Lo que busca en una solución EDR
Las amenazas emergentes y ataques dirigidos avanzados (ATAs) están posicionándose en el ciberpanorama más rápido que los equipos de TI. Su estructura de seguridad puede ser comprometida en un abrir y cerrar de ojos, colocando los recursos de su información corporativa en riesgo. Una detección y respuesta de endpoint avanzada (EDR) brinda visibilidad constante, ofrece respuestas rápidas y automatizadas y mejora su capacidad de contener amenazas futuras. EDR debería ser parte del arsenal de seguridad de todas las organizaciones.
Coléctelo. Encuéntrelo. Úselo.
La búsqueda y recolección de información son componentes importantes de una solución EDR. Estos dos recursos pueden ser enlazados con una búsqueda de Google. El EDR busca en los índices y recolecta todos los datos, y posteriormente estos datos sirven para investigación forense. Algunas soluciones EDR se detienen justo en este paso, lo cual no es suficientemente bueno. Una solución EDR ideal le ayudará a usar estos datos importantes para protección. Si está especialmente preocupado sobre un tipo particular de malware malicioso, su EDR debe permitirle buscar parámetros específicos asociados con esa amenaza y enviar una respuesta cuando el indicador de ataques (IoAs) sea identificado.
¿Sherlock Holmes o Inspector Clouseau?
Piense en los recolectores como detectives. Deberían ser capaces de mirar más allá de lo obvio a medida que examinan los ejecutables de programas, procesos en ejecución, y archivos y objetos inactivos. Quiere asegurarse que son lo suficientemente inteligentes y capaces de descubrir pistas útiles, agregue medidas robustas para que cuente con un recolector de información ideal para su organización. Aquí algunas características:
- Modelo basado en agente: En algunos EDRs, los recolectores usan servidores para escanear remotamente el endpoint. Un modelo basado en agentes, donde un endpoint está haciendo todo el trabajo localmente, es mejor – no hay necesidad de reducir o expandir su infraestructura.
- Almacenamiento local e indexación de datos recolectados: Este recurso elimina la necesidad de enviar los datos a la nube o a un dispositivo de almacenamiento de datos en instalaciones.
- Recolección persistente: Usted querrá que los recolectores siempre estén activados, de modo que nunca haya filtración de datos importantes. Por otra parte, es mejor si los recolectores usan pocos recursos todo el tiempo para evitar los peaks de consumo que pueden interrumpir los procesos y la productividad del usuario.
- Escriba su propia secuencia de comandos: Los recolectores listos para usar deben cumplir cerca del 99% de sus necesidades. Hablando generalmente, probablemente no necesite un recolector personalizado, pero hay veces en las que desee escribir sus propias secuencias de comandos para señalar la información y la cantidad exacta que desea reunir—especialmente durante un brote de malware. Su mejor apuesta es un EDR que esté basado en una arquitectura abierta.
Encuéntrelo rápido.
Busque mecanismos de trabajo a medida. Al escoger una solución EDR, asegúrese que la búsqueda sea rápida—debe tener resultados en menos de 20 segundos. Y la información que reciba debe brindarle una imagen clara del estado actual de su entorno. ¿Cuándo usaría una búsqueda? Aquí hay dos casos de uso comunes:
- Reactivo: Usted recibe una alerta de un producto de seguridad que indica que un endpoint puede estar infectado. Luego puede realizar alguna investigación, como una búsqueda para determinar si alguien está conectado a una dirección IP inadecuada.
- Proactivo: A medida que participa en actividades de compartimiento de inteligencia, usted descubre una nueva amenaza en circulación. Para impedir la infección de un posible malware en su organización, puede buscar la exacta combinación de características que corresponde a la amenaza.
Como parte de la arquitectura integrada y conectada de Intel Security, McAfee Active Response provee visibilidad continua e información sobre actividad del endpoint para ayudarle a reaccionar más rápido para remediar problemas de una forma que funcione mejor para su negocio. Intel Security unifica la Protección, Detección, y Corrección a través de la plataforma de McAfee ePO en un circuito de retroalimentación adaptable, permitiendo que la seguridad evolucione. McAfee Active Response es el componente que Detecta y Protege de este ciclo de vida de defensa contra las amenazas, ayudando a las organizaciones a identificar vulnerabilidades con más eficiencia e implementar una corrección rápida.
Sobre Intel Security
McAfee es ahora parte de Intel Security. Con su estrategia de seguridad conectada (Security Connected), su enfoque innovador para la seguridad mejorada de hardware y tecnología única de McAfee Global Threat Intelligence, Intel Security está intensamente concentrada en desarrollar soluciones y servicios de seguridad proactivos y probados que protejan sistemas, redes y dispositivos móviles para empresas y para uso personal en todo el mundo. Intel Security está combinando la experiencia y pericia de McAfee con el desempeño innovador y probado de Intel para hacer que la seguridad sea un ingrediente esencial en cada arquitectura y en todas las plataformas informáticas. La misión de Intel Security es dar a todos la confianza necesaria para vivir y trabajar de forma segura en el mundo digital www.intelsecurity.com.
Intel, el logotipo de Intel, McAfee y el logotipo de McAfee son marcas comerciales de Intel Corporation en EE.UU. y/o en otros países.
*Los otros nombres pueden resultar reivindicados como propiedad de terceros.