Supervivencia del más apto: analizando EDR y XDR


EDR. (2022, January 13). [Photograph]. Https://Cristianthous.Com/Que-Es-Un-Edr-Por-Que-Es-Diferente-de-Un-Antivirus. https://cristianthous.com/que-es-un-edr-por-que-es-diferente-de-un-antivirus


"No es el más fuerte de la especie el que sobrevive, ni el más inteligente el que sobrevive. Es el que se adapta mejor al cambio" - Profesor Leon C. Megginson

La razón por la que comenzamos este blog con una cita, que erróneamente atribuye a Darwin, se debe a cómo define actualmente la mentalidad que todos en la industria de la ciberseguridad deben tener, al abordar la seguridad en sus sistemas y cómo las herramientas que usamos para proteger nuestros sistemas debería ser, en constante cambio y siempre mejorando.


En este artículo, intentaré exponer brevemente qué son EDR y XDR y cómo ayudan a mantener las herramientas que usamos en un estado constante de adaptabilidad con un poco de ayuda de tecnologías emergentes como el machine learning y la inteligencia artificial.


El nacimiento de EDR y XDR


Endpoint Detection and Response (EDR) es un término acuñado por Anton Chuvakin, que nació de la necesidad de pasar a un sistema mejor y más robusto que pudiera ayudar a proteger del rápido aumento y la complejidad de los ataques; porque las herramientas en las que solíamos confiar, como la detección de seguridad basada en firmas, no estaban a la altura y la forma en que los ataques y el software malicioso podían cambiar para escabullirse de estas herramientas significaba que no podíamos confiar únicamente en estos métodos antiguos.


Esto también significó que para proteger adecuadamente nuestros sistemas, teníamos que mirar más allá del software y observar lo que sucedía en los puntos finales y cambiar de un método estático a uno basado en el comportamiento.



EDR es el nombre que se usa para describir todas estas herramientas que se enfocan en detectar e investigar actividades sospechosas en host/puntos finales para recopilar los datos necesarios para la investigación y prevención de agentes maliciosos que pueden dañar o comprometer a una organización o individuo.


Extended Detection and Response (XDR) es el nombre que se le da a la nueva generación de herramientas cuyo objetivo es el mismo que el de los EDR, pero su protección y alcance son más sólidos teniendo en cuenta no solo lo que sucede en el punto final sino mucho más. agentes y dispositivos, y a diferencia de EDR, en ocasiones todo el proceso se lleva a cabo desde una sola herramienta y no desde múltiples como es el caso con la mayoría de los sistemas EDR.


Una herramienta para protegerlos a todos


EDR trajo muchas características nuevas para ayudar a identificar posibles subprocesos como recopilación de datos/telemetría (detalles sobre archivos, sistemas de archivos, procesos, memoria, red, etc.), análisis de datos exploratorios (poder interactuar con los datos) y capacidades de respuesta solo para mencionar algunos ejemplos; sin embargo, la verdadera guinda es cómo EDR y XDR están mejorando y haciendo más eficientes estas tareas al implementar Machine Learning (ML) e Inteligencia Artificial (IA) y antes de continuar explicando cómo estas tecnologías ayudan a mantenerse al día con los últimos ataques.


Primero, necesitamos entender un poco las diferencias entre EDR y XDR. Ambas herramientas recopilan, centralizan y analizan datos y actividades, y brindan una respuesta basada en reglas a las amenazas, pero el alcance en el que operaron estas herramientas no es el mismo, mientras que EDR está más preocupado por los datos generados por host/puntos finales XDR amplía el El alcance no solo abarca puntos finales, sino también servidores, redes, cargas de trabajo en la nube, SIEM y mucho más, y el entorno en el que estas herramientas se implementan mejor no es el mismo.


Si bien EDR puede funcionar bien en organizaciones pequeñas y medianas, para organizaciones grandes y muy grandes, XDR es el camino a seguir debido a la visibilidad ampliada que tiene en el entorno de la organización.



ML y AI están ayudando a estas herramientas al mejorar la búsqueda de características comunes de las cargas útiles (componente de ataque responsable de ejecutar una actividad para dañar al objetivo) y detectar y bloquear agentes maliciosos o actividades sospechosas, también ayuda a los investigadores de seguridad al realizar análisis de datos. y realizar una detección de anomalías más sofisticada y, en la mayoría de los casos, lo hace automáticamente sin la necesidad de un ser humano.


No todo lo que brilla es oro


Pero estas herramientas no están exentas de complicaciones y uno de los mayores problemas con estos instrumentos es la cantidad de datos que pueden generar y recopilar.


Para ayudar a comprender cómo pueden dañar tantos datos, podemos considerar lo siguiente; la visibilidad que facilitan los datos ayuda al equipo de seguridad a mitigar y reconocer posibles ataques pero también puede entorpecer esta tarea cuando hay cientos de dispositivos en un entorno todos generando información al mismo tiempo, entonces se convierte en una tarea monumental filtrar y reconocer los verdaderos ataques de los falsos positivos. Por supuesto, podemos usar ML e AI para ayudar a mitigar estos problemas, pero incluso con estas tecnologías implementadas, debemos considerar que su implementación y la necesidad de recursos capaces hacen que estas herramientas sean inaccesibles para algunas empresas.


Además de esto, EDR y XDR están hechos para cubrir una gran cantidad de escenarios, por lo que la necesidad de personalización es una preocupación. Como lo que podría funcionar para una empresa puede no funcionar para otra, lo que significa que las empresas no solo deben considerar el presupuesto para la herramienta, sino también los recursos para configurarla, administrarla y mantenerla.


Independientemente de la herramienta, una cosa sigue siendo cierta, para sobrevivir al juego de la seguridad, debemos seguir adaptándonos a las constantes amenazas y ataques y, a medida que estos ataques siguen evolucionando, nuestras herramientas deben seguir adaptándose, de lo contrario, corremos el riesgo de quedarnos. atrasado y perdiendo más de una hoja de Excel en el camino.


Autor

Jacobo Arzaga

Ing. de Seguridad Junior

15 views0 comments

Recent Posts

See All