EDR frente a segmentación: comprendiendo las diferencias
Tanto la detección y respuesta en los terminales (EDR) como la segmentación son herramientas de seguridad esenciales que siguen proporcionando valor a los clientes y disfrutan de tasas de implantación crecientes. Sin embargo, dentro de cada categoría, los proveedores a menudo ofrecen beneficios similares para los clientes, es decir, protección contra el ransomware y las amenazas de día cero.
Entonces, ¿cuáles son esos desafíos similares que abordan la EDR y la segmentación, y cómo difiere su enfoque para resolver dichos desafíos? Siga leyendo para obtener más información.
¿En qué se parecen la EDR y la segmentación?
Las soluciones de EDR y de segmentación ofrecen controles previos a las filtraciones, así como medidas de mitigación posteriores a la filtración. Además, ambos se encuentran cada vez con mayor frecuencia en las mismas áreas de la red, como servidores, instancias en la nube, dispositivos de los usuarios finales y contenedores. Las filtraciones son inevitablesy ambas soluciones pueden mitigar o reducir el impacto de las filtraciones antes de que causen daños importantes en toda la red. Sin embargo, su objetivo es detener la posibilidad y proliferación de filtraciones, cada una con un enfoque diferente.
¿En qué se diferencian la EDR y la segmentación?
El objetivo de la EDR es detectar ataques maliciosos en el momento en que se dirigen a un dispositivo o servidor inicial, ya sea mediante alertas sobre un evento de cifrado no deseado, detectando una conexión a una IP vinculada a una organización ciberdelictiva o notificando al administrador sobre la actividad sospechosa. Además, los avances en inteligencia artificial y aprendizaje automático han mejorado la capacidad de la EDR para identificar ataques de día cero basados en similitudes entre las firmas de los archivos con ataques ya conocidos.
Las soluciones de segmentación buscan compartimentar la red en cubos aislados para limitar el movimiento lateral, o este-oeste, de un ataque si la EDR no lo detecta. Cuando se configura correctamente para aprovechar el acordonamiento de aplicaciones esenciales, los controles de acceso más detallados y las políticas de mitigación de amenazas, una solución de segmentación garantizará que los ataques que hayan conseguido introducirse en la red finalmente lleguen a un obstáculo.
Aunque la EDR es capaz de detectar el inicio de estos ataques, ninguna solución de EDR puede detectar estos eventos maliciosos siempre. En el caso de que un atacante se introduzca en un dispositivo sin ser detectado, la escala del ataque vendrá definida por el lugar al que el atacante pueda desplazarse a continuación, y es entonces cuando la segmentación entra en juego.
Las soluciones de segmentación y sus controles de seguridad de red pueden garantizar que un dispositivo atacado solo pueda establecer una conexión con dispositivos o aplicaciones limitados. Por ejemplo, la segmentación puede evitar que un conjunto de credenciales robadas de un ordenador portátil resulte en una filtración crítica en el centro de datos, si la política de seguridad de la red establece que dicha conexión al centro de datos nunca debe ser posible.
Casos de uso de EDR frente a segmentación
Casos de uso |
EDR |
Segmentación |
Visibilidad |
Proporciona visibilidad y seguridad dentro del mismo dispositivo |
Proporciona visibilidad entre dispositivos y aplicaciones, redes y cargas de trabajo |
Mitigación de ransomware |
Tiene como objetivo detectar ataques en desarrollo en un dispositivo o servidor |
Implementa medidas de seguridad detalladas de este a oeste para limitar el impacto de cualquier filtración |
Investigación de amenazas |
Busca anomalías, amenazas y firmas de malware en un dispositivo o servidor |
Realiza consultas en toda la red y actualizaciones de políticas para identificar vulnerabilidades activas o inactivas Investiga toda la cadena de ataques, dondequiera que se haya originado o propagado |
Seguridad perimetral en evolución |
Proporciona funciones similares independientemente de la ubicación del dispositivo |
Mantiene una fuerte segmentación de la red cuando los empleados acceden a las aplicaciones de forma remota |
Caso de uso: visibilidad
EDR
Estas soluciones proporcionan visibilidad sobre lo que hace el dispositivo en el que están instaladas. La EDR supervisa constantemente el dispositivo en busca de amenazas conocidas y potencialmente desconocidas, y a veces puede utilizar el aprendizaje automático para comprender el comportamiento normal del dispositivo, y después enviar una alerta cuando se produce un comportamiento anormal. Esta supervisión constante puede suponer, ocasionalmente, un consumo elevado de CPU.
