CARGANDO

Escribe para buscar

🔴 LOS ANTIVIRUS tal y como los conoces, HAN CAMBIADO

EPP vs EDR (vs XDR)

Si hablamos de siglas como EPP o EDR y no se esta muy relacionado con el mundo de la ciberseguridad más profesional, quizá no ubiquemos muy bien su significado. Peeerooo, si decimos que el primero hacer referencia a los antivirus tradicionales y el segundo, a los antivirus de nueva generación, todo sea más fácil de entender 😉

Erase una vez…

EPP (Endpoint Protection Platform) es lo mismo que hablar de los antivirus tradicionales, es decir, los antivirus tal y como los podríamos conocer hoy en día. Estos antivirus son los que podríamos encontrar en la gran mayoría de sistemas personales o incluso muchos profesionales.
Normalmente están basados en firmas y/o patrones para la detección y bloqueo de amenazas. Esto es, relación de ataques o vulnerabilidades ya conocidas, o formas de actuación que ya han sido ejecutadas en el pasado.

Adicionalmente, algunos EPP también cuentan con otro tipo de funcionalidades mas avanzadas como prevención de ransomware o sandboxing (ejecución de aplicaciones potencialmente peligrosas en un entorno controlado para conocer su respuesta y realizar una determinación de su riesgo).

Hacia una nueva era

Se ha comprobado que estos sistemas tradicionales no son suficientes. Por ello, nacen los sistemas EDR (Enpoint Detection and Response). Estos sistemas van un paso más allá, cambiando el planteamiento y basándose en el propio comportamiento de todo aquello que se ejecuta. Es decir, no se basan en patrones previos, si no que analizan el propio comportamiento del archivo aplicando cierta inteligencia. Podríamos decir que aplican sandboxing y machine learning en tiempo real para determinar si es una amenaza o no.
EDR también es sinónimo de visibilidad. Estos sistemas se basan en una monitorización constante del endpoint, obteniendo información de todo lo que ocurre. Esto produce que analizar un incidente de seguridad en lo que sería un análisis forense, sea una tarea mucho mas sencilla y fácil para un equipo técnico. Con estos sistemas es posible hacer una investigación increíblemente detallada de lo sucedido en un endpoint y todo el parque tecnológico de máquinas.
Y hablamos todo el rato de “endpoint”, pero no solo de equipos vive una organización, existen servidores, redes, sistemas perimetrales, correo electrónico, cloud, etc. Y aquí es donde los sistemas EDR evolucionan y dan paso a los sistemas XDR (Extended Detection and Response). Estos tienen como finalidad integrar la seguridad del endpoint con todos los elementos de la red, como por ejemplo los firewalls, servidores de carga o de correo, electrónica de red, etc. Así, se trata de crear una correlación de eventos única donde todos los sistemas involucrados puedan “hablarse” y tomar decisiones conjuntamente.

La vida en un ejemplo

Problemática: En un equipo de un usuario se detecta un intento de ataque por ransomware que ha entrado por correo electrónico.

  • Solución XDR: ¡Empieza el espectáculo! Después de detener el intento de ataque, el XDR informa a la consola central y, automáticamente, se generan instrucciones para que el firewall bloquee comunicaciones salientes/entrantes, el NAC aísle el equipo, el servidor de correo busque correos maliciosos relacionados (además del involucrado en el incidente) y los borre de toda la organización, se busquen equipos afectados por el mismo malware, llegue un correo de alarma al equipo de seguridad, …
  • Solución EDR: Tras detener el intento de ataque, se informa a la consola central y de forma automática, se revisa que en el resto de los equipos de la organización no este ese mismo malware, en cuyo caso se debe limpiar. Reporta todo los datos del equipo y la amenaza a la consola para un análisis forense e informa al equipo de seguridad.
  • Solución EPP: Vamos a ver si no se trata de un ataque muy avanzado y lo podemos parar e informar…

 

Con todo esto, no se trata de decir que los EPP sean malos o algo del pasado, si no que estos se están viendo complementados o reemplazados por soluciones como EDR o XDR. En el momento de la redacción, los EPP siguen siendo una opción muy válida para cubrir la seguridad del endpoint de una empresa, pero, ante ataques avanzados o dirigidos, pueden quedar en una situación comprometida.

close

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

También podría gustarte

Deja un Comentario

Your email address will not be published. Required fields are marked *