Desde hace años los antivirus han mantenido seguras nuestras pequeñas y medianas empresas. Sin embargo, en los últimos tiempos los patrones de amenazas están cambiando rápidamente y necesitamos una herramienta de protección complementaria para protegernos.
Si únicamente contamos con un antivirus tradicional, sólo estamos protegidos contra virus ya conocidos. Desde ese momento estamos incrementando el riesgo de sufrir una infección de virus, malware o incluso ransomware.
Las consecuencias de asumir esos riesgos pueden ser nefastos para nuestro negocio, ya que además de perder toda la información, impacta de manera negativa en el servicio a clientes y nuestra reputación.
¿Qué es un EDR?
EDR, acrónimo en inglés de Endpoint Detection Response, es un sistema de protección de los equipos e infraestructuras de la empresa. Combina el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente frente a los riesgos y las posibles amenazas zero day.
En los últimos tiempos, empresas de todos los tamaños están expuestas al robo de datos, espionaje, fraude, e infecciones de malware de distinta naturaleza. El impacto de este tipo de ataques puede generar desde problemas de disponibilidad de servicio, hasta un impacto financiero considerable.
¿Cómo actúa un EDR?
Un sistema EDR monitoriza la actividad de los endpoints y clasifica los archivos según sean seguros, peligrosos o desconocidos. Cuando detecta archivos desconocidos en uno de los endpoints, (cómo puede ser un archivo adjunto en un correo), automáticamente lo envía a la nube y permanece aislado en un entorno de pruebas. Allí lo ejecuta imitando el comportamiento que tendría un usuario.
Al mismo tiempo, un sistema de machine learning observa y aprende del comportamiento de esa amenaza. Tras observarlo un tiempo, nuestro sistema EDR determinara si es un archivo seguro o peligroso, bloqueándolo en todos los endpoints si lo considera peligroso.
De ese modo, si en el futuro detectamos de nuevo ese archivo en cualquiera de los endpoints, directamente lo bloqueará impidiendo su ejecución.
Detecta
Utilizan la IA (inteligencia artificial) para reducir la tasa de falsos positivos y están diseñados para vigilar y responder a un amplio rango de amenazas, como ransomware, malware, botnets y otras amenazas conocidas y desconocidas. Accesos no autorizados, ataques sigilosos para robo de datos, etc…
Contiene
Permite un bloqueo avanzado de amenazas. Un EDR no sólo es capaz de detectar rápido nuevas amenazas, sino que puede manejar ataques en directo y protegernos mientras éstos se producen.
Investiga
El EDR permite una respuesta rápida y precisa a los incidentes. El objetivo es detener un ataque y volver al trabajo cuanto antes, recuerda que cualquier empresa está expuesta a ser víctima de un ciberataque.
Elimina
Finalmente, el componente más importante de una solución EDR es su capacidad para eliminar las amenazas de seguridad. Cuando se elimina un archivo malicioso, también se deben corregir las partes de la red que fueron afectadas.
Nuevas generaciones de virus zero day
- RANSOMWARE
El Ransomware ha sido una preocupación constante para las empresas a nivel mundial desde la aparición de Cryptolocker en 2013. A pesar de que el ransomware ha existido desde hace mucho tiempo, nunca fue una amenaza que preocupara especialmente a las empresas. Sin embargo, una única incidencia de ransomware puede hacer que una empresa se quede inoperativa con el cifrado de sus archivos más importantes. Cuando una empresa experimenta un ataque de ransomware y se da cuenta de que las copias de seguridad no son suficientemente recientes, inmediatamente siente que la única opción que tiene es pagar el rescate.
Nuestra sandbox de seguridad en la nube proporciona una capa de defensa adicional fuera de la red de la empresa para evitar que el ransomware se ejecute en un entorno de producción.
- ATAQUES DIRIGIDOS Y FUGAS DE INFORMACIÓN
El panorama actual de la ciberseguridad se encuentra en constante evolución con nuevos métodos de ataque y amenazas nunca antes vistas. Cuando se produce un ataque o fuga de información, las empresas se suelen sorprender de que sus defensas hayan sido puestas en riesgo o ni siquiera son conscientes de que se ha producido el ataque. Una vez se percatan, las empresas implementan las medidas para evitar de forma reactiva que este ataque vuelva a suceder. Sin embargo, esto no las protege del próximo ataque, que podría usar otro vector totalmente nuevo.
La estrategia de utilizar como medida de defensa una sandbox de seguridad en la nube es mucho más efectiva que simplemente observar la apariencia de la posible amenaza porque va más allá de la mera apariencia y en cambio se fija en que hace esta posible amenaza. Esto contribuye a ser mucho más conclusivo para determinar si se trata de un ataque dirigido, una amenaza persistente o si en cambio es benigno.
En resumen, un antivirus se centra únicamente en la prevención en el perímetro y tiene como objetivo evitar que las amenazas accedan a la red. Mientras que el sistema EDR está enfocado en amenazas avanzadas, diseñadas para evadir la primera capa de defensa y penetrar en la red. Su función es detectar esa actividad y bloquearla antes de que pueda acceder a nuestra la red.
Debido el incremento de ataques con virus de nueva generación que encriptan los datos y piden un rescate, desde Apen aconsejamos a todos nuestros clientes complementar los antivirus con un sistema EDR.
