Así como los atacantes van evolucionando sus Tácticas, Técnicas y Procedimientos (TTPs), los fabricantes, encargados de proveernos y evolucionar las herramientas para detección, contención y erradicación de dichas amenazas, han creado los EDR (Endpoint Detection and Response).  El EDR es una plataforma que conjuga múltiples capas para la detección: Inteligencia artificial, Big data, análisis de comportamiento, etc., así como la capacidad de responder de manera más efectiva ante eventos de seguridad, permitiéndonos accionar capacidades de contención y erradicación tanto de IoCs (Indicadores de Compromiso) como de acciones malintencionadas que afectan la infraestructura de las organizaciones.

Esta tecnología y las herramientas tradicionales, como son los Firewalls e IPS, se complementan mutuamente, permitiendo que las primeras dos contengan aquellos ataques más básicos como simples escaneos de puertos, intentos de explotación de vulnerabilidades o uso de herramientas de hackeo conocidas, que acechan la red de la organización. Mientras que el EDR centra sus capacidades en identificar ataques más complejos a nivel del Sistema Operativo de Servidores, Workstation y Endpoint. Los fabricantes se han encargado de cubrir la mayoría de las diferentes versiones de Sistemas Operativos de Linux, Windows y Apple.

Lo que hace que la tecnología EDR sea tan eficiente, es el hecho de poderse integrar de manera adecuada a dichos sistemas operativos para permitirnos monitorear y accionar los diferentes elementos que lo componen, como son:

• Procesos
• Servicios
• Carga de librerías
• Cambios en los Firewalls
• Conexiones activas
• Tareas programadas
• Etc.

Otro elemento importante del EDR es su capacidad de post-procesamiento al registrar y almacenar las acciones que se van presentando en el Endpoint. Dicho post-procesamiento identifica cambios en el comportamiento normal del dispositivo, como puede ser la ejecución de un nuevo proceso, servicio o conexión, y provee un histórico de todas las acciones ejecutadas en estos dispositivos desde el momento en que el agente EDR se implementa. Estas son cualidades que interesan al personal encargado de efectuar las tareas de respuesta a incidentes, ya que les permiten identificar el vector de ataque utilizado por un atacante, así como visualizar las acciones ejecutadas en la infraestructura.

Otras capacidades en el EDR son:

• Machine Learning: uso del aprendizaje automático para mejorar la detección de amenazas.
• Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento de aquellos artefactos de interés en una investigación o que se van generando en los dispositivos.
• Escaneo de IOCs (Indicador de Compromiso) y aplicación de reglas YARA, que permiten analizar y detectar las amenazas complejas en tiempo real.
• Uso de listas blancas y listas negras, artefactos, procesos, páginas web e IPs.
• Interoperabilidad: interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware.

Estas capacidades pueden ser explotadas por el personal que monitorea la infraestructura para ejecutar tareas de monitoreo, identificación de amenazas (threat hunting) y respuesta a incidentes de seguridad. Un ejemplo de uso de esta tecnología son aquellos casos de infección de malware tipo Ransomware; estas herramientas permiten accionar rápido para detener su propagación al cargar los IoCs identificados y bloquearlos, así como, recolectar evidencia (artefactos, conexiones y procesos) de las acciones ejecutadas para identificar los TTPs del atacante. Los EDRs también permiten un rápido despliegue de políticas de protección cuando los otros componentes (Antimalware, IPS, etc.) no cuentan con la capacidad de contener o mitigar. Un último ejemplo de su uso es el poder generar un mapa del flujo de movimientos laterales que un atacante puede llegar a tener en toda la infraestructura sobre la que los agentes EDR están implementados.

El EDR es una tecnología que debe ser considerada como parte del arsenal básico de una organización para poder ampliar sus capacidades de detección y análisis, de manera similar como se ha hecho con los IPS, SIEMs, consolas Antimalware, etc. En el mercado existen diferentes fabricantes que ofrecen más o menos funcionalidades, así como cada marca tienen sus pros y contras. Por ello es necesario informarse de manera adecuada de la oferta de cada fabricante para adquirir aquel que resuelva mejor nuestras necesidades.

Referencias:
https://www.crowdstrike.com/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/
https://www.paloaltonetworks.com/cyberpedia/what-is-endpoint-detection-and-response-edr
https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions
https://www.checkpoint.com/es/cyber-hub/what-is-endpoint-detection-and-response/
https://www.incibe.es/protege-tu-empresa/blog/sistemas-edr-son-y-ayudan-proteger-seguridad-tu-empresa