10 cosas a considerar antes de comprar una solución EDR
El mercado de soluciones de detección y respuesta de endpoints (EDR ) ha crecido rápidamente en los últimos años y los expertos de la industria predicen que esta tendencia continuará. Gartner predice que más del 60% de las empresas habrán reemplazado los productos antivirus antiguos con soluciones combinadas de EPP y EDR para fines de 2025 .
La necesidad de una solución integral de seguridad para endpoints se debe a que los ataques se vuelven más frecuentes y sofisticados, y las soluciones EDR se vuelven más accesibles para las empresas de rango medio. EDR ya no es solo una solución para grandes empresas, ya que muchos proveedores de ciberseguridad ahora ofrecen una combinación de Endpoint Detection & Response (EDR) y Endpoint Protection Platform (EPP) a precios asequibles.
Para obtener una descripción general de alto nivel de las funciones clave de EDR y por qué las empresas necesitan una solución de detección y respuesta de endpoints, consulte nuestro artículo 7 razones por las que necesita una solución de EDR .
En este artículo, describiremos 10 de los aspectos más importantes que debe tener en cuenta y preguntarle a su proveedor al comprar una solución EDR. Estos se aplican tanto si su empresa está buscando adquirir este tipo de solución por primera vez, como si está realizando un ejercicio de evaluación comparativa regular o un proceso de renovación.
1. Integración con otras plataformas de seguridad
Es esencial asegurarse de que cualquier solución EDR considerada sea compatible con sus sistemas de seguridad actuales. Esto no solo reducirá la carga de trabajo y aumentará la eficiencia de su equipo de TI / seguridad, sino que para funcionar de manera efectiva, las herramientas EDR deben ofrecer integración con otros sistemas de seguridad que rastrean, orquestan y toman acciones para mitigar un ataque.
Buscar una solución que ofrezca integración de API puede ser la mejor opción, especialmente si ya está utilizando una herramienta como un sistema de gestión de eventos e información de seguridad (SIEM). De esta manera, la solución EDR puede alimentar datos a sus sistemas existentes sin ningún problema.
2. Agente vs sin agente
El agente de una solución EDR es el componente de software que se instala en cada punto final. No es estrictamente necesario, ya que una solución EDR también se puede instalar pasivamente en la red, sin embargo, esto limitará su funcionalidad. Esto se debe a que tener el agente instalado directamente en el endpoint le permite capturar muchos más datos sobre la actividad del usuario. El agente también permite una intervención más fuerte en caso de que un punto final se vea comprometido.
Las principales ventajas de las soluciones EDR sin agentes son que se implementan rápidamente y se pueden usar para monitorear los puntos finales en los que es imposible o difícil instalar un agente. Sin embargo, debido a que el agente no se instala directamente en el endpoint, la respuesta de la solución no puede ser tan sólida y la recopilación de datos también es más débil.
3. Soporte del sistema operativo
Vinculado al punto anterior en los puntos finales en los que no se puede instalar un agente. Una razón podría ser que su sistema operativo no sea compatible con la solución EDR. Si puede mitigar este problema eligiendo una solución compatible con múltiples sistemas operativos, esta es probablemente la mejor solución.
Sin embargo, casi todas las soluciones EDR tendrán algunos sistemas operativos que no son compatibles. Si tiene puntos finales en su red que ejecutan un sistema operativo que no es compatible con el proveedor de EDR que eligió, entonces EDR sin agente es una buena solución.
4. Dispositivos no cubiertos
Al igual que en los sistemas operativos, es posible que algunos dispositivos no sean compatibles con la solución EDR elegida. La mayoría de los teléfonos inteligentes, incluidos los que ejecutan los sistemas operativos iOS y Android, generalmente no están cubiertos por las herramientas EDR, y es poco probable que los dispositivos IoT (Internet de las cosas) lo estén. Al igual que con los sistemas operativos, lo mejor que puede hacer es preguntarle a su proveedor qué no está cubierto y comprender a cuántos de sus terminales se aplica esto.
