Los productos de detección y respuesta de terminal (endpoint detection and response – EDR) proporcionan a los empleados de TI visibilidad en los terminales para detectar actividad maliciosa, analizar datos y proporcionar una respuesta adecuada. La EDR es parte de un mercado emergente de seguridad, salpicado de fabricantes bastante conocidos tales como Carbon Black, Cisco, CrowdStrike y FireEye.
Cualquier persona que busque EDR habrá encontrado el término “caza de amenazas”, el proceso de búsqueda en cantidades voluminosas de datos para encontrar signos de un actor amenazador o un ataque emergente, en lugar de confiar en firmas de amenazas conocidas. Es una combinación de inteligencia de amenazas y analítica de big data. La caza de amenazas es un componente crítico de una solución completa de EDR y un diferenciador clave de las plataformas de protección en terminal (endpoint protection platforms – EPPs), con las que a menudo se confunden.
Sin embargo, las soluciones EDR también están experimentando un período de flujo. En el 2016, Gartner señaló que “la EDR no es un reemplazo de otras herramientas de seguridad de terminal, sino que a menudo es un complemento de detección y visibilidad para otras herramientas que proporcionan capacidades de seguridad en terminal”. Pero el Cuadrante Mágico del 2014 para las Plataformas de Protección en Terminal de Gartner afirmó que “para el año 2019, las capacidades EPP y EDR se habrán fusionado en una sola oferta, eliminando la necesidad de comprar los mejores productos para todos los entornos menos especializados”.
Le pedimos a algunos expertos en seguridad que compartan sus ideas acerca de qué preguntas debe hacerse usted mismo y a los posibles proveedores de EDR antes de comprar:
1 ¿Qué problemas de negocios está tratando de resolver? Daniel Clayton, director de seguridad cibernética de Rackspace, enfatizó que el primer paso en la evaluación de una solución EDR es identificar los problemas que desea resolver. (Tenga en cuenta que mientras que Rackspace es un cliente EDR, la compañía también se asocia con su proveedor de EDR para su oferta Rackspace Managed Security).
Los CIOs de grandes organizaciones tienen la tarea de armar el centro de operaciones de seguridad (SOC) con las herramientas adecuadas para resolver problemas, teniendo en la mente que la seguridad ya no es solo un tema de herramientas, sino de personas. Tarde o temprano, alguien configurará mal un sistema, permitiendo que una amenaza persistente emergente o avanzada (advanced persisten threat – APT) se infiltre. Incluso la mejor herramienta de visibilidad de la red no puede prevenir completamente un ataque de un adversario motivado y bien entrenado.
Paul Calatayud, CTO de la empresa de seguridad de la red FireMon, está de acuerdo con este punto incómodo, que también se aplica a las organizaciones más pequeñas. “Las soluciones de EDR ayudan en el descubrimiento y la identificación de amenazas cibernéticas, pero no son una bala de plata. El personal capacitado y los procesos son muy importantes para ayudar a guiar la respuesta y el seguimiento. Por lo tanto, las expectativas deben establecerse puesto que, una vez que la tecnología está en su lugar, puede que se necesite invertir en más personal o entrenamiento y desarrollar un amplio plan de respuesta a incidentes para verdaderamente darse cuenta del retorno en las inversiones EDR.
2 ¿Cuál es el período de análisis retrospectivo de datos en la solución EDR? Clayton señaló que una solución de EDR debe ofrecer más que datos de punto -a tiempo- para ser efectiva. Sugiere buscar una solución que tome una imagen forense continua, y pueda proporcionar al menos 30 días de datos en vivo para su análisis. Algunos proveedores pueden entregar de 90 días a un año de datos históricos de archivos para fines de investigación.
3 ¿La solución EDR se integra con plataformas de inteligencia de amenazas y otras herramientas existentes? Calatayud mencionó que, debido a que las herramientas de EDR están diseñadas para ayudar en la búsqueda de amenazas, “es importante que esas herramientas se integren con fuentes o plataformas de inteligencia de amenazas (si la capacidad no está incorporada) para analizar rápidamente los indicadores de compromiso (indicators of compromise- IOC)”.
