Desde el inicio de la ciberguerra, los expertos en seguridad han lidiado y reaccionado ante situaciones alarmantes enviadas a sus consolas de gestión, advirtiendo que hay un ataque en curso o que ha ocurrido. A medida que más ataques lograron evadir las defensas de las organizaciones, los equipos de seguridad se encontraron persiguiendo más y más alertas, teniendo que priorizar cuáles son urgentes, cuáles son menos críticas y cuáles son falsos positivos.

LA ERA DE NGAV

Comprendiendo la falta de capacidad para detener amenazas avanzadas, se comenzó a buscar nuevas formas de detectar y mitigar ataques, especialmente aquellos que no podían ser detenidos por soluciones tradicionales basadas en firmas. Esto llevó al surgimiento de métodos que utilizaban tecnologías como el aprendizaje automático (ML), la inteligencia artificial (IA), la detonación de archivos en la nube y la detección de comportamiento. Esto llevó al surgimiento del Antivirus de Próxima Generación (NGAV), que combinaba nuevos métodos con enfoques tradicionales para detectar amenazas.

LA ERA DE EDR

En 2013, se introdujo el término EDR (Detección y Respuesta en el Punto Final), por Anton Chuvakin, un analista de Gartner que identificó el cambio entre el AV regular y luego el NGAV que las organizaciones utilizaban, hacia el mecanismo de detección de amenazas más avanzado, que se basa en ML o IA para detectar anomalías en el comportamiento de un archivo y reconocer patrones maliciosos, brindando una manera más confiable de identificar amenazas y correlacionar información de diferentes fuentes.

El problema radica en la configuración inadecuada o la falta de integración con otras soluciones esenciales, como EPP (Prevención de Amenazas Endpoint), gestión de parches, entre otros. En este escenario. el EDR ocasionó la aparición de numerosos falsos positivos, generando un exceso de ruido para los equipos de seguridad y llevándolos a perseguir alertas, en un intento por identificar ataques reales y eventos irrelevantes, resultando en una abrumadora carga de trabajo para gestionar la considerable carga de eventos generados.

LA ERA DE XDR

Dado que los equipos de seguridad necesitan desesperadamente ayuda para revisar las alertas, falsos positivos e información que estos sistemas generan, correlacionar datos entre los sistemas y tener un mejor contexto del ataque se volvió esencial.

Surgió el concepto de Detección y Respuesta Extendida (XDR). Esta tecnología, que va más allá del EDR, ya que incorpora otras tecnologías como SOAR, SIEM y SOC y monitorea otras áreas en la organización como la red, la nube, etc., lo que ayuda a proporcionar a los equipos de seguridad una visión más completa de su entorno. Sin embargo, a pesar de sus mejoras, los XDR aún presentan desafíos y limitaciones.

ACTUALIDAD. LA ERA DE LA PREVENCIÓN

¿Qué tal si existiera un método para reconocer amenazas genuinas sin tener que perseguir constantemente sombras? ¿Imagina si los equipos de seguridad o de TI no tuvieran que recuperarse ni remediar después de un ataque exitoso?

Nuestra solución “Deceptive Bytes” surge gracias a la idea de la “Notificación de Prevención” representando un enfoque revolucionario para abordar la seguridad. En lugar de simplemente detectar amenazas y alertar al equipo de seguridad, la Notificación de Prevención implica agregar un elemento de “Decepción Activa” en el Punto Final. Esto permite que los equipos de seguridad reduzcan la cantidad de alertas y se enfoquen en la prevención en tiempo real, evitando ataques de manera rápida y efectiva. No depende de firmas ni de análisis de patrones, ofreciendo notificaciones de alta fidelidad, ya que se basa en las mismas técnicas que el malware utiliza para evadir la detección y protegerse a sí mismo.

Este enfoque no solo mitiga la fatiga generada por la gestión de alertas complejas, sino que también permite a las pequeñas y medianas empresas que no pueden costear soluciones como EDR y servicios de detección gestionados a monitorear constantemente sus entornos, ya que no hay necesidad de hacerlo una vez que se ha prevenido un ataque.

Aquí te mostramos un ejemplo de cómo lograr una mejor prevención contra ransomware y otros ataques similares.