El mercado de protección y respuesta en el endpoint (EDR) esta en crecimiento exponencial, en esta entrada revisaremos como analizar las opciones existentes, profundizar en sus caracteristicas, la interacción con nuestra red, la cobertura que poseen sobre el actual panorama de amenazas y como separar los hechos de la ficción bajo la perspectiva del fabricante.
Este mercado tradicionalmente fue dominado por los grandes fabricantes de anti virus y fue considerado un "mal necesario" por los profesionales en seguridad de la información. Recientemente ha tenido la entrada de "nuevos jugadores" con diferentes aproximaciones, sacudiendo y revitalizando el segmento con esperanza y un optimismo cauteloso sobre el futuro. Dado el atractivo valor del mercado que oscila entre los 5 y 20 billones de dólares cada comprador potencial es "bombardeado" por una larga lista de fabricantes que usan un lenguaje de mercadeo similar. Conceptualmente las soluciones viables deben proveer tres principales funcionalidades:
- Prevenir/Detectar: Deben bloquear código malicioso y prevenir la infección con una tasa alta de detección (positivos verdaderos) y tasa baja en falsos positivos y falsos negativos. Este ha sido durante mucho tiempo el baluarte de los fabricantes de anti virus aunque las tasas de detección y la eficacia de los productos han caido fuertemente en los últimos años debido a múltiples factores. Entre estos factores se encuentran la capacidad de los atacantes de transformar el código malicioso para evitar la detección basada en firmas, así como el movimiento gradual de los atacantes a técnicas mas allá de código enfocándose en robo de credenciales y otras técnicas que no tienen nada que ver con malware.
- Análisis: Que entregue una capacidad real de investigar, analizar y realizar análisis forense en diferentes tipos de endpoint sin ninguna complicación.
- Respuesta: La cual proporcione la habilidad de contener y hacer remediacion en los endpoint de manera remota.
Dado lo anterior ¿De que forma los responsables de seguridad de la información pueden profundizar y reconocer la mejor opción separando los hechos de la ficción? Las siguientes veinte preguntas ayudarán a dar con la respuesta:
- ¿Qué tan fácil es de implementar la solución? - No importa si posees, decenas cientos o miles de endpoints en tu infraestructura, necesitas un proceso lo menos "doloroso" posible.
- ¿Qué tan fácil es de administrar? - Con el número de agentes que instalarás no puedes permitir una gestión descuidada o inmadura.
- ¿Qué tan fácil es configurar sets de reglas o poner a punto la solución una vez instalada? - Más allá de que las amenazas evolucionan constantemente si se registra actividad maliciosa pero benigna debo tener opción de filtrarla.
- ¿Qué tan fácil es actualizar la base de conocimientos de la solución o tomar ventaja de los últimas formas de ataque conocidas? - Si esto no es fácil operativamente, definitivamente es algo que no necesito.
- ¿Qué carga adicional de trabajo agrega al endpoint el agente o solución instalada? - Si impacta a la productividad, definitivamente no es viable.
- ¿Instalaré otro agente? - Estoy dispuesto a hacerlo si me explicas la forma de consolidar la funcionalidad que tengo en varios agentes en uno solo.
- ¿Cómo se integra tu solución con mi infraestructura de seguridad existente? - Tengo un complejo ecosistema de soluciones de seguridad implementadas y la tuya debe integrarse con ellas amigablemente.
- No todas las intrusiones involucran malware, ¿Cuál es tu estrategia para detectar intrusiones que no lo usen del todo?
- ¿Tú solución es parte de una plataforma integral o es solo otro producto individual que tengo que descubrir como integrar a nuestro flujo de trabajo?
- ¿Tu solución aprovecha y facilita la correlación con otros datos? Tengo datos importantes en otras partes dentro de la organización, ¿Sabes como puedo tomar ventaja de ellos y mejorar la eficacia?
- ¿Tu solución esta basada en conocimientos de las tácticas, técnicas y procedimientos de los atacantes (TTPs)? De no ser así ¿Cómo identificas este tipo de actividad?
- ¿De que forma todo el conocimiento que intentas venderme se materializa en la solución y ayuda a mitigar riesgos?
- ¿Tu solución realmente posee análisis de comportamiento y aprendizaje en la máquina o son solo firmas y sets de reglas tras bambalinas?
- ¿Posee la habilidad de contener y remediar remotamente mis endpoints?
- ¿Qué tan eficiente y que alcance posee la busqueda a través de toda la empresa? Si tengo un incidente incluso si no tengo que ser capaz de analizar los datos recopilados por la solución en un instante.
- ¿Qué tan efectiva es en un ambiente empresarial real con binarios que nunca han visto?
- ¿Cuál es la tasa de positivos verdaderos en el mundo real? Los resultados de sus pruebas de laboratorio no son relevantes.
- ¿Qué porcentaje de eventos y alertas generados son falsos positivos? De nuevo las pruebas de su laboratorio no son relevantes.
- ¿ En cuánto tiempo tendré que hacer una actualización de la solución? Debe de ser fácil y sin contratiempos moverme de una versión a otra.
- ¿De que forma facilita la solución mis iniciativas para compartir la información dentro de la organización?
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Joshua Goldfarb-DarkReading - Oct 16