La detección a tiempo de un ciberincidente es esencial para reducir las pérdidas debidas a un ciberataque. Cuanto más tiempo pasen desapercibidos los ciberdelincuentes en una red corporativa, más datos podrán recopilar y más se acercarán a los activos críticos de la empresa. Reducir el tiempo de exposición permite a las empresas contener un ciberataque antes de que el daño sea importante.
En un estudio encargado por Kaspersky en 2019 y realizado entre los responsables de la toma de decisiones de TI, se preguntó a 2.961 empresas de todo el mundo cuánto tiempo les había llevado descubrir un ciberataque experimentado el año anterior. El análisis detallado de las respuestas ha revelado la importante correlación entre la implementación de una solución EDR y el tiempo de exposición.
Entre las compañías que utilizan soluciones EDR, el 28% confirmó que les llevó pocas horas o incluso menos localizar un ataque. De este grupo, el 14% lo detectó casi inmediatamente, una cifra superior al resultado promedio del 9%. Asimismo, otro 14% descubrió el incidente en pocas horas, en comparación con el 10% del total de los encuestados. Tan sólo el 8% de los usuarios de EDR dijeron que les llevó varios meses identificar que estaban siendo atacados.
«Las soluciones EDR proporcionan un mayor nivel de descubrimiento y visibilidad en la infraestructura de los endpoints y facilitan el análisis efectivo de las causas raíz, la detección de amenazas y la respuesta rápida a los incidentes. Al mismo tiempo, el EDR automatiza las tareas rutinarias que han de realizar los analistas en las actividades de detección y procesamiento de respuestas. Sin embargo, como muestran las estadísticas, para algunos encuestados, el EDR no ayuda a reducir el «tiempo de exposición» de un ataque. La razón puede residir en el hecho de que las alertas sobre actividades sospechosas requieren que los analistas de seguridad investiguen y decidan si una acción supone un peligro. Así pues, en las empresas que no disponen de conocimientos internos para gestionar incidentes complejos, el uso de una solución profesional rica en funciones puede no surtir el efecto deseado«, comenta Yana Shevchenko, Directora Senior de Marketing de Productos de Kaspersky.
Kaspersky ofrece dos soluciones EDR que satisfacen los requisitos de diferentes tipos de clientes. Para las empresas con mayor madurez en seguridad informática, Kaspersky EDR proporciona a los expertos en seguridad informática un descubrimiento avanzado de amenazas, capacidades de investigación en profundidad apoyadas por inteligencia de amenazas y el mapeo del marco de trabajo MITRE ATT&CK, detección de amenazas y una respuesta centralizada a ataques complejos en varias etapas. Por su parte, Kaspersky EDR Optimum proporciona capacidades básicas de EDR a organizaciones con recursos y experiencia en ciberseguridad limitados, incluyendo una mejor visibilidad de los endpoints, análisis simplificado de causa raíz y opciones de respuesta automatizadas.