5. Soporte en la nube
Es importante saber si una solución EDR es compatible con un entorno de nube y en qué medida. Aunque varias herramientas de EDR están basadas en la nube, es posible que no puedan operar en la nube.
El 60% del mercado de EDR empresarial ya se ofrece en la nube (Gartner Innovation Insight para plataformas de protección de terminales en la nube, abril de 2019). Esto no significa necesariamente que pueda proteger todos sus otros sistemas en la nube, ya que EDR a menudo es difícil de instalar en la nube y es posible que necesite protección adicional para aplicaciones específicas en la nube.
6. Actualizaciones del sistema
El panorama de amenazas cambia constantemente y los atacantes se esfuerzan por violar los sistemas de seguridad utilizando nuevas tácticas, técnicas y procedimientos (TTP), por lo que cualquier sistema EDR que no se actualice regularmente será vulnerable a las amenazas avanzadas y rápidamente se volverá obsoleto. Por lo tanto, se requiere una solución EDR que reciba actualizaciones frecuentes sobre Indicadores de compromiso (IoC) para responder mejor a las amenazas.
Además, vale la pena considerar cuánto tiempo dedicará su equipo de seguridad de TI a administrar e instalar estas actualizaciones y cuánto se pueden automatizar.
7. Escalabilidad
El 82% de las organizaciones aspiran a tener una solución todo en uno para sus necesidades de seguridad de red / TI (F-Secure 2020 B2B Market Research). Es posible que esto no sea posible en este momento, pero si se encuentra entre el 82% de las organizaciones con esta aspiración, vale la pena hablar con su proveedor para averiguar qué opciones ofrece su sistema EDR para agregar nuevos componentes y características en el futuro.
Además, también debe considerar cómo la solución manejará cualquier aumento en el tráfico, especialmente si hay un crecimiento futuro y un aumento en la cantidad de dispositivos remotos.
8. Impacto en el rendimiento del endpoint
Si está utilizando una solución EDR que requiere la instalación de un agente en sus puntos finales, necesita saber qué recursos ocupará. ¿Significa esto que tendrá que invertir en un mejor hardware para mantener el rendimiento de su terminal a un nivel razonable?
Un nivel razonable de utilización de la CPU para una solución EDR es de alrededor del 1%, si lo excede regularmente, es probable que no esté bien optimizado. El uso de memoria puede variar según el peso del agente, pero no debe exceder los 50 MB. Su proveedor debería poder mostrarle datos sobre el rendimiento de sistemas similares al suyo.
9. Modelos personalizados de detección de amenazas
Dependiendo del nivel de habilidad que tenga en casa, es posible que desee diseñar su propio modelo de detección de amenazas, o al menos modificar el preestablecido. Los proveedores de EDR le dirán que la configuración predeterminada está optimizada para obtener el mejor rendimiento, pero todas las organizaciones son diferentes y no existe un algoritmo de aprendizaje automático predefinido que esté optimizado para cada situación posible.
10. Soporte de proveedores
Esto realmente se reduce a la confianza, pero hay algunos indicadores a tener en cuenta. ¿Qué sucede si su solución EDR se ve comprometida? ¿El proveedor le hará pagar por los servicios de respuesta a incidentes? Existe una clara posibilidad de un conflicto de intereses aquí.
Asegúrese de comprender de antemano qué nivel de soporte está disponible para usted y cuál es el nivel de habilidad de su administrador de cuentas. Si está utilizando un proveedor de servicios administrados, el proveedor a menudo se encuentra en una buena posición para evaluar los niveles relativos de soporte disponibles de diferentes proveedores, incluso si tiene en cuenta los incentivos que puedan estar presentes en su parte de la transacción. Nuevamente, el factor más importante es la confianza entre todas las partes.
