CARGANDO

Escribe para buscar

馃敯Los ANTIVIRUS de NUEVA GENERACI脫N o EDR

Antivirus de nueva generaci贸n o EDR

En este post, habl谩bamos de la diferencia entre los antivirus tradicionales (EPP) y los m谩s actuales EDR o XDR. En esta nueva entrada, hablaremos un poco m谩s de estos 煤ltimos antivirus de nueva generaci贸n. Trataremos de explicar c贸mo act煤an y que los hace diferentes.

EDR, analizando el comportamiento

Como habl谩bamos en anteriores entradas, los antivirus m谩s tradicionales o EPP, se basan en el reconocimiento de firmas o patrones previamente conocidos. Esto es, t茅cnicas de ataques que ya se han dado con anterioridad y que han sido registrados.

Los antivirus de nueva generaci贸n no se comportan de esta forma. Estos tratan de dar respuesta tanto a los ataques conocidos como a todos aquellos nuevos y de los que no se tienen patrones. Esto lo realizan por medio del an谩lisis del comportamiento en tiempo de ejecuci贸n. Pero, 驴C贸mo hacen esto?

A m铆, particularmente, me gusta definir los EDR en dos partes. En primer lugar, la parte de protecci贸n, aquella dirigida a la detecci贸n de los ataques. Y, por otro lado, la parte anal铆tica, donde se pueden concentrar grandes cantidades de datos. Ambas son complementarias y necesarias en este tipo de soluciones.

En la parte de protecci贸n, los EDR cuentan con numerosas tecnolog铆as, como es sandboxing (local y/o en nube), machine learning, IOCs, an谩lisis de comportamiento, etc. Estas tecnolog铆as se suman para crear un an谩lisis constante en tiempo real de las ejecuciones que se producen en la m谩quina.

Es un comportamiento diferente al tradicional, es decir, estos sistemas 鈥渆mpiezan鈥 a funcionar cuando se ejecuta algo en el equipo. Me refiero, cuando se abre un archivo, se ejecuta una dll o ejecutable, o cuando se abre un correo. En ese momento, despliega todo su potencial y comienza a analizar.

Datos, datos y m谩s datos

Como dec铆a, estos sistemas EDR tienen una parte anal铆tica. Estas soluciones se encargan de recoger informaci贸n del equipo, usuarios y la posible amenaza implicada. Son recolectores incre铆bles de informaci贸n, y el nivel de detalle al que pueden llegar es muy alto. Saben hasta lo que hemos comido hoy 馃槈

Y, 驴Para qu茅 tantos datos? La informaci贸n, en todo, es poder, y cuanto m谩s sepa la soluci贸n del comportamiento 鈥渘ormal鈥 del endpoint, mejor sabr谩 detectar y adelantarse a un posible incidente. Los EDR tienen la dif铆cil tarea de parar ataques 0day, por lo que cualquier ayuda es poca.

Adem谩s, estos sistemas est谩n muy enfocados al Threat Hunting. Este es el procedimiento de b煤squeda y an谩lisis de informaci贸n para la detecci贸n de amenazas, siempre desde una perspectiva proactiva.

Evolucionando el EDR hacia el XDR

No es que el EDR sea antiguo ni se est茅 quedando desfasado, no, es algo reciente y con mucho recorrido. Aun as铆, si es cierto que, en este tiempo, se ha visto que toda la telemetr铆a que proporciona un EDR, puede estar muy bien complementada si le sumamos toda la tecnolog铆a que rodea en una estructura de red.

Se podr铆a definir XDR, como un sistema EDR integrado en toda la infraestructura. Mientras que los EDR se dedican a un 煤nico punto (por ejemplo, un equipo), los sistemas XDR se integran en m谩s elementos como pueden ser firewalls, routers, switched, NACs, etc.

驴Para qu茅 tanta integraci贸n? Simplemente para reducir la exposici贸n de un ataque y actuar de forma mucho m谩s r谩pida. Pongamos un ejemplo, se detecta un ataque de ransomware en un equipo. El sistema XDR es capaz de hablar con los sistemas de seguridad y electr贸nica de red para aislar ese equipo y los equipos de su misma red, bloquear tr谩fico en el firewall, comunicar a responsables, etc. Y todo esto de forma autom谩tica y en tiempo record.

Ah, hola 馃憢
Un placer conocerte.

Veo que te gusta la tecnolog铆a, 驴quieres que te mandemos una newsletter semanal?.

Acepto la pol铆tica de privacidad *

隆No enviamos spam!. yo tambi茅n lo odio a muerte!.

Tags:

Tambi茅n podr铆a gustarte

Deja un Comentario

Your email address will not be published. Required fields are marked *