Cómo los hackers superan las defensas de los endpoints
EDR (Endpoint Detection and Response) Evasion, es una técnica ampliamente empleada por los ciberatacantes para eludir algunas de las defensas de endpoint más comunes implementadas por las organizaciones.
Gartner define Endpoint Detection and Response (EDR) como “soluciones que registran y almacenan comportamientos a nivel de sistema de punto final, usan varias técnicas de análisis de datos para detectar comportamientos sospechosos del sistema, brindan información contextual, bloquean actividades maliciosas y brindan sugerencias de remediación para restaurar los sistemas afectados.”
A pesar del potencial de las tecnologías de inteligencia artificial y aprendizaje automático para mejorar las capacidades de EDR, muchas soluciones de EDR todavía se basan en comportamientos basados en reglas para encontrar patrones y correlaciones. Es importante tener en cuenta que la tecnología EDR generalmente no implica el análisis de datos o metadatos de la red, lo que significa que si un actor de amenazas puede evadir el conjunto de reglas de detección, la efectividad de EDR se ve comprometida de inmediato, dejando el punto final vulnerable a un ataque. Además, sin un sistema de alerta efectivo, es posible que el equipo azul no pueda responder lo suficientemente rápido para evitar daños o pérdidas de datos.
Según un estudio reciente de la Universidad de Pireaus e IMSI, de 26 soluciones de detección y respuesta de punto final (EDR) y 5 plataformas de protección de punto final (EPP), algunas de las soluciones más destacadas en el mercado actual, se encontró que el 94% era vulnerable a por lo menos, una técnica común de evasión.