Las soluciones Endpoint Detect and Response (EDR) cada día tienen más presencia en los portfolio de los fabricantes de ciberseguridad y van siendo una opción más aceptada entre los proveedores de servicios gestionados (MSP). Una alternativa de apoyo a una propuesta de seguridad empresarial donde la gestión de imprevistos es tan fundamental como la protección en sí. Pero ¿Qué tienen de especial esta tecnología? ¿Por qué nos pueden ayudar en nuestro negocio?
Los ataques cada día más graves y que afectan a todo tipo de organización, ponen de relieve la importancia de la protección y capacidad de respuesta ante las amenazas. La ciberseguridad es así un tema candente en cualquier negocio. El 70% de las empresas asegura que incrementará sus inversiones en este terreno, mientras los proveedores tecnológicos lo convierten también en una prioridad máxima tanto para ellos como para sus clientes.
En este contexto las herramientas EDR no son algo nuevo como tal, pero si cada vez más reclamado para evitar males mayores ante un ciberataque. Estas soluciones pueden tener diferentes nomenclaturas que vienen a tener una base común: la detección y respuesta ágil y rápida. Vemos algunas diferencias:
- EDR (Endpoint Detect and Response): se trata de la solución de detección y respuesta destinada a cada uno de los endpoint que hay en la empresa. Estas opciones devuelven la información a los administradores para que sean ellos quienes ejecuten los pasos a dar.
- ADR (Automatic Detect and Response): una evolución de la anterior que automatiza las incidencias sin intervención humana con los parámetros previamente configurados. Lo ideal además es que avise al encargado TI.
- MDR (Managed Detect and Response): puede ser una combinación de las dos anteriores ya que supone que toda la información sea administrada por un responsable que pueda tomar las decisiones pertinentes. Se trata de la opción más complicada de gestionar ya que supone dar un servicio completo.
Más allá de las definiciones más teóricas, lo cierto es que cualquier solución Endpoint a día de hoy tiene alguna funcionalidades para trabajar como EDR. De hecho, el trabajo de un MSP precisamente es encontrar las herramientas necesarias para detectar código malicioso, carpetas sospechosos o cualquier otro indicio de que algo no va bien. Y esa es precisamente la labor clave con la que ayudan estas soluciones y donde podemos encontrar el aliado perfecto para mejorar procesos, tener una respuesta más rápida y ahorrar tiempo en tareas cotidianas.
No obstante, la forma de prestar el servicio de detección y respuesta puede variar mucho de una solución a otra. Sin embargo, lo esencial es la capacidad de respuesta que podemos ofrecer. Concretamente, la parte fundamental de esta tecnología es la R de respuesta, esto es, la agilidad con que podemos reaccionar ante una amenaza. Esta rapidez puede marcar la diferencia entre una el éxito o fracaso en la mitigación. En este sentido, algunas soluciones permiten a los MSP apoyarse en el equipo de expertos de los fabricantes para gestionar las incidencias lo más rápido posible y otros han desarrollado una consola automatizada con alertas y visibilidad plena de endpoint, redes y nube en tiempo real.
Sin embargo, lo que tenemos que tener siempre presente es lo que hay debajo de la solución EDR. La moda de estas herramientas ha hecho que todos los fabricante tengan su alternativa, pero por supuesto, no todas son iguales y ayuda a los MSP de la misma forma. Existen diferentes aproximaciones donde debemos ver cuál es la que mejor encaja con nuestro negocio como proveedores., ofreciéndonos un equilibrio entre personas, tecnología y procesos.
Más allá del EDR
Sin embargo, las soluciones EDR deben ser solo una parte del plan de ciberseguridad empresarial. Para completarlo y que realmente funcionen todas las piezas es necesario trazar una estrategia completa donde se tenga en cuenta toda la idiosincrasia, procesos e información de la compañía.
Como MSP podemos seguir estas pautas generales a la hora de trazar este plan:
- Evaluar las necesidades. Analizar la compañía, su sector, sus necesidades y sus riesgos.
- Determinar que nivel de seguridad necesita y qué podemos aportar.
- Revisar la oferta de herramientas que existen y cuáles pueden ser más efectivas en su contexto.
- Crear un equipo de acción y desarrollo de la planificación que posteriormente pueda continuar gestionando la seguridad empresarial.
Con todo ello debemos ejecutar una estrategia donde combinemos personas, tecnología y procesos para el bien común propio y de nuestros clientes. Si bien las empresas pueden estar aumentando sus presupuestos de ciberseguridad, en realidad están invirtiendo poco en las soluciones necesarias para dar respuesta a las actuales amenazas que deben afrontar. Y es ahí donde como partners TI tenemos un papel fundamental a la hora de gestionar su seguridad y de paso, reforzar la nuestra. ¿Estás cubierto?
Imagen | FLY:D