La protección de los endpoints se atendía desde los antivirus, luego a las soluciones conocidas como ‘Endpoint Detection and Response’ o EDR.
Las soluciones de ciberseguridad EDR realmente siempre han estado presentes en el ámbito empresarial. Conceptualmente, encontramos que inicialmente la protección de los endpoints se atendía desde los tradicionales antivirus, posteriormente evolucionaron a las soluciones conocidas como ‘Endpoint Detection and Response’ o EDR.
Soluciones EDR y evolución tecnológica
Durante todo este tiempo se ha experimentado un alto grado de evolución tecnológica. Unos desarrollos constantes que han tenido lugar tanto desde el lado de las amenazas y los cibercriminales, como desde el lado de la seguridad de los endpoints. Todo este tiempo ha permitido que las soluciones EDR tengan una gran implantación a nivel global, ya que todas las empresas cuentan con una solución de seguridad de este tipo, por sencilla que sea.
Esta adopción masiva de soluciones de seguridad EDR es lógica, teniendo en cuenta que, de forma figurada, podríamos decir que llevamos bastantes años inmersos en una III Guerra Mundial (cibernéticamente hablando) atendiendo a la gran avalancha de ataques y virus informáticos sufridos a escala mundial. Porque hoy en día, la preocupación respecto a la ciberseguridad de las empresas no se centra en “si atacarán a una empresa” sino “cuándo una empresa será atacada”.
Cambio de paradigma
Obviamente, existen importantes diferencias entre aquellos antivirus del inicio y las actuales soluciones EDR. Los primeros funcionaban en base a ataques ya conocidos; se detectaba una nueva amenaza, se analizaba y se incluía ese nuevo patrón en las soluciones de ciberseguridad, como un nuevo registro en su base de datos, para identificar ese nuevo malware. Sin embargo, el problema surgió cuando en Internet era posible encontrar herramientas para generar la misma amenaza con diferente denominación, con diferente ‘DNI’. Ese cambio permitía la variación del orden de las funciones, modificando su patrón de acción. Por lo que, el antivirus ya no era capaz de detectarlo, pese a que su comportamiento fuera el mismo.
Por este motivo, las soluciones de ciberseguridad han evolucionado desde una solución heurística, típica de aquellos antivirus, a una solución de análisis del comportamiento, permitiendo una detección y reacción en tiempo récord. Aunque, por mucho que se analice el comportamiento de una amenaza, para ser realmente efectivos, debemos analizar la amenaza en el mismo momento en el que se está ejecutando, adelantarnos a ella, siendo capaces de saber cuál va a ser su comportamiento antes de actúe.
Una evolución constante, del EDR al XDR
El siguiente paso al frente de las soluciones de ciberseguridad endpoint lo encontramos en la evolución del EDR al ‘eXtended Detection and Response’ o XDR, que precisamente se enfoca en la anticipación a lo que potencialmente ocurrirá para dar respuesta con acciones diferentes a las llevadas a cabo por las soluciones tradicionales.
Se trata de un avance encaminado por el análisis en tiempo real de lo que se está ejecutando en los sistemas, simplificando el procedimiento, y el análisis de los métodos de distribución en lugar de en los métodos de comportamiento. Algo así como si en lugar de preocuparnos por un paquete sospechoso que haya dejado el cartero, nos centráramos en impedir al cartero que entregue paquetes sospechosos.
Equilibrio entre productividad y seguridad
Debido a que estas soluciones de seguridad consumen una gran cantidad de recursos, lo cierto es que es complicado encontrar un equilibrio entre seguridad y productividad, dado que siempre que se demande seguridad, será necesario mermar en cierto modo la productividad debido a la movilización de recursos. Por lo que será cada empresa la que deberá valorar cómo quieren habilitar el trabajo de sus empleados y cuál es el punto óptimo entre su productividad y su nivel de seguridad.
Como cada máquina está constantemente lanzando procesos nuevos y cada proceso que se lanza es una potencial amenaza, es necesario monitorizar todos y cada uno de ellos. Dependiendo de cómo aborde el EDR la problemática, consumirá más o menos recursos en detrimento de la productividad, la implementación y la eficacia.
Con certeza, los equipos actualmente están dotados de una gran potencia, pero hay que tener en cuenta que también las amenazas poseen mayores capacidades. Para ser rápidos, poder detectar y responder rápidamente hoy en día es necesario destinar una gran cantidad de recursos.
El espacio digital de confianza
La evolución y tendencia de este tipo de soluciones va encaminada al análisis del menor número de activos posibles. Si se analiza el comportamiento de la distribución, basándose en cómo se distribuye una amenaza y observando que la distribución es igual siempre, es posible estrechar sobre qué procesos ponemos el foco de la ciberseguridad. Al hacer esto, se consigue que los recursos que consume un sistema sean casi mínimos y que su efectividad sea muy alta.
Sin embargo, hay que tener en cuenta que independiente del método de distribución y mecanismo de ataque de una amenaza, lo primero que un ataque requiere es la elevación de privilegios para poder crecer lateralmente a través de la expansión e infección de los dispositivos cercanos. Por eso, la filosofía de no tener cuentas administradoras es un enfoque ideal, y solo otorgando esos permisos a los procesos, y no a las cuentas de los usuarios, denegando el acceso a los recursos a procesos sin los permisos necesarios.
Además, con el fin de crear un espacio digital de confianza, la evolución debería estar encaminada hacia la implementación de SOC’s (Security Operations Centre) inteligentes, que permiten la comparación de análisis de comportamiento de amenazas a través de inteligencia artificial.
Por Jorge Marcos Fernández, director de Unidad de Negocio PEDM de Wallix
