Componentes principales

Advanced EDR es un servicio de seguridad que se apoya en el análisis del comportamiento de los procesos ejecutados en los equipos del parque de cada cliente. En este análisis se aplican técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube.

Esquema general Advanced EDR representa el esquema general de Advanced EDR y los componentes que lo forman:

Esquema general Advanced EDR

  • Infraestructura de análisis big data, formada por bases de datos no relacionales, servicios de correlación de eventos monitorizados en tiempo real y un cluster de clasificación de los procesos monitorizados.

  • Servicio Zero-Trust Application: clasifica todos los procesos ejecutados en equipos Windows sin ambigüedades ni falsos positivos ni negativos.

  • Servicio Threat Hunting Investigation Service (THIS): investigación transversal incluido en la licencia básica del producto, que detecta amenazas desconocidas y ataques de tipo “Living off the Land”. Estos ataques dirigidos están diseñados para evadir las protecciones instaladas en el equipo.

  • Cytomic SIEMConnect (opcional): integra Advanced EDR con soluciones SIEM de proveedores externos.

  • Servicio Evaluación de vulnerabilidades: localización de software con vulnerabilidades e información sobre parches disponibles.

  • Servicio Cytomic Insights (opcional): servicio de informes para generar inteligencia de seguridad avanzada.

  • Servicio Cytomic Patch (opcional): parcheo de sistemas operativos Windows y aplicaciones de terceros.

  • Servicio Cytomic Encryption (opcional): cifra los dispositivos de almacenamiento interno de los equipos Windows para minimizar la exposición de datos en caso de perdida o robo, o al desechar dispositivos de almacenamiento sin borrar completamente su contenido.

  • Consola web: servidor de la consola de administración.

  • Equipos protegidos mediante el software Advanced EDR instalado.

  • Equipo del administrador de red que accede a la consola Web.

Infraestructura de análisis Big Data

Es el clúster de servidores en la nube que recibe la telemetría generada en los equipos del parque informático del cliente. La telemetría está formada por las acciones ejecutadas por los programas del usuario y monitorizados por el módulo de protección, sus atributos estáticos y la información de contexto de ejecución. Todo ello forma flujo contante de información que se analiza en la nube mediante técnicas de inteligencia artificial para evaluar el comportamiento de dichos programas y emitir una clasificación por cada proceso en ejecución. Esta clasificación se devuelve al módulo de protección del equipo, y se toma como base para ejecutar las acciones configuradas con el objeto de mantenerlo protegido.

Las ventajas de este nuevo modelo de análisis de procesos frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son:

  • Todos los procesos de los equipos protegidos son monitorizados y analizados: se elimina la incertidumbre de los antivirus tradicionales, capaces únicamente de reconocer el malware sin considerar el resto de aplicaciones.

  • El retraso en la clasificación de los procesos vistos por primera vez (ventana de oportunidad) es mínimo ya que Advanced EDR envía en tiempo real las acciones que ejecuta cada proceso. Los servidores en la nube trabajan de forma constante con esta información, disminuyendo de manera sustancial el tiempo necesario para emitir una clasificación, y por tanto el tiempo de exposición a las amenazas.

  • La monitorización continúa de cada proceso permite a Advanced EDR clasificar como malware elementos que inicialmente eran considerados goodware. Este cambio de comportamiento es muy habitual en los ataques dirigidos y otras amenazas avanzadas diseñadas para operar por debajo del radar.

  • El consumo de recursos de CPU en el equipo del usuario es mínimo y está estimado en un 2% frente al 5%-15% de las soluciones de seguridad tradicionales, ya que todo el proceso de análisis y clasificación se realiza en la nube. El Agente instalado simplemente recoge la clasificación enviada por el servidor Advanced EDR y ejecuta una acción correctora.

  • El análisis en la nube libera al cliente de instalar y mantener infraestructura de hardware y software junto al pago de licencias y la gestión de garantías del hardware, con lo que el TCO de la solución desciende significativamente.

Servidor Web de la consola de administración

La consola Web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento con cualquier dispositivo que tenga instalado un navegador compatible.

Para verificar si tu navegador es compatible con el servicio consulta Acceso a la consola web.

La consola Web es “responsive”, de modo que se puede utilizar sin problemas desde móviles y tablets.

Equipos protegidos con Advanced EDR

Advanced EDR requiere de la instalación de un componente software en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad. Este componente está formado por dos módulos: el agente de comunicaciones Cytomic y el módulo de la protección Advanced EDR.

Advanced EDR se instala sin problemas en máquinas con otras soluciones de seguridad de la competencia.

El módulo de la protección Advanced EDR contiene las tecnologías encargadas de proteger los equipos del cliente. Advanced EDR reúne en un mismo producto todos los recursos necesarios para detectar el malware de nueva generación y ataques dirigidos (APT), al tiempo que incorpora herramientas de resolución para desinfectar los equipos comprometidos y determinar el alcance de los intentos de intrusión en la red del cliente.