Guía del comprador de EDR

En los últimos años, hemos visto un aumento en la proliferación e interconexión de puntos terminales y datos, así como un aumento en la actividad maliciosa por parte de actores de amenazas. Estas variables han representado un peligro significativo para la continuidad comercial tanto para las grandes como para las pequeñas empresas. Los cibercriminales y las organizaciones patrocinadas por el estado apuntan cada vez más a las empresas.

Los enfoques de protección tradicionales combaten las amenazas conocidas, pero son susceptibles a estrategias de ataque sofisticadas y no descubiertas, y no ofrecen información sobre los activos, lo que constituye un obstáculo importante para la protección de estos sistemas. Los expertos en seguridad de endpoints suelen ser accesibles solo para las empresas más grandes o mejor financiadas. Cuando se combina con la realidad de que muchos ataques ahora se producen a la velocidad de las máquinas con múltiples piezas móviles, los equipos humanos que dependen de las soluciones de seguridad de endpoints convencionales no pueden mantenerse en pie.

Una solución de detección y respuesta en endpoints (EDR) previene y aísla el malware, al tiempo que proporciona a los profesionales de seguridad las herramientas que necesitan para lidiar con estas amenazas de manera eficaz. Una EDR moderna puede garantizar la continuidad del negocio al combatir con éxito amenazas automatizadas, sofisticadas y de rápida evolución, como el ransomware o los ataques sin archivos, sin aumentar la carga de trabajo de los analistas ni necesitar personal de seguridad altamente calificado.

Automatización y usabilidad

Se prevé que las amenazas y superficies de ataque sofisticadas aumenten en 2022 y más adelante, por lo que muchas empresas tienen dificultades para mantenerse al día con los piratas informáticos. Un EDR contemporáneo debería reducir la necesidad de personal de seguridad altamente calificado al aliviar una carga creciente mediante una automatización inteligente.

La clave para obtener rápidamente valor de un EDR para los compradores es automatizarlo y simplificarlo. La automatización de IA delega la mayor parte del trabajo a los algoritmos y reduce la intervención humana. El programa se vuelve más sencillo de usar como resultado de estas técnicas de IA y los equipos pueden ponerse en marcha de inmediato sin necesidad de una habilitación prolongada.

Los tiempos de respuesta son importantes durante un ataque: el tiempo de investigación debe ser considerablemente inferior a un minuto para eliminar las amenazas avanzadas antes de que dañen su infraestructura.

Los compradores deben buscar un EDR que sea autónomo y tenga capacidades de detección y respuesta automatizadas. Esto ofrece a los analistas una imagen clara y en tiempo real de un ataque a medida que avanza y puede proporcionar una solución guiada para ayudarlos a volver rápidamente a la normalidad.

Gestión de alertas

La principal diferencia entre un EDR y las soluciones antivirus (AV) estándar es que un AV depende de las firmas existentes para la detección y debe estar al tanto de una amenaza para inhibirla. Por el contrario, un EDR emplea un enfoque conductual para detectar malware y otros posibles riesgos en función de cómo actúan en un endpoint. Además, a diferencia de un antivirus, un EDR es liviano y no necesita actualizaciones periódicas.

Para reducir al mínimo la cantidad de alertas (y la carga de trabajo de los analistas), la IA utilizada en un EDR contemporáneo debe ser capaz de detectar rápidamente, tener una precisión excelente y una alta fidelidad. Los compradores deben informarse sobre la IA y los métodos de aprendizaje automático utilizados. En comparación con los motores de IA que dependen de modelos y análisis preentrenados para la detección, un EDR que emplea un modelo de aprendizaje inicial para definir el comportamiento habitual de cada punto final ofrece una precisión mejorada en las detecciones y alertas cuando se producen desviaciones de lo normal.

Un EDR contemporáneo debe estar equipado con un sistema de gestión de alertas potente, impulsado por IA, capaz de aprender del analista y luego implementar de manera autónoma la toma de decisiones del analista en el manejo diario de alertas para mejorar el tiempo de reacción y aliviar la fatiga de alertas de los analistas. Implementar una solución de gestión de alertas completamente automatizada e impulsada por IA es fundamental para combatir la fatiga de alertas, reducir la deserción del personal y recuperar el control.

Detección de amenazas

La búsqueda de amenazas es un componente clave de un sistema EDR contemporáneo y es necesaria para mantener el entorno limpio y libre de amenazas. La búsqueda de amenazas puede detectar rápidamente nuevas amenazas y descubrir puntos débiles en un ecosistema. La minería de datos le permite detectar y erradicar riesgos latentes que, de otro modo, no se notificarían, pero que podrían existir en un entorno durante meses o incluso años, esperando a ser explotados por un atacante.

Los ataques en memoria y sin archivos son difíciles de rastrear por naturaleza, y se vuelven considerablemente más difíciles de rastrear cuando los atacantes utilizan múltiples variaciones a medida que recorren una gran infraestructura. Un EDR contemporáneo debería automatizar el proceso de búsqueda y emplear la minería de datos para permitir que los equipos de seguridad busquen automáticamente riesgos que tengan similitudes funcionales y de comportamiento con eventos pasados, y brindar hallazgos en segundos.

Es fundamental ser adaptable a la hora de buscar amenazas. Los compradores deben buscar un EDR que no solo proporcione una gran biblioteca de manuales de detección prediseñados que se puedan implementar de inmediato, sino también manuales personalizados que se puedan generar fácilmente para circunstancias particulares exclusivas de los requisitos de seguridad de una organización sin necesidad de experiencia en programación de scripts.

Encontrar una aguja en un pajar es una analogía común para la búsqueda de amenazas. Las búsquedas de EDR deben poder brindar resultados completos y granulares en tiempo real, analizando en profundidad criterios de búsqueda específicos y combinando dichos parámetros de manera inclusiva o exclusiva. Para ayudar aún más a los analistas y ahorrarles tiempo, los resultados deben mostrarse en una interfaz gráfica de usuario (GUI) fácil de usar, de modo que los analistas puedan buscar de manera simple e intuitiva cualquier evento, desde cualquier punto final, en cualquier momento.

Descargue el documento técnico de IBM para obtener más información sobre la introducción del documento técnico de la Guía del comprador de EDR solo en Whitepapers Online.