A pesar de que comparten innegables puntos en común, un EDR y un antivirus son herramientas distintas. La irrupción del concepto Enpoint Detection and Response vino de la mano de Anton Chuvakin de Gartner hacia el año 2013. Pero, ¿qué es un EDR? Simplificando, podríamos decir que es el término empleado para designar aquellos sistemas orientados a la detección e investigación de actividades sospechosas. Desde un punto de vista funcional, constituyen un instrumento de seguridad aplicable a los dispositivos de usuario. Gracias a EDR se puede acceder a una monitorización regular y a un protocolo de respuesta ante amenazas complejas mediante la aplicación de tecnologías como los EPP, es decir, Endpoint Protection Platforms.
Podríamos decir que los EDR incrementan el grado de prestaciones que se encuentran dentro de las EPP porque posibilitan la observación y la puesta en acción frente a todos aquellos elementos y componentes que fueron ignorados por los sistemas de detección de malwares y vulnerabilidades conocidas. En realidad, como puedes ver, escoger un EDR no significa la renuncia o el reemplazo de los recursos de protección primarios frente a problemas de ciberseguridad. Más bien, significa implementar prestaciones adicionales y complementarias a sus potencialidades.
A continuación, te hablamos de las principales diferencias que existen entre ambas alternativa. ¡Toma nota!
Su alcance
Los antivirus son un tipo de software que desde la fase de conceptualización están diseñados para ofrecer cobertura al usuario final. Como consecuencia, presentan interfaces y fórmulas mucho más intuitivas y sencillas. La contrapartida negativa que tiene esto es una, bastante común, limitación de funcionalidades. A este nivel, las funcionalidades clave que encontramos dentro de los antivirus están contenidas dentro de los EDR.
Desde unas perspectiva más material, deberíamos decir que los antivirus son soluciones únicas, es decir, son una solución que unifica en un único entorno las funcionalidades de escáner, detección y eliminación de amenazas. Los EDR por su parte, están compuestos con una gran variedad de soluciones y cada una de ellas está orientada a cubrir objetivos específicos. El resultado es un conjunto de herramientas que participan de las acciones que los antivirus suelen integrar. Desde herramientas de monitorización de redes, análisis y seguimiento de sistemas, emisión de notificaciones y alertas, supervisión de logs y de conexiones…
En definitiva, hablamos de un entorno mucho más robusto y capaz de generar garantías de seguridad sólidas ante las amenazas más nuevas o menos susceptibles de detectar por los antivirus convencionales.
Debido a que los EDR no se basan en un dispositivo único y coordinan sus acciones en formato servidor, poseen acceso directo a instantáneo a todos los dispositivos y puntos clave que configuran las redes de la empresa. Al final, su alcance y el impacto de sus prestaciones es mucho más homogéneo y amplio.
Centralización
La deslocalización se ha convertido en una de las pautas clave de los procesos de transformación digital. En consecuencia, los perímetros de la empresas han experimentado grandes cambios. Lejos de centralizarse, las conexiones se establecen desde diferentes entornos geográficos y también desde diferentes tipos de dispositivos, en muchos casos, ni siquiera gestionados o provistos por la propia empresa. Los antivirus ejercen sus funciones en un contexto local, es decir, dentro del dispositivo en el que han sido instalados. En realidad, no se trata de una cualidad negativa o, al menos no, en microecosistemas. No obstante, en los tiempos actuales, podríamos decir que esta fórmula ha quedado un tanto desfasada y se convierte en un recurso bastante limitado e ineficiente a la hora de prevenir un gran número de amenazas.
Los EDR, en cambio, fungen de forma centralizada. Su arquitectura está orientada a supervisar y controlar todos los intercambios de información que se producen entre las diferentes fuentes y redes que componen la empresa. Gracias a ello, pueden detectar vulnerabilidades que acceden al ecosistema a partir de diferentes fracturas, independientemente de su localización, plataforma o ubicación. Sus capacidades de monitorización son, sin duda, la pieza clave: Un EDR puede conocer qué usuarios hay conectados, desde qué puntos han accedido a la red o cuáles son los factores de riesgo asociados a cualquier vínculo que se integre en el perímetro digital.
Capacidad de análisis
El desarrollo de la tecnología se ha traducido también en la reinvención de los procedimientos para asaltar y generar daños a través de la red. Las amenazas que los criminales cibernéticos emplean en la actualidad, se basan en tecnologías altamente avanzadas y cuyo avance es imparable. La necesidad del anonimato y las implicaciones que éste puede tener en la efectividad del ataque, les lleva a desarrollar fórmulas altamente complejas capaces de pasar completamente desapercibidas una vez han atravesado el umbral y han accedido al huésped.
Aunque los antivirus poseen innegables recursos para paliar y detectar amenazas, lo cierto es que sus capacidades analíticas están bastante limitadas, especialmente con respecto a las amenazas complejas. Los EDR, en cambio, funcionan a través de complejos sistemas basados en Inteligencia Artificial que permiten llevar un seguimiento y un análisis digital forense y del comportamiento que dota de mayor solidez y envergadura a las capacidades de respuesta. La detección de cualquier clase de incidente es prácticamente instantánea y la puesta en acción de mecanismos de respuesta, también.
Deja tu comentario