CARGANDO

Escribe para buscar

馃敶 LOS ANTIVIRUS tal y como los conoces, HAN CAMBIADO

EPP vs EDR (vs XDR)

Si hablamos de siglas como EPP o EDR y no se esta muy relacionado con el mundo de la ciberseguridad m谩s profesional, quiz谩 no ubiquemos muy bien su significado. Peeerooo, si decimos que el primero hacer referencia a los antivirus tradicionales y el segundo, a los antivirus de nueva generaci贸n, todo sea m谩s f谩cil de entender 馃槈

Erase una vez…

EPP (Endpoint Protection Platform) es lo mismo que hablar de los antivirus tradicionales, es decir, los antivirus tal y como los podr铆amos conocer hoy en d铆a. Estos antivirus son los que podr铆amos encontrar en la gran mayor铆a de sistemas personales o incluso muchos profesionales.
Normalmente est谩n basados en firmas y/o patrones para la detecci贸n y bloqueo de amenazas. Esto es, relaci贸n de ataques o vulnerabilidades ya conocidas, o formas de actuaci贸n que ya han sido ejecutadas en el pasado.

Adicionalmente, algunos EPP tambi茅n cuentan con otro tipo de funcionalidades mas avanzadas como prevenci贸n de ransomware o sandboxing (ejecuci贸n de aplicaciones potencialmente peligrosas en un entorno controlado para conocer su respuesta y realizar una determinaci贸n de su riesgo).

Hacia una nueva era

Se ha comprobado que estos sistemas tradicionales no son suficientes. Por ello, nacen los sistemas EDR (Enpoint Detection and Response). Estos sistemas van un paso m谩s all谩, cambiando el planteamiento y bas谩ndose en el propio comportamiento de todo aquello que se ejecuta. Es decir, no se basan en patrones previos, si no que analizan el propio comportamiento del archivo aplicando cierta inteligencia. Podr铆amos decir que aplican sandboxing y machine learning en tiempo real para determinar si es una amenaza o no.
EDR tambi茅n es sin贸nimo de visibilidad. Estos sistemas se basan en una monitorizaci贸n constante del endpoint, obteniendo informaci贸n de todo lo que ocurre. Esto produce que analizar un incidente de seguridad en lo que ser铆a un an谩lisis forense, sea una tarea mucho mas sencilla y f谩cil para un equipo t茅cnico. Con estos sistemas es posible hacer una investigaci贸n incre铆blemente detallada de lo sucedido en un endpoint y todo el parque tecnol贸gico de m谩quinas.
Y hablamos todo el rato de 鈥渆ndpoint鈥, pero no solo de equipos vive una organizaci贸n, existen servidores, redes, sistemas perimetrales, correo electr贸nico, cloud, etc. Y aqu铆 es donde los sistemas EDR evolucionan y dan paso a los sistemas XDR (Extended Detection and Response). Estos tienen como finalidad integrar la seguridad del endpoint con todos los elementos de la red, como por ejemplo los firewalls, servidores de carga o de correo, electr贸nica de red, etc. As铆, se trata de crear una correlaci贸n de eventos 煤nica donde todos los sistemas involucrados puedan 鈥渉ablarse鈥 y tomar decisiones conjuntamente.

La vida en un ejemplo

Problem谩tica: En un equipo de un usuario se detecta un intento de ataque por ransomware que ha entrado por correo electr贸nico.

  • Soluci贸n XDR: 隆Empieza el espect谩culo! Despu茅s de detener el intento de ataque, el XDR informa a la consola central y, autom谩ticamente, se generan instrucciones para que el firewall bloquee comunicaciones salientes/entrantes, el NAC a铆sle el equipo, el servidor de correo busque correos maliciosos relacionados (adem谩s del involucrado en el incidente) y los borre de toda la organizaci贸n, se busquen equipos afectados por el mismo malware, llegue un correo de alarma al equipo de seguridad, 鈥
  • Soluci贸n EDR: Tras detener el intento de ataque, se informa a la consola central y de forma autom谩tica, se revisa que en el resto de los equipos de la organizaci贸n no este ese mismo malware, en cuyo caso se debe limpiar. Reporta todo los datos del equipo y la amenaza a la consola para un an谩lisis forense e informa al equipo de seguridad.
  • Soluci贸n EPP: Vamos a ver si no se trata de un ataque muy avanzado y lo podemos parar e informar鈥

 

Con todo esto, no se trata de decir que los EPP sean malos o algo del pasado, si no que estos se est谩n viendo complementados o reemplazados por soluciones como EDR o XDR. En el momento de la redacci贸n, los EPP siguen siendo una opci贸n muy v谩lida para cubrir la seguridad del endpoint de una empresa, pero, ante ataques avanzados o dirigidos, pueden quedar en una situaci贸n comprometida.

close

Ah, hola 馃憢
Un placer conocerte.

Veo que te gusta la tecnolog铆a, 驴quieres que te mandemos una newsletter semanal?.

Acepto la pol铆tica de privacidad *

隆No enviamos spam!. yo tambi茅n lo odio a muerte!.

Tags:

Tambi茅n podr铆a gustarte

Deja un Comentario

Your email address will not be published. Required fields are marked *