Las soluciones de seguridad EDR se especializan en varias funciones primarias. Es momento de explorarlas a continuación.
Detección automática de ciberamenazas
EDR implementa una visibilidad exhaustiva a todos los puntos finales para detectar diversos indicadores de ataque (IOA) y analiza mil millones de eventos en tiempo real a fin de detectar actividades sospechosas en relación a la red protegida de manera automática.
Las soluciones de seguridad EDR aspiran a comprender un único evento como parte de una secuencia más importante para aplicar una lógica de seguridad. Si una secuencia de evento apunta a un IOA conocido, la solución EDR procederá a identificarle como un objeto malicioso y automáticamente emitirá una alerta de detección.
Integración inteligente de amenaza
Las soluciones integradas combinan el monitoreo de amenazas con la inteligencia de amenazas para detectar una conducta maliciosa con mayor rapidez. Si la herramienta EDR detecta tácticas, técnicas y procedimientos sospechosos (TTP), procederá a entregar datos exhaustivos respecto al incidente de seguridad potencial (posibles infractores, superficie de ataque más vulnerable, medios de despliegue para malware y otra información de conocimiento público sobre el ataque)
Cacería de amenaza avanzada
Su equipo de seguridad puede usar EDR para cazar, investigar y contrarrestar de manera proactiva la actividad de una amenaza dentro de su entorno. Cuando EDR detecta una amenaza, su equipo puede utilizar con confianza la respuesta ante incidentes y automatización de remediación para mitigarla, antes de que se convierta en una filtración de datos a plena capacidad.
Monitoreo constante en tiempo real y visibilidad histórica
EDR utiliza acumulación de datos de punto final activo para capturar incidentes de seguridad. Los usuarios disponen de una visibilidad exhaustiva en todas las actividades asociadas a los puntos finales de una compañía desde una perspectiva de ciberseguridad. Una solución especializada puede rastrear una infinidad de eventos relacionados con la seguridad: creación de proceso, modificaciones de registro, carga de controladores, acceso a memoria y disco, conexiones de red y más.
Las soluciones EDR presentan a los equipos de seguridad, información crucial para garantizar la seguridad de punto final:
recopilación de datos de conectividad de host - direcciones locales y externas
datos de acceso directo y remoto a cuenta de usuario
Cambios de clave ASP, ejecutables y utilización de herramienta de administrador
actividad de red a nivel de proceso detallada - solicitudes DNS, apertura de puertos y conexiones
ejecuciones de proceso
utilización de medios extraíbles
informe comprimido en RAR y ZIP
Recopilar diversos tipos de datos le permite a su equipo de seguridad observar la conducta de un ofensor y reaccionar a ésta en tiempo real - qué comandos están intentando ejecutar, qué técnicas utilizan, en qué punto están intentando filtrarse, etc.
Investigación de amenaza rápida
Las soluciones de seguridad de punto final pueden investigar amenazas rápidamente y agilizar el proceso de reparación. Puede considerarlas como algo parecido a una analista de seguridad, que reúne datos desde cada evento de punto final y los almacena en una base de datos masiva y centralizada que ofrece información exhaustiva y contextual para permitir investigaciones rápidas para datos en tiempo real y datos históricos.
Respuesta a incidentes (IR)
Responder rápidamente a un incidente es fundamental para la estrategia de ciberseguridad de una organización.
Un plan IR describe cómo la compañía gestionará una filtración de datos o un ciberataque, incluidos todos los esfuerzos de mitigación para limitar el tiempo de recuperación, costos reducidos y proteger la reputación de la marca.
Las empresas deben diseñar, probar e implementar un plan de IR integral. El plan debiese definir qué tipos de incidentes pueden afectar la red de la compañía y proporcionar una lista de los procesos concisos a seguir ante la ocurrencia de un incidente.
Es más, el plan debiese especificar un equipo de seguridad, empleados o ejecutivos encargados de gestionar el proceso IR en líneas generales y de supervisar que cada acción en el plan se ejecute de manera adecuada.
Tomado del blog de Acronis mx