Consejos HC

¿Qué son los EDR y por qué deben tenerlos las marcas de coches?

Cada vez existen más amenazas contra los dispositivos que manejas en el día a día y también para las empresas. Por eso, los responsables en ciberseguridad también toman nuevas medidas. Una de las más efectivas se identifica con tres siglas.

Imagen de personas con ordeandores

Nos referimos a los sistemas EDR o ‘Endpoint Detection Response’; según nos cuentan desde el Basque Cybersecurity Centre, se trata de unos dispositivos que trabajan de manera conjunta con los conocidos ‘antivirus’ porque son capaces de detectar y prevenir, pero que para hacerlo recurren a tecnologías más sofisticadas, basadas en la Inteligencia Artificial o el Big Data. Eso es útil para mejorar la protección de los equipos y las infraestructuras de las empresas.

Según destacab desde el Centro Vasco de Ciberseguridad, con su tecnología no solo detectan posibles amenazas e incidentes de seguridad que pudieran pasar inadvertidos, sino que «son capaces de optimizar por sí solos la identificación y prevención de estas amenazas para reducir su impacto e incluso eliminarlas».

Estos EDR lo que hacen es monitorizar -vigilar- de forma continua cada uno de los dispositivos que están conectados a una red -ordenadores, impresoras…- de una empresa -ese es el ‘endpoint’-, aunque también tienen en cuenta el factor humano y vectores de ataque como son los exploits u otras amenazas avanzadas -como puede ser una camapaña maliciosa con un objetivo específico-.

Desde el Basque Cybersecurity Centre aseguran que las empresas se ven sometidas a riesgos de muy diverso tipo y que los EDR pueden ayudar a mitigar muchos de ellos, como son el acceso no autorizado a datos e información confidencial, el róbo y pérdida de datos mediante ataques de phishing -mediante el cual el atacante se hace pasar por otra persona o empresa para engañar a la víctima-, bloque de equipos y ransomware -puede ser también el robo de información para pedir de liberarla o desencriptarla el pago de un rescate económico en alguna moneda virtual-…

También son útiles para controlar los peligros que puedan afectar a dispositivos controlados en remoto -algo habitual en estos tiempos en los que se ha extendido el teletrabajo en muchas empresas-, para dar con documentos que contengan código malicioso que no sea detectado por un antivirus, para frenar virus que cambian de comportamiento para no ser detectados por los antivirus tradicionales…

Evidentemente, que los EDR sean así de capaces tiene mucho que ver con toda la tecnología que incluyen; de forma muy simple, diríamos que son capaces de analizar y aprender de las amenazas para ofrecer una respuesta cada vez mejor. Entre las tecnologías de las que están dotados destacan la analítica de datos y el machine learning para que ese proceso de aprendizaje sea algo automático.

También cuenta con aislamiento de procesos o ‘sandboxing’, con el fin de ejecutar código dudos de manera segura. Otra cosa que ofrecen son las alertas generadas por Indicadores de Compromiso, o sea, la descripción de un incidente de ciberseguridad mediante el análisis de sus patrones de comportamiento.

En definitiva, los EDR son muy eficaces porque no sólo bloquean las amenazas, sino que también eliminan y reparan el problema además de investigar el porqué de la amenaza. Para poder hacer su trabajo y esas tareas en concreto, lo primero que hacen estos sistemas es, como decíamos, controlar la actividad de los endpoints, clasificando todos sus archivos, aplicaciones y procesos en tres tipos: seguros, desconocidos o potencialmente peligrosos. Ante los desconocidos, el sistema lo que hace es reportarlo de manera automática y los mantiene en cuarentena, sometiéndole a diferentes pruebas.

Al mismo tiempo, con el machine learning, el sistema analiza y aprende sobre el comportamiento de la amenaza para incorporarla a su base de datos -por si en el futuro se enfrenta a una situación similar-; si tras todo el análisis se ve que existe una amenaza, será bloqueada en todos los dispositivos y se impedirá que vuelva a ejecutarse en el futuro.

Precisamente y por todo lo anterior, el BCSC puede resultar de una gran ayuda para mejorar la ciberseguridad de cualquier empresa, además de que disponen de un amplio catálogo con compañías especializadas en afrontar cualquier tipo de problemas en ese ámbito. Incluso disponen de un servicio de gestión de incidentes de ciberseguridad en caso de que detectes cualquier actividad sospechosa o vulnerabilidad importante que desees reportar.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.