Segmentación
Para segmentar a fondo un entorno, estas soluciones deben proporcionar una visibilidad completa de toda la red, incluidos los servidores, dispositivos de usuario final, instancias en la nube y contenedores, así como las conexiones entre ellos. Esta visibilidad incluye flujos de datos activos entre recursos, conexiones ocultas que representen un riesgo y dependencias de red que afecten al impacto de un cambio de política o de un servidor infectado. Con esta información, se pueden crear políticas de segmentación que consideren todos los puntos de vulnerabilidad y así reducir significativamente la posibilidad de movimiento lateral .
Caso de uso: mitigación de ransomware
La mayoría de los ataques de ransomware se atribuyen a un error del usuario, como los descuidos con las contraseñas o un clic en un correo electrónico de phishing. En estos eventos, la EDR y la segmentación protegen contra la propagación del ataque en diferentes etapas y de diferentes maneras.
EDR
Las soluciones de EDR buscan detectar la presencia de ransomware en ejecución en los dispositivos que supervisan. Si la EDR detecta ransomware, puede eliminar el proceso, poner en cuarentena el dispositivo y, a veces, revertir cualquier cifrado que se haya producido.
Segmentación
Antes del ataque: mediante la asignación de todo el entorno desde una sola interfaz de usuario, incluidos dispositivos, conexiones y procesos, se puede aplicar una política de seguridad adecuada para evitar que un ataque de ransomware aproveche una conexión de dispositivo a centro de datos que, de otro modo, sería invisible para el administrador.
Después del ataque: si el ransomware penetra en el entorno, las medidas que se han tomado con la solución de segmentación, como el aislamiento de las aplicaciones esenciales y la eliminación de conexiones no deseadas a las bases de datos, así como la limitación de las rutas de movimiento lateral, son eficaces para garantizar que la filtración tenga un impacto global reducido. Las medidas de respuesta predefinidas al ransomware también pueden ayudar al usuario a aislar activos de forma estratégica o limitar flujos de datos específicos sin interrumpir el resto del entorno y garantizar la continuidad del negocio.
Caso de uso: investigación de amenazas
EDR
La "detección y respuesta" en EDR a menudo implica que el administrador o el equipo del centro de operaciones de seguridad se esfuerce tanto como la propia solución en la búsqueda de amenazas. Un equipo capacitado combinado con una EDR probada puede ser un emparejamiento capaz para detectar agentes maliciosos que se ocultan en los dispositivos.
Segmentación
A los analistas de seguridad experimentados les resultará fácil realizar consultas en toda su red, desde servidores locales que ejecutan el sistema operativo heredado hasta una plataforma como infraestructura de servicio en sus entornos de nube pública, utilizando una solución de segmentación.
Además, las soluciones de segmentación ofrecen una investigación superior de la cadena de ataques después de una filtración, ya que se puede acceder a todas las conexiones y eventos de red desde la interfaz de usuario de la solución de segmentación. Esto hace que el cumplimiento de la normativa sea mucho más simple si se produce una filtración, ya que se puede asignar un informe detallado del ataque en poco tiempo.
Caso de uso: seguridad perimetral en evolución
EDR
Si los empleados están conectados a la red de la oficina o a su router en casa, la EDR puede continuar supervisando el dispositivo del usuario final para detectar actividad maliciosa. Sin embargo, la visibilidad de la actividad de la red sigue siendo un punto ciego y el control del tráfico de red que se mueve hacia o desde el terminal es limitado.
Segmentación
La segmentación es una medida de seguridad fundamental para el perímetro en evolución, ya que estas plataformas pueden contener una filtración sin importar dónde se origine. Las políticas de segmentación tienen en cuenta los dispositivos del usuario final y garantizan que no haya una ruta fácil hacia las "joyas de la corona" de la organización, por lo que la red permanece protegida frente a filtraciones catastróficas.
¿Cómo se complementan la EDR y la segmentación entre sí?
Tanto la detección y respuesta en los terminales (EDR) como la segmentación se ocupan de los desafíos de seguridad más importantes, pero los abordan en diferentes etapas de la cadena de ataques y de diferentes maneras. La EDR es una potente solución para tratar de identificar nuevos ataques, pero si su objetivo es reducir significativamente la superficie de ataque de su red y limitar las rutas que el malware puede seguir desde un dispositivo en caso de filtración, necesita una solución de segmentación.
Ambas soluciones pueden estar basadas en agentes, con cada agente enfocado en objetivos diferentes, a la vez que se asegura de minimizar el consumo de CPU. En algunos casos, una solución integrada es suficiente para ofrecer funciones de EDR y de segmentación para un dispositivo determinado.
Más información
Para obtener más información sobre las ventajas de las soluciones de segmentación a la hora de proteger la red de un ataque originado en un dispositivo, consulte este informe sobre la solución.
