Respuesta requerida: ¿Por qué identificar las amenazas con su EDR no es suficiente?


El autor period un maestro del disfraz y se preparó como empleado para evitar los controles preventivos de seguridad y huir con el contenido de la bóveda. Afortunadamente, el edificio estaba equipado con fuertes medidas de seguridad de detección, y el ladrón, sin darse cuenta de la ubicación de un cable trampa láser, pronto activó una alarma silenciosa. Unos pocos de los oficiales mejor equipados y más experimentados invadieron el edificio unos minutos más tarde, rastreando al sujeto hasta una gran área de almacenamiento donde lo encontraron cavando frenéticamente a través de la gran caja de documentos y metiendo algunos en su mochila.

Mientras los otros oficiales estaban listos en el pasillo, uno comenzó a caminar hacia el delincuente, gritando «Todo terminó, amigo. Este es el final del camino «. El felony, aterrorizado, se volvió para correr. Cuando comenzó a dirigirse hacia una entrada de carga, se quedó estupefacto al escuchar solo sus propios pasos resonando en las paredes. Echó un vistazo al oficial, que no se había movido. “¡Pensaste que podrías correr, pero te encontramos! ¡Estas bajo arresto!» gritó el oficial, aún sin mover un músculo. Sabiendo que algo tenía que estar sucediendo, el criminal aprovechó esta oportunidad para retroceder rápidamente a la caja y tomar su botín maltratado. Volvió a mirar al oficial, que todavía estaba congelado en su lugar.

El criminal miró incrédulo al oficial, se rió y sacudió la cabeza. Al no sentirse amenazado, salió lentamente con su caja gigante de documentos clasificados a la noche.


La «R» está ahí por una razón

Lo que es cierto en el mundo de la policía también lo es en el mundo de la ciberseguridad: la detección no significa nada sin respuesta. Y no cualquier respuesta, sino la respuesta correcta.

Los materiales de promoting de EDR se centran en gran medida en su capacidad para detectar la mayor cantidad de amenazas más recientes en el menor tiempo posible. Pero sin un conjunto amplio y bien desarrollado de mecanismos de respuesta, incluso las mejores habilidades de detección son de poca utilidad. A diferencia de, digamos, un producto antivirus heredado, EDR no es una tecnología de «configúrelo y olvídese», no puede simplemente ponerlo en su red y llamarlo por un día. Su capacidad para responder adecuadamente a las amenazas dependerá de dos factores. Si bien contar con analistas capaces al timón es critical, no limitarlos con herramientas inadecuadas es una parte igualmente importante para salvaguardar su empresa.


Las opciones de respuesta deben ser extensas

¿Qué pasaría si nuestro oficial tuviera acceso a una gama completa de capacidades de respuesta? Los delincuentes son impredecibles, y es imposible saber de antemano si «¡Levanten las manos!» será suficiente, o si necesitará pedir refuerzos, usar una pistola paralizante o perseguirlo. La capacidad de determinar la mejor respuesta no es suficiente si no tiene acceso a ese método de respuesta.

Entonces va en ciberseguridad. El mercado de EDR está fuertemente dividido en términos de capacidades de respuesta, y la capacidad —o incapacidad— de responder adecuadamente debería ser una consideración de compra. Cualquier EDR decente producirá el contexto necesario y lo presentará de una manera que le permita evaluar la situación de manera fácil y rápida. Un buen EDR pondrá una gran variedad de capacidades de respuesta a su alcance. ¿Deberías matar el proceso? ¿Reiniciar la máquina? Cuarentena la caja? La cantidad de flexibilidad ofrecida puede afectar la rapidez con la que puede manejar la amenaza.

Idealmente, según un informe del Instituto SANS, su EDR debería tener al menos las siguientes opciones de respuesta:
– Terminar procesos en ejecución
– Evite que los procesos se ejecuten según el nombre, la ruta, el argumento, el padre, el editor o el hash
– Bloquear procesos específicos de la comunicación en la red,
– Bloquee los procesos para que no se comuniquen con nombres de host específicos o direcciones IP
– Desinstalar servicios
– Editar claves de registro y valores
– Apague o reinicie un punto ultimate
– Cerrar sesión de usuarios en un punto last
– Eliminar archivos y directorios

Pero, ¿qué haces cuando la respuesta específica que necesitas no está disponible de inmediato? En este caso, debe poder programar su propio script para realizar una acción o respuesta personalizada. Muchos EDR carecen de la tecnología para hacer esto posible, pero es algo importante a tener en cuenta, solo porque las necesidades de su negocio no lo requieran ahora, no significa que no lo hará en el futuro.

EDR: ¿Reacción excesivamente retrasada?

¿Qué pasa si nuestro oficial puede perseguir a un sospechoso, pero solo en pasos pequeños? ¿Qué pasa si él o ella pueden pedir refuerzos, pero les toma 45 minutos llegar?

Tener todas las respuestas concebidas aún no es suficiente si no pueden contener amenazas a tiempo.

Con los atacantes que se mueven del compromiso inicial a la acción sobre los objetivos con mayor rapidez, la antigua forma de «reasignar el boleto a TI» ya no lo corta: para cuando TI observe el boleto, el atacante ya habrá desaparecido.

Es importante tener a su disposición la mejor respuesta. Pero cuando aún no sabes qué es algo, tu mejor la respuesta puede no ser tu primero respuesta. En otras palabras, a veces querrás poder poner en cuarentena los dispositivos afectados mientras investigas y alcanzas para limitar el impacto de la amenaza.

La capacidad del EDR de integrarse con los flujos de trabajo existentes, en lugar de dictar esos flujos de trabajo, también puede marcar una gran diferencia. Mucha gente mira MTTD (Tiempo medio para la detección), pero eso es solo una parte de la historia. Un mejor indicador de la efectividad de un EDR es MTTR (tiempo medio de respuesta). Según el analista del Instituto SANS Jake Williams, las empresas que han organizado acciones entre detección y respuesta tienen métricas MTTR que son más favorables y más confiables.

No hay escasez de soluciones EDR en el mercado, a todos los niveles de velocidad y capacidad. Vale la pena asegurarse de que el suyo ofrezca tanto en términos de respuesta como de detección. Recuerde, cuando elige un EDR, se está asociando con la tecnología que servirá y protegerá a su empresa. Cuando los chips están caídos, ¿tendrá un EDR que pueda identificar, rastrear y eliminar una amenaza a tiempo para evitar una devastación masiva?

En un blog futuro, explicaremos cómo la detección y la respuesta deberían funcionar en paralelo con la prevención para salvaguardar su empresa.

¿Desea obtener más información sobre qué buscar y tener cuidado en un EDR? Haga clic aquí para leer «Por qué la EDR tradicional no funciona y qué hacer al respecto».





Enlace a la noticia unique