Componentes principales

Advanced EPDR es un servicio de seguridad que se apoya en el análisis del comportamiento de los procesos ejecutados en los equipos del parque de cada cliente. En este análisis se aplican técnicas de Machine Learning en infraestructuras Big Data alojadas en la nube.

Esquema general Advanced EPDR representa el esquema general de Advanced EPDR y los componentes que lo forman:

Esquema general Advanced EPDR

  • Infraestructura de análisis big data, formada por bases de datos no relacionales, servicios de correlación de eventos monitorizados en tiempo real y un cluster de clasificación de los procesos monitorizados.

  • Servicio Zero-Trust Application Service: clasifica todos los procesos ejecutados en equipos Windows sin ambigüedades ni falsos positivos ni negativos.

  • Servicio Threat Hunting Investigation Service (THIS): investigación transversal incluido en la licencia básica del producto, que detecta amenazas desconocidas y ataques de tipo “Living off the Land”. Estos ataques dirigidos están diseñados para evadir las protecciones instaladas en el equipo.

  • Cytomic SIEMConnect (opcional): integra Advanced EPDR con soluciones SIEM de proveedores externos.

  • Servicio Cytomic Data Watch (opcional): servicio de visibilidad, inventario y supervisión de la información personal que almacenan los ficheros PII.

  • Servicio Evaluación de vulnerabilidades: localización de software con vulnerabilidades e información sobre parches disponibles.

  • Servicio Cytomic Insights (opcional): servicio de informes para generar inteligencia de seguridad avanzada.

  • Servicio Cytomic Patch (opcional): parcheo de sistemas operativos Windows y aplicaciones de terceros.

  • Servicio Cytomic Encryption (opcional): cifra los dispositivos de almacenamiento interno de los equipos Windows para minimizar la exposición de datos en caso de perdida o robo, o al desechar dispositivos de almacenamiento sin borrar completamente su contenido.

  • Consola web: servidor de la consola de administración.

  • Equipos protegidos mediante el software Advanced EPDR instalado.

  • Equipo del administrador de red que accede a la consola Web.

Infraestructura de análisis Big Data

Es el clúster de servidores en la nube que recibe la telemetría generada en los equipos del parque informático del cliente. La telemetría está formada por las acciones ejecutadas por los programas del usuario y monitorizados por el módulo de protección, sus atributos estáticos y la información de contexto de ejecución. Todo ello forma flujo contante de información que se analiza en la nube mediante técnicas de inteligencia artificial para evaluar el comportamiento de dichos programas y emitir una clasificación por cada proceso en ejecución. Esta clasificación se devuelve al módulo de protección del equipo, y se toma como base para ejecutar las acciones configuradas con el objeto de mantenerlo protegido.

Las ventajas de este nuevo modelo de análisis de procesos frente al adoptado por los antivirus tradicionales basados en el envío de muestras al proveedor y análisis manual son:

  • Todos los procesos de los equipos protegidos son monitorizados y analizados: se elimina la incertidumbre de los antivirus tradicionales, capaces únicamente de reconocer el malware sin considerar el resto de aplicaciones.

  • El retraso en la clasificación de los procesos vistos por primera vez (ventana de oportunidad) es mínimo ya que Advanced EPDR envía en tiempo real las acciones que ejecuta cada proceso. Los servidores en la nube trabajan de forma constante con esta información, disminuyendo de manera sustancial el tiempo necesario para emitir una clasificación, y por tanto el tiempo de exposición a las amenazas.

  • La monitorización continúa de cada proceso permite a Advanced EPDR clasificar como malware elementos que inicialmente eran considerados goodware. Este cambio de comportamiento es muy habitual en los ataques dirigidos y otras amenazas avanzadas diseñadas para operar por debajo del radar.

  • El análisis en la nube libera al cliente de instalar y mantener infraestructura de hardware y software junto al pago de licencias y la gestión de garantías del hardware, con lo que el TCO de la solución desciende significativamente.

Servidor Web de la consola de administración

La consola Web es compatible con los navegadores más comunes y es accesible desde cualquier lugar y en cualquier momento con cualquier dispositivo que tenga instalado un navegador compatible.

Para verificar si tu navegador es compatible con el servicio consulta Acceso a la consola web.

La consola Web es “responsive”, de modo que se puede utilizar sin problemas desde móviles y tablets.

Equipos protegidos con Advanced EPDR

Advanced EPDR requiere de la instalación de un componente software en todas las máquinas del parque informático susceptibles de sufrir problemas de seguridad. Este componente está formado por dos módulos: el agente de comunicaciones Cytomic y el módulo de la protección Advanced EPDR.

Advanced EPDR se instala sin problemas en máquinas con otras soluciones de seguridad de la competencia.

El módulo de la protección Advanced EPDR contiene las tecnologías encargadas de proteger los equipos del cliente. Advanced EPDR reúne en un mismo producto todos los recursos necesarios para detectar el malware de nueva generación y ataques dirigidos (APT), al tiempo que incorpora herramientas de gestión de la productividad y de resolución para desinfectar los equipos comprometidos y determinar el alcance de los intentos de intrusión en la red del cliente.