A lo largo del tiempo, el panorama de las herramientas de seguridad informática se ha ido enriqueciendo con siglas, como EDR, EPP, XDR y MDR, que suelen aportar más confusión que claridad entre las personas ajenas al sector. Veamos los matices de esta jerga y las funciones y puntos fuertes particulares de estas soluciones en la actualidad.
EDR frente a EPP
Las plataformas de protección de endpoints (EPP) son la primera línea de defensa de los endpoints contra las amenazas digitales. Se trata de soluciones de seguridad integradas que suelen incluir antivirus de última generación, antimalware, control web, cortafuegos y puertas de enlace de correo electrónico. Están diseñadas para prevenir las amenazas conocidas y las que muestran patrones reconocibles de comportamientos maliciosos. El objetivo de las EPP es detener las amenazas a nivel de los endpoints. Mientras que las EPP se centran en la prevención, la EDR brinda a las organizaciones las herramientas para detectar y responder a las amenazas después del compromiso. Es capaz de identificar, investigar y contener amenazas que hayan eludido la defensa inicial que proporcionan las EPP. Las soluciones de ciberseguridad de EDR son una segunda capa de protección, que ofrece a los analistas de seguridad las herramientas necesarias para buscar amenazas y detectar otros peligros más sutiles. Puede proporcionar valiosa información sobre cómo se produjo una vulneración, facilitar el seguimiento de los movimientos dentro de la red de los responsables de la amenaza y aportar los medios para responder eficazmente ante los incidentes.
La distinción entre EPP y EDR empieza a resultar algo difusa, dado que muchas soluciones de EPP modernas incorporan también capacidades de detección y respuesta en los endpoints, como análisis para la detección de amenazas avanzadas y análisis del comportamiento de los usuarios, con el fin de ofrecer una perspectiva más global de la seguridad de endpoints.
EDR frente a XDR y MDR
Aunque la detección y respuesta en los endpoints (EDR), la detección y respuesta ampliadas (XDR) y la detección y respuesta administradas (MDR) desarrollan labores distintas, estas soluciones de seguridad avanzadas lo que sí son es complementarias. Actúan como capas de defensa adaptadas a la naturaleza cambiante tanto de las infraestructuras de las organizaciones como de la seguridad informática en general.
La XDR amplía la EDR integrando datos relevantes para la seguridad de toda la infraestructura de una organización: no se limita a los endpoints, sino que incluye redes, correo electrónico, aplicaciones, servicios en la nube, etc. La XDR unifica puntos de control de seguridad, telemetría, análisis y operaciones en un solo sistema empresarial. Aprovecha los análisis de seguridad a nivel de toda la organización y relaciona autónomamente los eventos de seguridad para aportar un enfoque más global. La XDR aumenta la eficiencia y la eficacia de los centros de operaciones de seguridad (SOC) gracias a la visión integral del panorama de amenazas, la automatización y la optimización de los procesos de seguridad.
Por otra parte, la MDR es un servicio subcontratado donde profesionales externos administran las operaciones de seguridad informática y ofrecen monitorización y gestión continua de las amenazas mediante tecnologías avanzadas de detección y respuesta. Estos servicios son especialmente valiosos en el caso de organizaciones que precisen mejorar sus capacidades de ciberseguridad o que carezcan de los recursos necesarios para gestionar un SOC completo, dado que, normalmente, proporcionan monitorización, detección de amenazas y apoyo para la reparación a todas horas.
En resumen, las soluciones de EDR se centran en los endpoints, con información detallada y respuestas a las amenazas en este nivel, mientras que los servicios de XDR y de MDR amplían la protección y el apoyo mediante una mayor presencia en la huella digital de una organización y, en el caso de la MDR, a través de la protección como servicio administrado.