Al evaluar las necesidades y opciones de ciberseguridad, muchas organizaciones pueden acabar preguntándose lo siguiente:

¿Qué es mejor, una plataforma de protección de endpoints (EPP) o una solución de detección y respuesta para endpoints (EDR)?

De hecho, se trata de un falso dilema. EPP y EDR son dos componentes distintos y críticos dentro de una estrategia completa de seguridad. Aunque ambos están estrechamente relacionados, no son intercambiables. Además, la presencia de uno no reduce ni elimina la necesidad de contar con el otro.

En este artículo, analizamos la relación entre ambas capacidades de ciberseguridad cruciales y abordamos algunas de las ideas erróneas más habituales que las organizaciones suelen tener al enfrentarse al complejo y masificado mercado de soluciones de seguridad.

¿Qué es una plataforma de protección de endpoints (EPP)?

Una plataforma de protección de endpoints (EPP, Endpoint Protection Platform) es un conjunto de tecnologías de seguridad de endpoints, como antivirus, cifrado de datos y prevención de pérdida de datos, que se coordinan en un dispositivo (endpoint) para detectar y prevenir amenazas de seguridad, como ataques de malware basados en archivos y actividad maliciosa. También ofrecen capacidades de investigación y corrección en respuesta a los incidentes de seguridad dinámicos. Las soluciones de EPP avanzadas utilizan múltiples técnicas de detección y, por lo general, se gestionan en la nube y se basan en datos de la nube.

Las EPP evitan las brechas recopilando grandes cantidades de datos de los endpoints y aplicando las mejores herramientas, como inteligencia artificial (IA), análisis basado en el comportamiento, inteligencia sobre amenazas y equipos humanos de Threat Hunters. Las soluciones eficaces deben sacar provecho de esta ingente cantidad de datos para prever continuamente dónde aparecerá la próxima amenaza avanzada.

¿Qué es detección y respuesta para endpoints (EDR)?

La detección y respuesta para endpoints (EDR, Endpoint Detection and Response), también denominada "detección y respuesta a amenazas para endpoints" (EDTR, Endpoint Detection and Threat Response), es una solución de seguridad que monitoriza de forma continua los dispositivos de los usuarios finales y las cargas de trabajo para ofrecer una visibilidad constante y completa de lo que ocurre en los endpoints en tiempo real. Esto permite a los equipos de ciberseguridad detectar y responder de forma rápida y eficaz a las ciberamenazas, como las de ransomware y malware.

Una herramienta de EDR debe ofrecer funciones avanzadas de detección de amenazas, investigación y respuesta, que incluyen la búsqueda de datos de incidentes y su investigación, la clasificación de alertas, la comprobación de actividad sospechosa, Threat Hunting, y la detección y contención de actividades maliciosas.

En muchos casos, el EDR sirve como red de seguridad para detectar las amenazas que el software antivirus tradicional no logra captar y para identificar incidentes que de lo contrario pasarían desapercibidos.

Tabla de comparación entre EPP y EDR

Las definiciones anteriores revelan que el EDR es solo uno de los componentes de una EPP. Además, una EPP se compone de muchas más tecnologías de ciberseguridad aparte de la detección, como los antivirus de nueva generación (NGAV), el Threat Hunting, la inteligencia sobre amenazas y la gestión de vulnerabilidades.

Una EPP avanzada o totalmente equipada integra una solución de EDR para ofrecer sólidas capacidades de detección y respuesta. Incorporar el EDR permite a una EPP, no solo identificar un evento anómalo, sino también investigar y mitigar una brecha detectada; por ejemplo, contener los endpoints expuestos para frenar la brecha de raíz y así poder implementar la corrección antes de que se produzcan daños.

Tres falsas creencias habituales sobre las EPP y el EDR

Ahora que hemos revisado los conceptos básicos sobre EPP y EDR, y analizado la relación entre ambos, vamos a rebatir algunas de las ideas erróneas más habituales sobre ambas capacidades de seguridad.

Idea errónea n.º 1: Las organizaciones tienen que elegir entre EPP y EDR

Realidad: Las organizaciones no tienen que elegir únicamente entre EPP y EDR. De hecho, ambas capacidades son distintas y aportan un valor limitado por sí solas. Digamos que una EPP es como un coche y que el EDR es como el motor: cada elemento no sirve prácticamente de nada sin el otro.

