Página web
Volver a la descripción general

Endpoint Detection & Response (EDR)

Endpoint Detection & Response (EDR) designa una categoría de soluciones de seguridad que supervisan continuamente la actividad en dispositivos finales como portátiles, smartphones o servidores, detectan comportamientos sospechosos en tiempo real y permiten medidas de respuesta automatizadas y manuales. EDR va así mucho más allá de los antivirus clásicos, que únicamente identifican programas maliciosos conocidos mediante firmas, sin mantener una visión global del comportamiento del dispositivo.

El núcleo técnico de EDR es el análisis basado en comportamiento. En lugar de limitarse a bloquear amenazas conocidas, una solución EDR registra continuamente qué procesos se ejecutan en un dispositivo, qué conexiones de red se establecen y qué accesos a archivos tienen lugar, con el fin de detectar anomalías y patrones de ataque potenciales. En caso de incidente, esta base de datos permite un análisis forense detallado que muestra cómo accedió el atacante al sistema y qué sistemas quedaron comprometidos.

Para empresas y organismos públicos con un parque de dispositivos amplio y heterogéneo, EDR cobra especial relevancia cuando los dispositivos móviles se utilizan fuera de la red corporativa. Una administración municipal que equipa a su personal de campo con smartphones corporativos puede garantizar mediante EDR que incluso los dispositivos en uso externo sean monitorizados continuamente frente a amenazas y, en caso de emergencia, puedan aislarse o bloquearse automáticamente antes de que un ataque se propague a otros sistemas.

La ventaja esencial de EDR frente a las soluciones de seguridad clásicas reside en su capacidad para detectar también métodos de ataque hasta ahora desconocidos. Al basarse la evaluación no en una base de datos de firmas estática, sino en el comportamiento real de los dispositivos en funcionamiento, EDR resulta especialmente relevante ante la creciente proliferación de exploits de día cero y ataques sin archivos, que no dejan rastros de malware convencionales.

EDR despliega todo su potencial cuando los dispositivos supervisados están también configurados de forma uniforme y pueden bloquearse o restablecerse de forma remota cuando es necesario. Ambas cosas pueden garantizarse mediante una gestión centralizada de dispositivos.