¿Que es un EDR?
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
¿Te fue útil?
EDR (Endpoint Detection and Response) es una tecnología de seguridad diseñada para monitorear, detectar y responder a actividades maliciosas y amenazas en los endpoints (dispositivos como computadoras, servidores, móviles, etc.). A diferencia de los antivirus tradicionales, los EDR proporcionan una visibilidad más profunda y capacidades avanzadas de análisis y respuesta para abordar amenazas complejas y sofisticadas.
Monitoreo Continuo: Los EDR monitorean constantemente los endpoints en tiempo real para detectar actividades sospechosas.
Detección de Amenazas: Utilizan técnicas avanzadas como análisis de comportamiento, inteligencia artificial y machine learning para identificar amenazas.
Respuesta Automática: Capacidad para responder automáticamente a incidentes, incluyendo el aislamiento de dispositivos comprometidos y la eliminación de malware.
Investigación Forense: Proporcionan herramientas para realizar análisis forense y determinar el origen, alcance y impacto de los incidentes de seguridad.
Visibilidad Integral: Ofrecen una visión completa del entorno de TI, permitiendo a los equipos de seguridad ver y analizar todas las actividades en los endpoints.
A pesar de su sofisticación, los EDR pueden ser evadidos mediante diversas técnicas avanzadas:
Descripción: Modificación del código malicioso para evitar su detección.
Técnicas:
Cifrado: Encriptar el código malicioso y desencriptarlo solo en memoria.
Ofuscación: Utilizar técnicas de ofuscación para hacer el código más difícil de analizar y detectar.
Descripción: Utilización de herramientas legítimas del sistema (living-off-the-land binaries, LOLBins) para llevar a cabo actividades maliciosas.
Técnicas:
PowerShell: Uso de PowerShell para ejecutar comandos maliciosos.
WMI (Windows Management Instrumentation): Uso de WMI para ejecutar scripts y comandos.
Descripción: Diseñar el malware para evitar ser detectado por las técnicas de análisis de comportamiento.
Técnicas:
Dormancy: El malware permanece inactivo durante un período para evitar la detección.
Detección de Sandbox: Identificar si el malware está siendo ejecutado en un entorno de análisis y modificar su comportamiento en consecuencia.
Descripción: Uso de credenciales legítimas para acceder a sistemas y ejecutar actividades maliciosas.
Técnicas:
Credential Dumping: Obtener y utilizar credenciales de usuarios legítimos.
Al igual que cualquier otra solución de seguridad, los EDR no son infalibles y no pueden garantizar una protección del 100%. Las razones incluyen:
Evolución Constante de Amenazas: Los atacantes desarrollan continuamente nuevas técnicas y herramientas para evadir la detección.
Limitaciones Tecnológicas: A pesar de las capacidades avanzadas, los EDR pueden tener limitaciones en términos de detección y respuesta.
Falsos Positivos/Negativos: Pueden generar falsos positivos, alertando sobre actividades benignas, o falsos negativos, no detectando actividades maliciosas.
Dependencia de la Configuración: La efectividad de un EDR depende en gran medida de su correcta configuración y mantenimiento.