¿Por qué Detección y Respuesta en Endpoint (EDR)?
Sophos ofrece una variante más cara con el añadido “EDR” tanto para Intercept X Advanced como para Intercept X Advanced para Servidor. Dado que en las consultas de compra se nos pregunta con mucha frecuencia qué significa exactamente este “EDR” y si el recargo vale la pena, me gustaría en este artículo profundizar un poco más en el alcance de las funciones de EDR y su utilidad.
La funcionalidad EDR, además de Intercept X Advanced, lleva tiempo disponible para estaciones de trabajo. Desde el 9 de mayo, el producto también está disponible para servidores.
Cómo puede ayudar EDR
Explicado de forma un poco más sencilla, con Intercept X Advanced con EDR puedes profundizar en dos cosas esenciales: ¿Qué pasó exactamente después de un ataque y existe el riesgo de que algo más pueda ocurrir en un futuro próximo?
1. ¿Qué pasó?
Para averiguar qué sucedió después de un ataque, a primera vista no es absolutamente necesario pagar el recargo por EDR. Sophos les ofrece desde hace tiempo la función Análisis de causa raíz (RCA), que está incluida en el alcance de las funciones de Intercept X. Sin embargo, las posibilidades de analizar un ataque se amplían decisivamente con una actualización a Intercept X Advanced con EDR.
Con EDR puedes averiguar,
- qué pasó realmente después de un ataque
- si una amenaza se ha extendido
- qué conocimientos han recopilado SophosLabs de todos los clientes de Sophos sobre un programa específico
- si todavía hay malware latente en tu empresa
- si puedes dar el visto bueno a tu jefe de que no se han robado datos
Con EDR, obtienes acceso a métodos de inteligencia artificial para analizar un proceso o archivos con machine learning con mayor precisión. Además, durante un análisis, puedes aislar temporalmente el ordenador afectado para ganar tiempo suficiente.
2. ¿Volverá a pasar algo?
Una táctica común de los atacantes es colocar un pequeño programa en algún lugar de su ordenador que, inicialmente, no hace nada malo y, por lo tanto, no parece sospechoso. Mediante este comportamiento inofensivo, ciertos mecanismos de seguridad pueden ser eludidos al principio. Sin embargo, en algún momento, este programa se activará y causará daños.
Gracias a las capacidades de búsqueda ampliadas de Intercept X Advanced con EDR, se pueden buscar este tipo de “amenazas latentes” en toda la empresa. A menudo, este tipo de programas ya se han extendido a numerosos sistemas y se esconden detrás de nombres de archivo falsos. Sophos ofrece con EDR la útil función de buscar en todos los dispositivos de la empresa valores hash. De esta manera, se puede averiguar muy rápidamente en qué dispositivos de la empresa se ha detectado un programa y con quién se ha comunicado. De esta forma, se pueden detectar servidores de comando y control o localizar servidores de los que se hayan podido sustraer datos.
¿Dónde reside el valor añadido de EDR?
Cuando se produce un ataque en una empresa, se confía principalmente en los mecanismos de protección de Sophos Intercept X Advanced. Después, sin embargo, se deben analizar más de cerca los datos recopilados del ataque y averiguar si se robaron datos o si la amenaza, por ejemplo, se ha extendido a otros sistemas. Para ello, normalmente se necesitaría una horda de forenses que no hicieran otra cosa que buscar en los registros durante todo el día para sacar conclusiones. Sophos, por su parte, apuesta por métodos de inteligencia artificial para su solución EDR. Los procesos en la red son analizados con aprendizaje automático y la ayuda de SophosLabs y ya no por humanos. Esto significa que este trabajo puede ser realizado teóricamente por una persona que no necesita ser un experto forense en TI. 😎
¿Necesito EDR ahora o no?
La respuesta a la pregunta de si debe pagar el recargo por EDR o no depende de dos factores:
Factor 1: Interés
¿Es usted de los que se conforma con que Intercept X Advanced escriba en el registro después de un ataque que el peligro se contuvo y todos los datos se limpiaron? Entonces es probable que no necesite EDR.
Sin embargo, ¿le gustaría examinar el ataque con más detalle y analizar el proceso con mayor precisión? ¿Quiere saber si hay más programas maliciosos acechando en ordenadores o servidores de la empresa que simplemente no se han hecho notar hasta ahora? Entonces yo diría que debería considerar el coste adicional de EDR.
Factor 2: Requisitos de cumplimiento
Las herramientas EDR son necesarias a más tardar cuando una empresa debe demostrar después de un ataque que no se han robado datos. Aquí hablamos de requisitos de cumplimiento que deben garantizarse en ciertas áreas, como PCI (Payment Card Industry) o el sector sanitario. También en este ámbito se encuentra el RGPD (Reglamento General de Protección de Datos), que establece que hay que proteger los datos de confianza de acuerdo con el estado de la técnica.
Una ley de este tipo hace que una empresa sea naturalmente vulnerable. En lugar de exigir un rescate por el descifrado de los datos de la empresa, como en un ataque de ransomware, las empresas pueden ahora ser extorsionadas por sumas aún mayores debido a una violación del RGPD o de los requisitos de cumplimiento.
Las funciones EDR de Sophos le ayudan a cumplir los requisitos de conformidad y, en caso de emergencia, a demostrar si se han perdido datos o no. Si considera que una herramienta de este tipo es útil para su empresa, la inversión en Sophos Intercept X Advanced con EDR no estaría en absoluto fuera de lugar.
Pruebe Sophos Intercept X Advanced con EDR
Si aún no tiene una cuenta de Sophos Central, puede crear una en el sitio web de Sophos y probar todas las funciones, incluido “Sophos Intercept X Advanced con EDR” para ordenadores y servidores, de forma gratuita durante 30 días.
Si ya tiene una cuenta de Sophos Central y el período de prueba de 30 días ha caducado, puede solicitar una licencia para “Sophos Intercept X Advanced con EDR” en nuestra tienda:
