Des de fa anys els antivirus han mantingut segures les nostres petites i mitjanes empreses. No obstant això, en els últims temps els patrons d’amenaces estan canviant ràpidament i necessitem una eina de protecció complementària per protegir-nos.
Si únicament comptem amb un antivirus tradicional, només estem protegits contra virus ja coneguts. Des d’aquest moment estem incrementant el risc de patir una infecció de virus, malware o fins i tot ransomware.
Les conseqüències d’assumir aquests riscos poden ser nefastos per al nostre negoci, ja que a més de perdre tota la informació, impacta de manera negativa en el servei a clients i la nostra reputació.
Què és un EDR?
EDR, acrònim en anglès de Endpoint Detection Response, és un sistema de protecció dels equips i infraestructures de l’empresa. Combina l’antivirus tradicional juntament amb eines de monitorització i intel·ligència artificial per oferir una resposta ràpida i eficient davant els riscos i les possibles amenaces zero day.
En els últims temps, empreses de totes les mides estan exposades a el robatori de dades, espionatge, frau, i infeccions de malware de diferent naturalesa. L’impacte d’aquest tipus d’atacs pot generar des de problemes de disponibilitat de servei, fins a un impacte financer considerable.
Com actua un EDR?
Un sistema EDR monitoritza l’activitat dels endpoints i classifica els arxius segons siguin segurs, perillosos o desconeguts. Quan detecta arxius desconeguts en un dels endpoints, (com pot ser un arxiu adjunt en un correu), automàticament l’envia al núvol i roman aïllat en un entorn de proves. Allà l’executa imitant el comportament que tindria un usuari.
Al mateix temps, un sistema de machine learning observa i aprèn de l’comportament d’aquesta amenaça. Després observar un temps, el nostre sistema EDR determinés si és un arxiu segur o perillós, bloquejant en tots els endpoints si ho considera perillós.
D’aquesta manera, si en el futur detectem de nou aquest arxiu en qualsevol dels endpoints, directament el bloquejarà impedint la seva execució.
Detecta
Utilitzen la IA (intel·ligència artificial) per reduir la taxa de falsos positius i estan dissenyats per vigilar i respondre a un ampli rang d’amenaces, com ransomware, malware, botnets i altres amenaces conegudes i desconegudes. Accessos no autoritzats, atacs sigilosos per robatori de dades, etc …
Conté
Permet un bloqueig avançat d’amenaces. Un EDR no només és capaç de detectar ràpid noves amenaces, sinó que pot gestionar atacs en directe i protegir-nos mentre aquests es produeixen.
Investiga
L’EDR permet una resposta ràpida i precisa als incidents. L’objectiu és aturar un atac i tornar a la feina com més aviat millor, recorda que qualsevol empresa està exposada a ser víctima d’un ciberatac.
Elimina
Finalment, el component més important d’una solució EDR és la seva capacitat per eliminar les amenaces de seguretat. Quan s’elimina un arxiu maliciós, també s’han de corregir les parts de la xarxa que van ser afectades.
Noves generacions de virus zero day
- RANSOMWARE
El Ransomware ha estat una preocupació constant per a les empreses a nivell mundial des de l’aparició de Cryptolocker el 2013. Tot i que el ransomware ha existit des de fa molt temps, mai va ser una amenaça que preocupés especialment a les empreses. No obstant això, una única incidència de ransomware pot fer que una empresa es quedi inoperativa amb el xifrat dels seus arxius més importants. Quan una empresa experimenta un atac de ransomware i s’adona que les còpies de seguretat no són prou recents, immediatament sent que l’única opció que té és pagar el rescat.
La nostra sandbox de seguretat en el núvol proporciona una capa de defensa addicional fora de la xarxa de l’empresa per evitar que el ransomware s’executi en un entorn de producció.
- ATACS DIRIGITS I FUGUES D’INFORMACIÓ
El panorama actual de la ciberseguretat es troba en constant evolució amb nous mètodes d’atac i amenaces mai vistes. Quan es produeix un atac o fugida d’informació, les empreses se solen sorprendre que els seus defenses hagin estat posades en risc o ni tan sols són conscients que s’ha produït l’atac. Un cop s’adonen, les empreses implementen les mesures per evitar de manera reactiva que aquest atac torni a succeir. No obstant això, això no les protegeix de l’proper atac, que podria usar un altre vector totalment nou.
L’estratègia d’utilitzar com a mesura de defensa una sandbox de seguretat en el núvol és molt més efectiva que simplement observar l’aparença de la possible amenaça perquè va més enllà de la mera aparença i en canvi es fixa en que fa aquesta possible amenaça. Això contribueix a ser molt més conclusiu per determinar si es tracta d’un atac dirigit, una amenaça persistent o si en canvi és benigne.
En resum, un antivirus es centra únicament en la prevenció en el perímetre i té com a objectiu evitar que les amenaces accedeixin a la xarxa. Mentre que el sistema EDR està enfocat en amenaces avançades, dissenyades per evadir la primera capa de defensa i penetrar a la xarxa. La seva funció és detectar aquesta activitat i bloquejar-la abans que pugui accedir a la nostra la xarxa.
