top of page
Fondo abstracto

¿Qué es la detección y respuesta de punto final (EDR)?

Las soluciones de seguridad EDR se especializan en varias funciones primarias. Es momento de explorarlas a continuación.

Detección automática de ciberamenazas

EDR implementa una visibilidad exhaustiva a todos los puntos finales para detectar diversos indicadores de ataque (IOA) y analiza mil millones de eventos en tiempo real a fin de detectar actividades sospechosas en relación a la red protegida de manera automática.

Las soluciones de seguridad EDR aspiran a comprender un único evento como parte de una secuencia más importante para aplicar una lógica de seguridad. Si una secuencia de evento apunta a un IOA conocido, la solución EDR procederá a identificarle como un objeto malicioso y automáticamente emitirá una alerta de detección.

Integración inteligente de amenaza

Las soluciones integradas combinan el monitoreo de amenazas con la inteligencia de amenazas para detectar una conducta maliciosa con mayor rapidez. Si la herramienta EDR detecta tácticas, técnicas y procedimientos sospechosos (TTP), procederá a entregar datos exhaustivos respecto al incidente de seguridad potencial (posibles infractores, superficie de ataque más vulnerable, medios de despliegue para malware y otra información de conocimiento público sobre el ataque)

Cacería de amenaza avanzada

Su equipo de seguridad puede usar EDR para cazar, investigar y contrarrestar de manera proactiva la actividad de una amenaza dentro de su entorno. Cuando EDR detecta una amenaza, su equipo puede utilizar con confianza la respuesta ante incidentes y automatización de remediación para mitigarla, antes de que se convierta en una filtración de datos a plena capacidad.

Monitoreo constante en tiempo real y visibilidad histórica

EDR utiliza acumulación de datos de punto final activo para capturar incidentes de seguridad. Los usuarios disponen de una visibilidad exhaustiva en todas las actividades asociadas a los puntos finales de una compañía desde una perspectiva de ciberseguridad. Una solución especializada puede rastrear una infinidad de eventos relacionados con la seguridad: creación de proceso, modificaciones de registro, carga de controladores, acceso a memoria y disco, conexiones de red y más.



Las soluciones EDR presentan a los equipos de seguridad, información crucial para garantizar la seguridad de punto final:

  • recopilación de datos de conectividad de host - direcciones locales y externas

  • datos de acceso directo y remoto a cuenta de usuario

  • Cambios de clave ASP, ejecutables y utilización de herramienta de administrador

  • actividad de red a nivel de proceso detallada - solicitudes DNS, apertura de puertos y conexiones

  • ejecuciones de proceso

  • utilización de medios extraíbles

  • informe comprimido en RAR y ZIP

Recopilar diversos tipos de datos le permite a su equipo de seguridad observar la conducta de un ofensor y reaccionar a ésta en tiempo real - qué comandos están intentando ejecutar, qué técnicas utilizan, en qué punto están intentando filtrarse, etc.

Investigación de amenaza rápida

Las soluciones de seguridad de punto final pueden investigar amenazas rápidamente y agilizar el proceso de reparación. Puede considerarlas como algo parecido a una analista de seguridad, que reúne datos desde cada evento de punto final y los almacena en una base de datos masiva y centralizada que ofrece información exhaustiva y contextual para permitir investigaciones rápidas para datos en tiempo real y datos históricos.

Respuesta a incidentes (IR)

Responder rápidamente a un incidente es fundamental para la estrategia de ciberseguridad de una organización.

Un plan IR describe cómo la compañía gestionará una filtración de datos o un ciberataque, incluidos todos los esfuerzos de mitigación para limitar el tiempo de recuperación, costos reducidos y proteger la reputación de la marca.

Las empresas deben diseñar, probar e implementar un plan de IR integral. El plan debiese definir qué tipos de incidentes pueden afectar la red de la compañía y proporcionar una lista de los procesos concisos a seguir ante la ocurrencia de un incidente.

Es más, el plan debiese especificar un equipo de seguridad, empleados o ejecutivos encargados de gestionar el proceso IR en líneas generales y de supervisar que cada acción en el plan se ejecute de manera adecuada.

Tomado del blog de Acronis mx

20 visualizaciones0 comentarios

コメント


bottom of page