El software malicioso y las técnicas para su propagación evolucionan constantemente, por lo tanto, las tecnologías que se utilizan para la detección de este tipo de amenazas también debe ir mejorando.
Han surgido nuevos productos que ayudan a robustecer la seguridad, pero eso mismo, es común tener dudas sobre qué producto elegir para nuestra organización.
En por eso que hoy hablaremos de las tecnologías más populares en estos momentos en el área de la ciberseguridad y sus principales diferencias.
Probablemente has escuchado hablar de Endpoint Protection (EPP), Endpoint Detection and Response (EDR) y últimamente Extenden Detection and Response (XDR), pero ¿sabes qué son y para que sirve cada uno de ellos? ¿necesitas tener todos estos productos para que tus dispositivos estén seguros? ¿cuál es el mejor para tu empresa?.
Pues bueno, empezaremos por explicar un poco sobre lo que es cada producto y la forma en que puede ayudarte, esto te servirá para tener más claro el panorama y así evitar adquirir algo que probablemente no necesites.
¿Qué es el Endpoint Protection (EPP)?
Su objetivo principal es prevenir ataques a los equipos a través de algún malware, vulnerabilidad e incluso Fileless Malware (malware que llega a nuestros dispositivos sin necesidad de utilizar un archivo o documento para ello).
Para lograr esto hace uso de firmas de malware ya conocidos, incluye módulos de filtrado web, firewall, IPS y en algunas ocasiones incluye algún sandbox que ayuda a detectar archivos maliciosos.
Es probable que haga uso de heurística para detectar comportamientos y Machine Learning para aprender del comportamiento de los dispositivos.
Estos se implementan en puntos finales o endpoints, algunos módulos incluidos son:
Puede que algunos fabricantes ofrezcan por separado cada módulo.
¿Qué es un Endpoint Detection and Response(EDR)?
El EDR principalmente nos va a ayudar a identificar ataques cuando están sucediendo en alguno de nuestros endpoints y aplicar soluciones a los problemas de forma automatizada o manual.
Su principal función es ayudar a los especialistas a identificar Indicadores de Compromiso, a través de la información que aprendió de los equipos, alertar en tiempo real de un incidente y realizar un análisis posterior al evento.
¿Qué es un Extended Detection and Response(XDR)?
Esta es una plataforma integrada de seguridad y respuesta a incidentes que recopila y correlaciona los datos automáticamente incluyendo las capas de seguridad de otros niveles y descubrir, por ejemplo,:
- Cómo fue que el usuario resultó infectado
- Cuál fue el punto de entrada
- Qué o quién más es parte del ataque
- Cómo se originó y se propagó la amenaza
- Cuántos usuarios más fueron afectados por la misma amenaza
Sirve para gestionar eventos e información como un SIEM, incluyendo los datos de un EDR, y demás capas de seguridad que se tengan implementadas.
Es útil para estandarizar las operaciones de seguridad permitiendo un análisis de eventos en el entorno.
Su objetivo final es mejorar la productividad de los analistas apoyando con investigaciones rápidas y más completas, reduciendo los tiempos de respuesta.
Ahora que comprendemos un poco mejor la función de cada tecnología, podemos resumir que un EPP nos ayudará a prevenir cualquier tipo de amenaza ya conocida y muchos de día cero, complementándose con un EDR para cuando el EPP falle en su detección, existirá la posibilidad de actuar ante una infección rápidamente y obtener un análisis de la actividad realizada por el malware.
Por último, un XDR se encargará de centralizar los eventos de las distintas capas de seguridad de la empresa, pudiendo correlacionar, detectar y analizar de forma rápida los incidentes, mejorando los tiempos de respuesta del equipo de seguridad y disminuyendo la carga operativa para ellos.
Uno no es sustituto del otro, cada producto tiene funcionalidades diferentes que nos ayudarán a mejorar la seguridad en el activo, por lo que probablemente te convenga más un EPP antes que un EDR, y si tienes oportunidad de invertir en un XDR ten en cuenta que éste funciona solo con productos del mismo fabricante.
Ahora, pregúntate si requieres un EPP, EDR o XDR, cuál es el que beneficiaría mejor a tu organización sin gastar dinero de más y cubriendo las necesidades específicas y objetivos que estas buscando para la empresa, esto es lo más importante, como siempre lo he dicho, enfócate en el negocio.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.