¿Por qué debería implementar Endpoint Detection & Response?
Existe una idea errónea común cuando se trata de seguridad cibernética de que la implementación de Endpoint Protection (EPP) por sí sola es suficiente para mantener segura a su empresa.
Si bien eso puede haber sido cierto hace una década, ahora ya no se trata de si su empresa se verá afectada, sino de cuándo. El simple hecho es que los ataques son cada vez más sofisticados y la superficie de ataque es mucho mayor.
Detectar y responder
Para continuar protegiendo a su empresa al más alto nivel, ahora es crucial desarrollar una capacidad EDR además de su protección EPP. Hay dos razones simples para esto: detección y respuesta. Mientras que EPP le permite recibir notificaciones de que se han bloqueado archivos maliciosos o actividades sospechosas, EDR va un paso más allá. En primer lugar, EDR le permite ver exactamente lo que sucedió antes de que EPP bloqueara un archivo malicioso, lo que le brinda al administrador una comprensión del amplio contexto de los eventos.
Aquí es donde EDR pasa de la detección a la respuesta. Con más información sobre los eventos, EDR puede reaccionar antes de que se produzca una actividad maliciosa o destructiva. “Una vez que sucede algo, el aspecto de la respuesta se vuelve más crítico. Espero que la gente no termine ahí, pero si es así, realmente necesita las capacidades de respuesta avanzadas de EDR”, admite Ville Korhonen , ingeniero de ventas sénior de WithSecure.
Al combinar las capacidades de detección y respuesta que ofrece EDR integradas en EPP, puede identificar y reaccionar ante una infracción a medida que ocurre, ofreciendo la solución completa en un solo panel.
¿Está muerto el EPP?
Entonces, ¿significa esto que EPP ahora está obsoleto? “Definitivamente no”, dice Suvi Silvanto, directora de marketing de productos de WithSecure. “Necesita EPP para proporcionar un nivel básico de seguridad. Sin embargo, siguen surgiendo amenazas y debemos reaccionar ante ellas con soluciones más potentes”, continúa.
Korhonen está de acuerdo. “La gran mayoría de los ataques cibernéticos usan herramientas de administración de Windows en algún momento y ahí es donde EPP no tiene suficiente visibilidad”.
Desafortunadamente, muchas empresas tienden a optar por EDR después de haber sido violadas, ya que solo entonces se dan cuenta de lo importante que es la visibilidad general. “Si no tiene EDR implementado, se vuelve muy costoso; si es una empresa más pequeña, es posible que ni siquiera tenga los medios para volver a la normalidad durante mucho tiempo, lo que puede afectar la continuidad del negocio”, insiste Silvanto.
“Diría que alrededor de la mitad de los profesionales de TI realmente saben y entienden que necesitan más visibilidad, mientras que otros aún creen que al tener EPP están ‘suficientemente cubiertos’. Sin embargo, necesitamos educar a las personas y explicarles lo que se están perdiendo desde una perspectiva de visibilidad”, explica Korhonen.
¿Qué pasa después?
Si ya tiene WithSecure Elements EPP, agregar EDR le llevará menos de cinco minutos. Una vez instalados, los eventos de seguridad comienzan a fluir y se analizan automáticamente mediante el aprendizaje automático continuo combinado con los datos de inteligencia de amenazas más recientes. Los eventos sospechosos se combinan en detecciones de contexto amplio, a las que se les otorga una clasificación de gravedad para que los miembros administradores puedan concentrarse solo en las detecciones más graves.
“Al final del día, EDR debe brindar seguridad avanzada, pero también ayudar en el trabajo diario del usuario”, cree Silvanto.
En este punto, debe considerar su respuesta a posibles detecciones, y aquí es donde EDR de WithSecure lo coloca firmemente en el asiento del conductor. Nuestra automatización integrada las 24 horas del día, los 7 días de la semana le permite responder de inmediato a amenazas y ataques avanzados reales, ofreciendo la capacidad de ralentizar o incluso impedir que los atacantes alcancen sus objetivos. Esto se logra enriqueciendo los artefactos forenses de los puntos finales para ayudar a iniciar la lucha. También estamos con usted en todo momento, brindándole la orientación y la experiencia necesarias para mejorar el enfoque de su equipo.
WithSecure Elevate
Si bien la detección de amenazas es un superpoder que todos podemos tener, somos conscientes de que es posible que las empresas más pequeñas no tengan la experiencia o los conocimientos internos para procesar toda esta información.
Por eso creamos WithSecure Elevate. Con un solo clic en el portal de gestión, puede acceder 24/7 a nuestro equipo de detección y respuesta de ciberseguridad. Pueden guiarlo a través de cualquier incumplimiento con experiencia y confianza.
El primer nivel de Elevate implica la realización de una evaluación de amenazas para ver si necesita responder. A continuación, una investigación de nivel profundo trae recomendaciones y orientación de respuesta. Si Elevate no es suficiente, puede llamar a la caballería: el equipo de WithSecure Incident Response en el sitio.
