Los dispositivos de punto final, como computadoras de escritorio, portátiles y teléfonos móviles, permiten a los usuarios conectarse a redes empresariales y utilizar sus recursos para su trabajo diario. Sin embargo, también amplían la superficie de ataque y hacen que la organización sea vulnerable a ataques cibernéticos maliciosos y filtraciones de datos.
Por qué las organizaciones modernas necesitan EDR
Según el mundial 2020 informe de riesgo por Ponemon Institute, los teléfonos inteligentes, las computadoras portátiles, los dispositivos móviles y las computadoras de escritorio son algunos de los puntos de entrada más vulnerables que permiten a los actores de amenazas comprometer las redes empresariales. Los equipos de seguridad deben evaluar y abordar los riesgos de seguridad creados por estos dispositivos antes de que puedan dañar la organización. Y para ello, requieren Endpoint Detection & Response (EDR).
Las soluciones EDR brindan visibilidad en tiempo real de los puntos finales y detectan amenazas como malware y ransomware. Al monitorear continuamente los puntos finales, permiten que los equipos de seguridad descubran actividades maliciosas, investiguen amenazas e inicien respuestas apropiadas para proteger a la organización.
Las limitaciones de EDR
Las redes empresariales modernas son redes complejas de usuarios, terminales, aplicaciones y flujos de datos distribuidos en entornos locales y de varias nubes. Dado que las soluciones EDR solo brindan visibilidad en los puntos finales, quedan muchas brechas y desafíos de seguridad, lo que aumenta significativamente el riesgo de que los ataques cibernéticos pasen desapercibidos.
- Malware que deshabilita o abusa de los agentes EDR: El surgimiento de sofisticados grupos de hackers como Lapsus$ es otro riesgo que las herramientas EDR no pueden manejar. A fines de 2021, Lapsus$ hackeó varias grandes empresas al comprometer puntos finales remotos y apagar sus herramientas EDR. Por lo tanto, pudieron ocultar su comportamiento malicioso en los puntos finales infectados y lograr su objetivo de robar datos confidenciales de la empresa. Otro problema es que los actores de amenazas pueden abusar de la técnica de «enganche» que utilizan los EDR para monitorear los procesos en ejecución. Esta técnica permite que las herramientas EDR supervisen programas, detecten actividades sospechosas y recopilen datos para análisis basados en el comportamiento. Sin embargo, este mismo proceso permite a los atacantes acceder a un punto final remoto e importar malware.
- BYOD: En los últimos años, muchas organizaciones han cambiado a modelos de trabajo remoto que permiten a los empleados y usuarios externos acceder a los recursos de la empresa a través de redes remotas y dispositivos móviles no seguros. Estos dispositivos están fuera del control de los equipos de seguridad y sus herramientas EDR. En consecuencia, sus soluciones de seguridad no pueden mantenerse al día con todos estos puntos finales, y mucho menos protegerlos a ellos o a la red empresarial de ataques maliciosos.
- Dispositivos no compatibles: Además, no todos los puntos finales conectados pueden admitir agentes EDR. Esto es cierto para puntos finales heredados como enrutadores y conmutadores, así como para dispositivos IoT más nuevos. Además, con los entornos de control de supervisión y adquisición de datos (SCADA) y el sistema de control industrial (ICS) conectados, algunos puntos finales pueden estar fuera del control de la organización y, por lo tanto, fuera del perímetro de seguridad de EDR. En consecuencia, estos puntos finales y sistemas siguen siendo vulnerables a amenazas como malware, ataques DDoS y criptominería.
- Mantenimiento/implementación de EDR: Finalmente, con los productos EDR basados en agentes, puede ser una gran carga para los equipos de seguridad instalar y mantener agentes en cada punto final del entorno de red empresarial.
Cerrando las brechas de seguridad de EDR con Network Visibility y NDR
Una de las formas más efectivas de cerrar las brechas de seguridad destacadas anteriormente es agregar Detección y respuesta de red (NDR) a la pila de ciberseguridad empresarial por las siguientes razones:
- No se puede deshabilitar NDR: Como un NDR basado en datos de registro, como ExeonTrace recopila datos de múltiples fuentes de datos diferentes en la red (y no depende de dispositivos específicos), los algoritmos de detección no se pueden eludir. Por lo tanto, incluso si un EDR está desactivado por malware, el NDR lo detectará.
- Identificación de TI en la sombra: Una solución NDR no solo permite monitorear el tráfico de red entre dispositivos de red conocidos, sino que también identifica y monitorea dispositivos y redes aún desconocidos. Y, por supuesto, también se incluyen puntos finales sin agentes EDR en el análisis de red (como BYOD).
- Firewalls y puertas de enlace mal configurados: Los cortafuegos y las puertas de enlace configurados incorrectamente pueden ser puertas de entrada para los atacantes: un NDR permite la detección antes de la explotación.
- Recopilación de datos a prueba de manipulaciones: La recopilación de datos basada en la red es más a prueba de manipulaciones que los datos basados en agentes; ideal para el análisis forense digital requerido por los reguladores.
- Visibilidad completa de toda la red: Como no se requieren agentes, una solución NDR como ExeonTrace permite una visibilidad completa de todas las conexiones de red y flujos de datos. Por lo tanto, proporciona una mayor visibilidad en toda la red empresarial y cualquier amenaza potencial en ella.
Conclusión
A medida que las organizaciones se vuelven cada vez más complejas y agregan más dispositivos de usuario final a sus redes, requieren una solución de monitoreo confiable para proteger sus terminales de posibles amenazas. Sin embargo, Endpoint Detection and Response (EDR) proporciona dicha protección de punto final solo hasta cierto punto. Existen numerosos inconvenientes de EDR que permiten a los ciberdelincuentes sofisticados superar su perímetro de seguridad y explotar las vulnerabilidades de la red.
 |
| Plataforma ExeonTrace: captura de pantalla del panel |
Para llenar los vacíos de seguridad que dejan las soluciones EDR, las organizaciones deben reforzar sus defensas de seguridad. Las soluciones de detección y respuesta de red (NDR) como ExeonTrace son una forma confiable y comprobada de monitorear el tráfico de red y, por lo tanto, completar las pilas de ciberseguridad empresarial. Dado que las soluciones EDR y NDR son complementarias, sus capacidades de detección combinadas pueden proteger eficazmente a las organizaciones de ataques cibernéticos sofisticados.
Reserve una demostración gratuita para descubrir cómo ExeonTrace puede ayudarlo a abordar sus desafíos de seguridad y hacer que su organización sea más ciberresistente.