hacia entornos con mayores niveles de protección y capacidades de detección y respuesta, son los conocidos como Detección y Respuesta a Amenazas en el Endpoint (EDR, por sus siglas en inglés) y Detección y Respuesta a Amenazas en las Redes (NDR). El principal objetivo de ambas tecnologías es el de ayudar a los equipos de seguridad en el proceso de Detección y Respuesta al que se enfrentan cotidianamente en la lucha contra las amenazas emergentes.
Protección más allá del perímetro
Las estrategias EDR y NDR pasan por identificar actividades maliciosas sobre los puestos de trabajo de los usuarios o servidores de la empresa y en las redes corporativas. Desde el punto de vista operativo, se convierten en uno de los principales aliados para plantear un modelo de eficiencia de costes, al permitir mejorar los procesos de análisis de comportamiento de los usuarios y automatizar las tareas de respuesta ante amenazas. Son también una de las primordiales fuentes de datos para los Analistas de Seguridad.
Desde una perspectiva funcional, un EDR/NDR proporcionará capacidades de:
• Detección avanzada: Mediante el uso de técnicas de análisis de comportamiento, inteligencia artificial y aprendizaje automático, para identificar amenazas conocidas y desconocidas.
• Análisis de Tráfico de Red: Las soluciones NDR supervisan el tráfico de red en busca de patrones anómalos o maliciosos. Esto incluye la identificación de comunicaciones inusuales entre dispositivos o tráfico cifrado no autorizado.
• Monitorización continua: Monitorizando de forma continua la actividad de los dispositivos y usuarios entre los que se incluyen accesos a archivos, monitorización de procesos, comunicaciones de red y otros comportamientos sospechosos.
• Recopilación de datos: Recopilan una gran cantidad de datos entre los que se incluyen registros de eventos del sistema y de seguridad, información de tráfico de red, etc. Con ello se obtendrá un análisis detallado de la actividad del sistema.
• Correlación de eventos: Con el objetivo de identificar relaciones y patrones entre eventos aparentemente no relacionados, a fin de detectar amenazas que de otra manera pasarían desapercibidas.
• Análisis forense: Permitirá llevar a cabo análisis forenses en tiempo real y análisis retrospectivos para investigar incidentes de seguridad después de que hayan ocurrido. Resulta básico para comprender cómo ocurrió un ataque y tomar medidas para evitar futuros incidentes.
• Respuesta automatizada: En conjunción con capacidades de SOAR para automatizar determinadas respuestas, lo que favorecerá el despliegue de medidas para contener o detener una amenaza automáticamente, como aislar un dispositivo o detener un proceso malicioso.
• Reporting: Genera informes detallados y alertas en tiempo real para notificar a los administradores de seguridad sobre posibles amenazas.
• Integración con otras soluciones de seguridad: Es de vital importancia la integración con el ecosistema de soluciones de seguridad corporativa, como los SIEM y soluciones de gestión de vulnerabilidades, para asegurar una defensa más completa y coordinada.
Exclusive Networks dispone de alianzas tecnológicas con socios como Palo Alto Networks, Fortinet, SentinelOne o Logrhythm para ayudar a sus partners, mediante el uso combinado de las tecnologías de EDR y NDR, a implantar y desarrollar una estrategia de seguridad mucho más sólida. Con ello, consiguen mejorar sustancialmente la postura de seguridad y fortalecer los procesos operativos de los equipos técnicos.