🔰Los ANTIVIRUS de NUEVA GENERACIÓN o EDR

En este post, hablábamos de la diferencia entre los antivirus tradicionales (EPP) y los más actuales EDR o XDR. En esta nueva entrada, hablaremos un poco más de estos últimos antivirus de nueva generación. Trataremos de explicar cómo actúan y que los hace diferentes.

Como hablábamos en anteriores entradas, los antivirus más tradicionales o EPP, se basan en el reconocimiento de firmas o patrones previamente conocidos. Esto es, técnicas de ataques que ya se han dado con anterioridad y que han sido registrados.

Los antivirus de nueva generación no se comportan de esta forma. Estos tratan de dar respuesta tanto a los ataques conocidos como a todos aquellos nuevos y de los que no se tienen patrones. Esto lo realizan por medio del análisis del comportamiento en tiempo de ejecución. Pero, ¿Cómo hacen esto?

A mí, particularmente, me gusta definir los EDR en dos partes. En primer lugar, la parte de protección, aquella dirigida a la detección de los ataques. Y, por otro lado, la parte analítica, donde se pueden concentrar grandes cantidades de datos. Ambas son complementarias y necesarias en este tipo de soluciones.

En la parte de protección, los EDR cuentan con numerosas tecnologías, como es sandboxing (local y/o en nube), machine learning, IOCs, análisis de comportamiento, etc. Estas tecnologías se suman para crear un análisis constante en tiempo real de las ejecuciones que se producen en la máquina.

Es un comportamiento diferente al tradicional, es decir, estos sistemas “empiezan” a funcionar cuando se ejecuta algo en el equipo. Me refiero, cuando se abre un archivo, se ejecuta una dll o ejecutable, o cuando se abre un correo. En ese momento, despliega todo su potencial y comienza a analizar.

Como decía, estos sistemas EDR tienen una parte analítica. Estas soluciones se encargan de recoger información del equipo, usuarios y la posible amenaza implicada. Son recolectores increíbles de información, y el nivel de detalle al que pueden llegar es muy alto. Saben hasta lo que hemos comido hoy 😉

Y, ¿Para qué tantos datos? La información, en todo, es poder, y cuanto más sepa la solución del comportamiento “normal” del endpoint, mejor sabrá detectar y adelantarse a un posible incidente. Los EDR tienen la difícil tarea de parar ataques 0day, por lo que cualquier ayuda es poca.

Además, estos sistemas están muy enfocados al Threat Hunting. Este es el procedimiento de búsqueda y análisis de información para la detección de amenazas, siempre desde una perspectiva proactiva.

No es que el EDR sea antiguo ni se esté quedando desfasado, no, es algo reciente y con mucho recorrido. Aun así, si es cierto que, en este tiempo, se ha visto que toda la telemetría que proporciona un EDR, puede estar muy bien complementada si le sumamos toda la tecnología que rodea en una estructura de red.

Se podría definir XDR, como un sistema EDR integrado en toda la infraestructura. Mientras que los EDR se dedican a un único punto (por ejemplo, un equipo), los sistemas XDR se integran en más elementos como pueden ser firewalls, routers, switched, NACs, etc.

¿Para qué tanta integración? Simplemente para reducir la exposición de un ataque y actuar de forma mucho más rápida. Pongamos un ejemplo, se detecta un ataque de ransomware en un equipo. El sistema XDR es capaz de hablar con los sistemas de seguridad y electrónica de red para aislar ese equipo y los equipos de su misma red, bloquear tráfico en el firewall, comunicar a responsables, etc. Y todo esto de forma automática y en tiempo record.