EDR Gestionado: Depende Del Proveedor Adecuado

mayo 7, 2024
G DATA Blog

 

EDR Gestionado: Depende Del Proveedor Adecuado

Muchos responsables de TI de empresas están considerando utilizar una solución EDR gestionada en el futuro y están buscando un proveedor. ¿Qué debes tener en cuenta? ¿Qué caracteriza a un buen proveedor de servicios? G DATA CyberDefense proporciona una aclaración.

Proteger los sistemas de TI contra los ciberataques plantea grandes desafíos para muchas empresas. La ciberseguridad es una tarea 24 horas al día, 7 días a la semana porque los ataques también ocurren por la noche o los fines de semana. Los departamentos de TI a menudo no tienen suficiente tiempo para ocuparse de la seguridad de TI. Además, faltan los conocimientos especializados necesarios y la escasez de trabajadores cualificados agrava aún más el problema. Por lo tanto, muchos administradores de TI eligen conscientemente Managed Endpoint Detección y Respuesta (EDR administrado para abreviar) y tienen que encontrar el adecuado para ellos entre la multitud de proveedores de servicios en el mercado. Tiene sentido prestar atención a algunos criterios.

Criterio 1: Alcance de los servicios

No todos los proveedores entienden lo mismo acerca de Managed EDR, por lo que el alcance del servicio a menudo difiere. Una pregunta importante que es necesario aclarar es: ¿Es una solución EDR de plataforma o una variante administrada? En una variante no gestionada, una empresa debe emplear su propio equipo de analistas con conocimientos especializados específicos que trabajan en turnos las 24 horas del día, los siete días de la semana. No sólo debe poder analizar con precisión la actividad sospechosa en la red, sino que también debe poder tomar contramedidas inmediatas en caso de un ataque confirmado. Con una solución gestionada, el equipo de analistas del proveedor asume estas tareas.

Un punto de conflicto común con las ofertas de EDR administradas es si el servicio también incluye responder a ataques descubiertos, como aislar sistemas potencialmente comprometidos de la red de la empresa. ¿O simplemente se informa de los acontecimientos y las empresas tienen que reaccionar ellas mismas y se las deja en paz? Esta pregunta suele ser crucial porque muchos clientes no pueden actuar por sí solos.Un proveedor debería poder reaccionar ante eventos sospechosos (en caso de emergencia, incluso de forma independiente, previa consulta con el cliente) y, en general, garantizar una cobertura 24 horas al día, 7 días a la semana.

«Los ciberdelincuentes no conocen los fines de semana ni después del trabajo», afirma Thomas Siebert. «Sin una detección y respuesta oportunas a los ataques, existe el riesgo de que los retrasos provoquen mayores daños financieros o económicos».

Criterio 2: Protección de datos

Es de vital importancia dónde se encuentra el proveedor, ya que de ello dependen la protección de datos aplicable y las normas para el manejo de información sensible. Las empresas brindan a un proveedor de EDR información detallada sobre la infraestructura de TI. Con la variante gestionada, el proveedor de servicios también tiene grandes posibilidades de influir en esto. Por tanto, los responsables de TI deberían poder confiar plenamente en el proveedor.

Los proveedores de servicios de Alemania están sujetos a estrictas leyes de protección de datos alemanas y europeas. Además, están obligados a consultar los datos únicamente en caso de sospecha y a comprobar únicamente lo necesario para el análisis. En otros países, estos requisitos no existen y los proveedores generalmente pueden consultar toda la información. La importancia de este aspecto se desprende de un resultado de la encuesta representativa «La ciberseguridad en números» de G DATA CyberDefense, Statista y brand eins: Casi el 60 por ciento de los empleados considera muy importante o importante dónde se encuentra el proveedor de soluciones de seguridad informática. . Ocho de cada diez encuestados prefieren un proveedor de servicios alemán.

También es interesante saber dónde se encuentran los servidores con la información almacenada, porque esto también afecta a la base jurídica de la protección de datos. Por lo tanto, los administradores de TI deben consultar con el proveedor de servicios sobre la ubicación del centro de datos. Si los servidores no están en Europa, es posible que no estén suficientemente protegidos contra el acceso no autorizado y también pueden ser accesibles para los gobiernos.

La comunicación entre el agente instalado en los endpoints y la plataforma EDR también debe estar bien asegurada. Aquí la protección multinivel es absolutamente necesaria. Esto es especialmente importante para el canal de respuesta, ya que ofrece la posibilidad de intervenir en los sistemas informáticos de la empresa. Se recomienda autorizar y registrar adicionalmente el contenido de cada mensaje internamente.

Criterio 3: Apoyo individual

Cada empresa es diferente y por eso el apoyo individual es fundamental. Un proveedor debe tener un servicio de atención al cliente que esté siempre disponible, preferiblemente por teléfono. No todos los proveedores de servicios se comunican por teléfono o sólo lo hacen a un nivel de servicio más caro. De lo contrario, las dudas e inquietudes deben aclararse por correo electrónico, lo que resulta especialmente problemático en casos urgentes porque la respuesta no llega de inmediato. Por lo tanto, es recomendable elegir un proveedor que tenga su propio soporte telefónico y no lo ofrezca a través de otro proveedor de servicios.

