La evolución de las infecciones ha hecho que los antivirus basados en firmas ya no sean suficientes para parar la mayoría de los ataques. Los EDR se han convertido en el instrumento de detección y protección más efectivo.
El tradicional antivirus
El antivirus es un software que revisa de forma regular los sistemas operativos y los archivos de los dispositivos, buscando algún malware para eliminarlo.
Este programa emplea la técnica de coincidencia de firmas, que consiste en comparar procesos y archivos sospechosos con archivos malignos conocidos. Si alguno coincide, lo etiqueta y elimina.
El antivirus no evita que el virus ingrese al dispositivo, este actúa cuando el malware ya se encuentra en el aparato, y sólo si lo reconoce.
EDR: una nueva alternativa
EDR realiza un análisis de comportamientos sospechosos. Para lograrlo recopila información de lo que está haciendo el ordenador, de lo que hacen otros equipos de la red, de las conexiones que está efectuando a sitios maliciosos…. Con esta data se obtiene una mejor visión del origen, la expansión y la naturaleza del ataque.
Esto permite que el EDR sea mucho más proactivo y preventivo en tiempo real. Asimismo, facilita la detección de las amenazas cuando éstas ingresan al sistema, para detenerlas y evitar el daño.
¿Por qué optar por EDR en lugar de un antivirus?
Las principales razones para optar por EDR son las siguientes:
- Se basa en el análisis del comportamiento por lo que protege mejor de amenazas desconocidas.
- Recolecta y analiza los datos en tiempo real, lo que permite tener una visión más completa del estado de los sistemas
- Cuenta con capacidades forenses de alto nivel, si se compara con los antivirus.
- Es capaz de responder ante ataques parando procesos, desconectando el sistema de la red o llevándolo a una versión anterior antes del ataque.
Una solución EDR gestionada ofrece un enfoque preventivo y proactivo. En Libertia IT consideramos que es un requisito mínimo para organizaciones preocupadas por la seguridad de sus datos.
