Un EDR (Endpoint Detection and Response) es una solución de seguridad que se utiliza para proteger los dispositivos finales, como computadoras y servidores, contra amenazas cibernéticas. Esta tecnología permite la detección temprana, la respuesta rápida y la investigación de incidentes de seguridad en los endpoints. El EDR monitorea continuamente el comportamiento de los endpoints, recopilando y analizando datos en tiempo real para identificar actividades sospechosas o maliciosas. Además, ofrece capacidades de respuesta, como la cuarentena de archivos o la detección y eliminación de malware, para mitigar y contener los ataques. En resumen, un EDR es una herramienta esencial para fortalecer la seguridad de los dispositivos finales y responder de manera efectiva a las amenazas en el entorno de la red.
G Data ha procurado que su solución EDR de primera generación resulte muy fácil de usar para los administradores. haciendo que el sistema funcione y decida por sí mismo pero entregando la información necesaria para hacer investigación en caso de necesidad.
En la práctica, esto se puede ver en la consola de la siguiente manera:
En la consola de G DATA y en los eventos de seguridad, haciendo clic en detalles/acciones, se pueden ver de manera detallada todos los eventos relacionados con esta detección realizada por el sistema BEAST:
Relacionado con la imagen anterior, desplazando la línea de scroll hacia abajo, podemos ver todavía más detalles acerca de todos los eventos restantes de la detección:
Los archivos ejecutables tienen cientos de características y propiedades externamente visibles.
En el caso de Deepray se lleva a cabo un análisis en profundidad de la memoria.
Todos los procesos relevantes en la red neuronal reciben un taint o marca.
El resultado sería un análisis en profundidad de dichos procesos en la memoria, por lo tanto se puede llegar a la evaluación del nucleo a través de la memoria, por lo tanto se evalua el nucelo a través del empacador.
La detección dirigida y direccionada evita falsos positivos.
El entrenamiento de la red neuronal es un proceso continuo y adaptable.
En resumen, podemos decir que DeepRay es una combinación de:
- Red neuronal
- Seguimiento/trazabilidad de Taints/Marcas
- Análisis en profundidad de la memoria
- Machine Learning (ML) adaptable
Gracias a estas técnicas:
- Es posible la evaluación del núcleo a través del empaquetado
- Detección de malware sin archivos (Fileless)
- Romper el ciclo de ROI del cibercrimen (El ROI (Return On Investment) o retorno de inversión.