Seguridad, Acronimos

EDR

Endpoint Detection Response

Sistema de protección de los equipos e infraestructura de la empresa, se caracteriza por reunir varios elementos de detección y de tecnologías, elementos como Inteligencia artificial y el llamado «Big Data» permiten mejorar de forma programada y autónoma la detección y prevención de amenazas complejas. En ocasiones se confunde con el AV (Antivirus tradicional) o EPP (Endpoint Protection Plataform) ya que comparte objetivos, como la detección de malware, virus, exploits y en algunos casos ransonware pero además de estas detecciones, un EDR puede detectar malware del tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social (spam, etc.), ataques persistentes o de fuerza bruta. La idea es que detecte anomalías y de manera inmediata y automática actué, deteniendo o mitigando los efectos de dicha anomalía.

Bueno aquí puedo decir como una «Máxima», que cuando tratas de describir un acrónimo, surgen nuevos acrónimos que necesitan ser descritos.

Otras herramientas que integran a un EDR son herramientas de análisis y aprendizaje automático (Machine Learning), sandbox (sistema virtual aislado de testing) Scaneo de IOCs y regla YARA (se esta volviendo a cumplir la máxima), usos de listas blancas y negras de emails, paginas web e IPs, interoperabilidad e interacción con otras herramientas de seguridad como SIEM, IPS/IDS.

XDR

Extended Detection and Response

¿Detección Extendida? Bueno este sistema de protección utiliza un enfoque holístico para….espera ¿Qué es holístico? (Del todo o que considera algo como un todo.) ah bueno ya vamos entendiendo.

Lo que quiere decir es que un sistema XDR, recolecta información y la correlaciona con diversas fuentes como email, endpoints, servidores, workloads en la nube y redes (Data lake), de tal manera que ofrece un vistazo mas general de todo un ambiente productivo. Como resultado XDR automáticamente une a una serie de actividades de baja confianza en un evento de alta confianza, dando como resultado menos alertas de mayor prioridad para la acción.

SIEM

System Information Event Manager

SIEM es la evolución de dos tecnologías de seguridad

SEM: Gestion de eventos de seguridad, Detecta patrones de acceso fuera de lo común en tiempo real

SIM: Gestion de informacion de seguridad. Centralizacion de los registros de seguridad para interpretarlos y alamcenarlos en tiempo real, facilitando la actuacion inmediata.

SIEM incrementa y fortalece el nivel de seguridad de una empresa y proporciona una visión integral de la seguridad TI (Tecnología de la Informacion)

Funciones que debe tener un SIEM:

Identificar amenazas reales y falsos incidentes
Monitorizar de forma centralizada todas las amenazas potenciales
Redirigir la actuacion a personal cualificado para resolver las
Aportar conocimiento sobre incidentes para facilitar resolución
Documentar todo el proceso de detección, actuación y resolución
Cumplimiento de normas y legislaciones vigentes

Continuara…