Endpoint Detection Response es una poderosa herramienta de análisis de eventos que proporciona monitoreo y detección en tiempo real de eventos maliciosos en endpoints de Windows. La herramienta EDR le permite visualizar las amenazas en una línea de tiempo detallada, mientras que las alertas instantáneas lo mantienen informado si ocurre un ataque. En esencia, EDR lo ayuda a prevenir cualquier amenaza maliciosa antes de que pueda dañar su dispositivo Windows.
La historia de Endpoint Detection Response
El término Endpoint Detection Response fue acuñado por primera vez por Anton Chuvakin, director de investigación de Gartner en julio de 2013. Endpoint Detection Response se denominó para definir "los equipos que se centran significativamente en identificar y explorar actividades maliciosas y otros problemas en los endpoints". Esta es una nueva categoría de soluciones, el grupo de soluciones se denomina EDR - Endpoint Detection Response, esto a veces se compara con la Advanced Threat Protection (ATP) en correspondencia con las capacidades de seguridad generales.
Endpoint Detection Response es una innovación creciente que está tendiendo a volverse un requisito de control y reacción persistente para los peligros de vanguardia. Incluso se podría argumentar que Endpoint Detection Response es un tipo de seguridad de riesgo de vanguardia.
¿Cómo funciona el EDR?
El equipo de Endpoint Detection Response funciona mediante la observación de los endpoints y las ocasiones del sistema y registrando los datos en una base de datos focal donde se facilita el examen, la ubicación, el examen, los detalles y las alarmas. Un especialista en productos introducido en los marcos le da al establecimiento la oportunidad de observar y anunciar.
Se fomenta la observación y el reconocimiento continuos mediante el uso de instrumentos de examen, que distinguen las asignaciones que pueden mejorar la condición general de seguridad al desviar los ataques regulares y alentar la identificación temprana de los ataques en progreso, incluidos los peligros internos y los ataques externos, y además potenciando la reacción rápida a los ataques identificados.
No todos los equipos de Endpoint Detection Response funcionan correctamente de manera similar u ofrecen una gama de habilidades indistinguible de otros en el espacio. Por ejemplo, algunos Endpoint Detection Response realizan más exámenes del operador, mientras que otros realizan la mayor parte de la investigación de la información en el backend por medio de un soporte de administración. Otros fluctúan en la recopilación de tiempo y alcance o en su capacidad para coordinar con los proveedores de inteligencia de amenazas, sin embargo, todos los instrumentos de Endpoint Detection Response desempeñan una capacidad fundamental similar con una razón similar: dar una forma de investigación consistente para reconocer, identificar y evitar las amenazas.
Endpoint Detection Response: No sólo herramientas, también capacidades.
Si bien Anton Chuvakin fue el autor del término Endpoint Detection Response teniendo en cuenta el objetivo final de describir un conjunto de instrumentos, el término también se puede utilizar para describir las capacidades de un equipo con una disposición sustancialmente más amplia de trabajos de seguridad en lugar de representar el dispositivo en sí. Por ejemplo, un dispositivo puede ofrecer EDR a pesar del control de la aplicación, el cifrado de información, el control y el cifrado del dispositivo, el control de los privilegios del usuario, el control del acceso a la red y una gama de capacidades diferentes.
Los equipos, tanto los dispositivos de reacción y ubicación de endpoints delegados como los que ofrecen EDR como un componente de una disposición más amplia de capacidades, son razonables para una gran cantidad de casos de uso de perceptibilidad de endpoints. Anton Chuvakin nombra un rango de casos de uso de perceptibilidad de endpoints que se encuentran dentro de tres clases más extensas:
- Búsqueda y examen de información
- Identificación de acciones sospechosas
- Exploración de datos
La mayoría de los dispositivos de reacción y protección de endpoints abordan la parte de reacción de estas capacidades a través de una investigación avanzada que distingue diseños e identifica irregularidades, por ejemplo, procedimientos poco comunes, organizaciones extrañas o no reconocidas u otros ejercicios inseguros aclamados en vista de exámenes estándar. Este procedimiento puede ser computarizado, con anomalías que activan alarmas para estimular la actividad o un examen más detallado al instante, sin embargo, numerosos dispositivos de detección y reacción de puntos finales también tienen en cuenta la investigación manual o impulsada por el cliente.
Endpoint Detection Response es todavía un campo en desarrollo, sin embargo, las capacidades de EDR se están convirtiendo rápidamente en un componente básico de cualquier acuerdo de seguridad de riesgo. Para las empresas que exigen protección avanzada contra amenazas, Endpoint Detection Response es una capacidad buscada. Las ventajas que ofrece la visibilidad constante de todas las actividades de datos hacen que Endpoint Detection Response sea una parte rentable de cualquier administración de seguridad.
Para más información sobre nuestra solución EDR líder en el mercado, puede visitarnos en www.dragonlatam.com
Para leer el artículo en su idioma original, haga clic en este enlace.