“Un aspecto importante es que el soporte se ofrece desde Alemania y en alemán. El soporte de muchos proveedores se ofrece principalmente en inglés desde terceros países. Sin embargo, cuando dos hablantes no nativos se juntan, rápidamente pueden surgir malentendidos lingüísticos y culturales. En caso de un posible ataque, en el que es necesario reaccionar de forma rápida y precisa, esto, por supuesto, puede tener efectos negativos”, afirma Thomas Siebert.

Por lo tanto, el equipo de soporte debería tener su sede en Alemania, idealmente estar ubicado en la sede de la empresa y dedicar suficiente tiempo a cada solicitud del cliente. Además, los analistas no sólo deben trabajar las 24 horas del día, sino que los empleados del servicio también deben estar disponibles las 24 horas, los 7 días de la semana.

La individualidad no se limita al apoyo. También es importante que las empresas puedan configurar la solución EDR individualmente para sus sistemas de TI. En la industria manufacturera, por ejemplo, existen servidores que se encargan del control de la producción. Para ellos es importante tener la posibilidad de determinar si se pueden comprobar o visualizar o si se puede reaccionar para no interrumpir los procesos operativos. Cuanto más granulares sean las opciones de configuración, mejor. No todos los proveedores de EDR gestionados permiten esto.

Criterio 4: Experiencia

Un proveedor de EDR gestionado debe especializarse en seguridad de TI. El proveedor de servicios debe tener muchos años de experiencia. Las empresas invierten en detección y respuesta gestionadas de endpoints porque no pueden proteger sus sistemas y responder a eventos dañinos por sí mismas. Por lo tanto, tiene sentido confiar en un proveedor experimentado que tenga valiosos conocimientos previos. Esto permite analizar y evaluar las incidencias con mayor precisión y dar la respuesta adecuada en base a ello. Si el proveedor de servicios también ofrece respuesta a incidentes, los clientes también se beneficiarán de información sobre las operaciones de emergencia actuales.

La Oficina Federal de Seguridad de la Información (BSI) certifica a los proveedores de servicios de respuesta APT cualificados . Si el proveedor de EDR gestionado tiene esta calificación, es otra señal de un alto nivel de experiencia en seguridad de TI. Otro criterio es la cuestión de si el proveedor de servicios desarrolló él mismo la solución EDR.

Los proveedores deberían haber desarrollado el software completamente ellos mismos, desde el agente EDR hasta el backend de análisis y la consola web. Esto significa que el equipo de analistas sabe exactamente cómo entender los informes y puede reaccionar ante ellos correctamente.

Criterio 5: Opciones de prueba

Un proveedor de servicios EDR administrado debería ofrecer la opción de una versión de prueba. Supervisa un número limitado de dispositivos de la empresa durante un período de tiempo determinado. Los clientes pueden probar Managed EDR en condiciones reales y comprobar si la solución y el proveedor se ajustan a su panorama de TI individual.

Conclusión

Las empresas no deben apresurarse en la decisión a la hora de elegir un proveedor de EDR gestionado. Como ya se mencionó al principio, el mercado de soluciones y proveedores de detección y respuesta de endpoints es grande y difícil de gestionar. Por eso es aún más importante comprobar las ofertas de forma cuidadosa y crítica.

Enlace: https://www.gdata.de/blog/2024/04/37897-managed-edr-auf-den-anbieter-kommt-es-an G DATA Por Kathrin Beckert-Plewka

 

 

Artículos recientes

XZ-Backdoor: Más Que Un simple Ojo Morado

  • mayo 14, 2024

EDR Gestionado: Depende Del Proveedor Adecuado

  • mayo 7, 2024

Proyecto Sharp: Nuevo Ladrón De Información En El Mercado Clandestino

  • abril 30, 2024

Mamont: El Troyano Bancario De Android Se Disfraza De Chrome

  • abril 23, 2024

Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

  • abril 15, 2024

Madre De Todas Las Infracciones: Una llamada De Atención

  • marzo 20, 2024

STOP Ransomware: Manténgase Alejado de las Descargas Ilegales de Software

  • marzo 5, 2024

Técnicas: Uso Actual de Métodos de Detección de Máquinas Virtuales

  • febrero 27, 2024

La Estafa «ESTA», es Decir, Un Permiso De Viaje Falso a EE.UU.

  • febrero 6, 2024

Mis 6 Predicciones De Seguridad Para 2024…

  • enero 29, 2024

Ataques APT: Una Ciberinvasión Silenciosa De Las Instituciones Globales

  • enero 18, 2024

“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

  • enero 15, 2024

“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

  • enero 2, 2024

Nueva Variante del Agente Tesla: Archivo ZPAQ Utilizado Para Difundir Malware

  • diciembre 12, 2023