Idea errónea n.º 2: Las EPP son un método pasivo de prevención

Realidad: Una EPP es una plataforma de protección de endpoints, no un sistema de prevención pasiva. Aunque la prevención es una capacidad importante de las EPP, es solo uno de los mecanismos de protección que estas ofrecen. Además de la prevención, una EPP auténtica también debe incluir detección, Threat Hunting, inteligencia sobre amenazas y gestión de vulnerabilidades.

Idea errónea n.º 3: Un EDR independiente es suficiente

Realidad: Una solución de EDR ayuda a los equipos de seguridad a saber qué ocurre en la red y en los endpoints, lo cual puede ayudarles a identificar ataques y corregirlos. No obstante, para defenderse de la mayoría de los ciberataques modernos, es necesario contar con una gama mucho más amplia y completa de capacidades para proteger la organización, como las que se basan tanto en inteligencia humana como en tecnologías complementarias.

¿Qué elementos debe tener una EPP completa?

El EDR es uno de los elementos básicos de una EPP. Sin embargo, hay varios componentes más que las organizaciones deben incorporar en su estrategia de ciberseguridad para protegerse contra las amenazas avanzadas y las técnicas de ataque de los adversarios, las cuales evolucionan constantemente. Dichos componentes son:

• Prevención para impedir la entrada del mayor número posible de agentes maliciosos.
• Detección para buscar y eliminar ciberdelincuentes.
• Threat Hunting gestionado para llevar la detección más allá de la automatización.
• Integración de inteligencia sobre amenazas para conocer a los atacantes y anticiparse a sus movimientos.
• Gestión de vulnerabilidades e higiene de TI para preparar y reforzar el entorno frente a amenazas y ataques.

Según lo anterior, una EPP debe ofrecer una amplia gama de capacidades de ciberseguridad aparte de las de prevención. De hecho, cuando se habla de prevención, se suele hacer referencia al componente NGAV de una EPP.

Del mismo modo, el EDR aborda únicamente la detección dentro de todo el conjunto de servicios de una EPP.

¿Qué deben buscar las organizaciones en una solución de EDR?

Hoy en día, para ir un paso por delante de los ciberdelincuentes y de las técnicas de ataque de los adversarios, las cuales evolucionan constantemente, un EDR debe ofrecer las siguientes capacidades:

1. Registrar toda la actividad de interés de todos los endpoints y cargas de trabajo.
2. Enriquecer los datos de la red, los endpoints y los usuarios con inteligencia sobre amenazas para proporcionar el contexto necesario e identificar actividad y eventos anómalos.
3. Aprovechar la automatización para modificar la escala rápidamente y reducir al mínimo los falsos positivos.
4. Detectar la actividad maliciosa y mostrar los ataques reales (no la actividad benigna) sin necesidad de que los equipos de seguridad elaboren y reajusten reglas de detección.

Conclusión: Se necesita una solución y estrategia de ciberseguridad completa

Las organizaciones no deben cometer el error de elegir entre una EPP y una solución de EDR. Más bien, deben centrarse en integrar el EDR y otras soluciones de seguridad en una EPP para reforzar la posición de seguridad general y asegurarse de contar con una protección integral en un panorama de amenazas cada vez más preocupante.

Al evaluar proveedores y soluciones de ciberseguridad, es importante contar con un partner que ofrezca protección completa e integral y una gama completa de servicios.

EPP de CrowdStrike

CrowdStrike ha redefinido la seguridad con la plataforma nativa de la nube más avanzada del mundo, que protege a las personas, los procesos y las tecnologías que hacen avanzar a la empresa moderna.

Gracias a la nube de seguridad de CrowdStrike, la plataforma CrowdStrike Falcon® se nutre de indicadores en tiempo real, inteligencia sobre amenazas, herramientas evolutivas de los adversarios y telemetría enriquecida con datos de toda la empresa para facilitar detecciones hiperprecisas, protección y corrección automatizadas, threat hunting de élite y observación de vulnerabilidades por prioridades.

Con CrowdStrike, los clientes disfrutan de la mejor protección, el mejor rendimiento y la rentabilidad inmediata que aporta la plataforma Falcon nativa de la nube.