Jarret Raim, director de seguridad administrada de Rackspace, agregó que las plataformas de seguridad suelen tener muchas herramientas, así que ¿cómo sacar los datos del portal de administración? Las herramientas EDR necesitan integrarse con las herramientas existentes, incluyendo antivirus, y es importante saber, antes de comprar, que las herramientas funcionarán juntas.
4 ¿Cuántos recursos necesitará la solución EDR para apoyar la tecnología? Implementar y ejecutar una solución EDR puede ser engorroso. Es posible que tenga que ir a un entrenamiento y trabajar con los ingenieros del fabricante para ponerlo en marcha. A partir de ahí, se necesita tiempo y una cierta cantidad de recursos para ejecutar el software en modo de visibilidad, aprender a descifrar los resultados y determinar cómo solucionar problemas cuando sea necesario.
“Los recursos de seguridad siempre tienen alta demanda”, anotó Calatayud. Él señaló que, al evaluar cualquier solución de seguridad, es importante entender si la solución va a disminuir sus recursos al requerir un gran soporte, versus permitir que su equipo se centre en los datos dentro de la solución como consumidor.
Raim sugirió que los posibles compradores consideren el soporte cuidadosamente. “Para que esta herramienta sea de valor, ¿qué se necesita? ¿Quién va a responder a las alertas? La EDR requiere personas, procesos y herramientas, pero las herramientas son solo parte de la imagen”.
5 ¿La solución interrumpe los puntos finales? Tanto Clayton como Raim advirtieron contra las soluciones que interrumpen el punto final durante el despliegue del agente o la investigación de amenazas. Para contrarrestar este problema, Clayton recomendó una solución que utiliza un agente a nivel de kernel.
6 ¿Qué sistemas operativos soporta? Calatayud señaló que “es común tener una mezcla de equipos Microsoft y Macintosh en entornos corporativos. Uno tiene que asegurar una cobertura adecuada de todos los terminales para incluir tipos de sistemas operativos de servidor”. Raim está de acuerdo en que el soporte para múltiples sistemas operativos es clave. “La EDR requiere visibilidad en el entorno; por ejemplo, una solución que soporte Windows, pero no Linux; asegúrese de que la solución que desee soporta los sistemas y el calendario de parches”.
7 ¿Hay algún problema de escalabilidad que deba tener en cuenta? Raim instó a los compradores de EDR a preguntar sobre la gestión en un entorno ampliado. Por ejemplo, ¿qué aspecto tiene el portal de gestión con tres mil terminales en comparación con 30 mil? Pida a los proveedores potenciales que describan su implementación más grande y el número de terminales / agentes involucrados.
8 ¿La solución ofrece informes de flujo de trabajo o interactúa con otros sistemas de tickets? Calatayud señaló que la usabilidad es un elemento importante para cualquier solución de seguridad. Una solución que no es fácil de usar es un riesgo, porque los usuarios pueden sentirse frustrados y seguir adelante o abandonar la solución”.
9 ¿La solución ofrece multitenancy? Las soluciones basadas en la nube a menudo utilizan multitenancy para mantener a los clientes separados. Raim señaló que los clientes EDR a menudo dicen que no quieren multitenancy, pero lo harán cuando se dan cuenta de lo que les permite hacer. Con el multitenancy, un cliente puede separar su propia infraestructura, por ejemplo, por ciudad o unidad de negocio, para una mejor organización, control y flexibilidad. Pero la decisión debe ser tomada por adelantado porque la adaptación al multitenancy es difícil.
10 ¿Puede mi organización pagar una solución EDR? Teniendo en cuenta que el costo de una empresa SOC puede llegar fácilmente a entre tres y cinco millones de dólares, Raim indicó que algunos clientes empiezan a interesarse en soluciones de “encontrar y olvidar” debido a que son más asequibles. Un servicio administrado proporciona capacidades de EDR en nombre del cliente, incluyendo la entrada de analistas, reduciendo la necesidad del cliente de contar con experiencia interna. Estos tipos de servicios pueden ser implementados en un contrato predecible de 12, 24 ó 36 meses, o el costo puede fluctuar según la arquitectura de la organización y las necesidades de infraestructura.
-Kim Lindros, CIO (EE.UU.)
