¿Confías en tu EDR? No es el salvador definitivo de endpoints que algunos vendedores afirman.

• Por: Deceptive Bytes Team | LoyalShield Team

Hace una década, el mundo de la ciberseguridad experimentó un cambio radical con la llegada del EDR (Endpoint Detection & Response).  Esto fortaleció a las organizaciones y su capacidad para identificar, reaccionar y recuperarse de un ataque de manera más rápida que los antivirus y otras herramientas tradicionales no pudieron lograron.

El cambio se realizó bajo la premisa de que de que un ataque era inevitable. La estrategia se basó en dotar a los defensores de las herramientas e información necesarias para identificar la amenaza y restaurar el sistema en un tiempo breve, de días o semanas, en lugar de meses.

En 2013, cuando se introdujo el concepto de EDR, el número total de malware detectado era de aproximadamente 120 millones. Hoy en día, se calcula que esa cifra ha superado los 5 mil millones de muestras (sí, eso es un billón) y sigue aumentando, dejando a los defensores en una batalla perdida contra los agentes de amenazas. 

Una nueva generación de seguridad, pero con desventajas

• EDR actúa después de la ejecución, [generalmente] No se enfoca en la prevención.
• La idea de “asumir la brecha” es errónea. No es una solución efectiva.
• EDR es un enfoque reactivo, no proactivo.
• Los EDR dependen de la IA/ML, lo que implica riesgos de errores, sesgos y datos inexactos. 
• Los EDR generan un elevado número de falsos positivos. Causa confusión y sobrecarga.  
• Los EDR son susceptibles de ser explotados o evadidos. No son totalmente confiables.
• Los EDR demandan un alto consumo de recursos. El registro de cada acción impacta el rendimiento.

Entonces, ya sabemos que los actores de amenazas están ganando, entendamos por qué…

En primer lugar, numerosos expertos en seguridad han demostrado su capacidad para identificar vulnerabilidades en las soluciones EDR y superar sus mecanismos de defensa, lo que les permite tomar el control total del endpoint y, posteriormente, la capacidad de lanzar ataques de malware de forma continua y sin ser detectados. A continuación, se presentan algunos casos de evasión/explotación de EDR:

• Burlando a Cortex XDR | mr.d0x
• Convirtiendo los EDR en borradores maliciosos mediante el uso de exploits de día cero
• Blindside: una nueva técnica para la evasión de EDR con puntos de interrupción de hardware – Cymulate

Además, a través de diversas investigaciones, se ha podido constatar que para proporcionar una protección integral, los responsables de seguridad deben realizar una supervisión continua del EDR las 24 horas del día, los 7 días de la semana, ofreciendo un monitoreo constante, un triaje eficiente y una respuesta rápida para asegurar su funcionamiento más efectivo.

Algunos puntos clave que deberían alarmarnos como profesionales de la seguridad:

• Un 11% adicional de MSP planea invertir en EDR en los próximos 12 meses, lo que significa que la adopción de EDR podría llegar a casi dos tercios de los MSP en 2020.
• Quizás no sea sorprendente entonces que solo el 5% de los MSP dijo que tienen a alguien dedicado a gestionar EDR.
• Un 27% dijo que no hay cobertura durante las noches o los fines de semana.
• Según un informe de IDC, el 70% de las brechas exitosas comienzan en dispositivos de endpoint.
• El 42% de los encuestados afirmó que la empresa cambió la plantilla, contratando profesionales de seguridad adicionales.

La conclusión es que, aunque el EDR ha demostrado ser una herramienta necesaria para combatir amenazas, carece de la capacidad de prevenir ataques de manera independiente, lo que limita su adopción y uso por parte las organizaciones, e incluso los MSP y MSSPs, lo adopten y lo utilicen en su máxima capacidad.

¿Significa que debo abandonar mi EDR?

No, la seguridad es un desafío complejo y no se recomienda desactivar las defensas de forma repentina solo porque no son infalibles (Recordemos que, nada lo es). Es posible que se necesiten EDR en entornos regulados y que aporten ciertas capacidades que mejorarán el equipo de seguridad y la visibilidad del entorno en caso de un ataque exitoso.

¿Cuáles son las alternativas?

Deceptive Bytes cambia el paradigma nuevamente en ciberseguridad con su enfoque de priorizar la prevención, utilizando técnicas de evasión contra el malware mismo, lo que reduce el tiempo que el malware permanece en el sistema y permite identificar y mitigar los ataques de manera más rápida y efectiva. Brindando a los expertos en seguridad el tiempo necesario para enfocarse en otros aspectos de seguridad de la organización.

Además, cuando el malware intenta identificar y evadir la solución EDR actual en el dispositivo, Deceptive Bytes proporcionará una advertencia altamente confiable sobre la presencia de un actor malicioso dentro del endpoint y lo bloqueará de inmediato.

¡Adoptando un enfoque integral!

Diferentes soluciones de seguridad en la organización pueden detener amenazas en distintos puntos del sistema, incluso antes de que lleguen al endpoint.

Ya sean firewalls, sistemas de protección de correo electrónico, entorno de prueba, red, etc., Sin embargo, si una amenaza logra llegar al dispositivo final, las probabilidades de que el antivirus la detecte son aproximadamente del 20%. El EDR tiene mejores probabilidades que el antivirus, aunque no garantiza una detección del 100%.

Y cuando todas las demás medidas fallan (lo que eventualmente sucede), la tasa de prevención de malware de Deceptive Bytes supera el 99.9%, fortaleciendo la postura de seguridad de la organización y reduciendo su carga operativa, costos y tiempo de prevención.

En conclusión, aunque el EDR tiene sus limitaciones, sigue siendo importante en la lucha contra los actores de amenazas, especialmente en entornos regulados. Sin embargo, las organizaciones deben ser conscientes de estas limitaciones e implementar una estrategia de seguridad multinivel que integre soluciones adicionales para crear una postura de defensa sólida. Al hacerlo, las organizaciones pueden mejorar su seguridad, mitigar riesgos y mantenerse al tanto de las amenazas en constante evolución en un entorno cibernético cada vez más complejo y desafiante.