Soluciones Endpoint Detection and Response Open-Source. Estado del arte, propuesta de medición, análisis y evaluación para determinar su implementación y aplicabilidad en ambientes empresariales

Abstract

La tendencia año a año de amenazas cibernéticas que han impactado grandes compañias con perdidas económicas considerables, han permitido la aparición de nuevas soluciones que juegan un papel indispensable a la hora de detectar, mitigar y erradicar incidentes como parte de una estrategia y una postura robusta de defensa cibernética; los Endpoint Detection and Response (EDR). Gartner, una entidad reconocida en asesoramiento de tipo estratégico, menciona que un EDR es una solución de seguridad que registra y almacena el comportamiento de un Endpoint (Como una estación de trabajo o servidores), utilizando diversas técnicas de análisis de datos para detectar comportamientos sospechosos, suministrar información contextual, bloquear actividades maliciosas y proporcionar sugerencias de remediación en sistemas afectados. El trabajo presenta el estado del arte de aquellos sistemas que pueden asimilarse a una solución de tipo EDR de tipo open-source, y la implementación práctica de un espectro de estos (Proof of Concept - PoC), para observar el funcionamiento y capacidades frente a un sistema víctima infectado con malware reciente tipo Emotet. Se propone una escala de medición y una evaluación de las capacidades de estos EDR en relación con las características de un EDR mencionadas por Gartner, con el fin de proporcionar una conclusión del estado de madurez de estas soluciones libres como parte de implementaciones reales en la empresa, proporcionando un marco de trabajo con el cual se puedan medir y evaluar estos sistemas, además de las oportunidades de investigación que pueden surgir a través del desarrollo de esta investigación.

The year-by-year trend of cyberthreats has been impacted large companies with considerable money loss, and this have raised the development of new solutions as part of the game with an indispensable role in detecting, mitigating and eradicating incidents as part of a robust and strategic posture on cyber defense; we're talking about Endpoint Detection and Response (EDR). Gartner, a recognized strategic advisory entity, argues an EDR is a security solution which records and stores the behavior of an Endpoint (such as a workstation or servers), using various data analysis techniques to detect suspicious behavior, provide contextual information, block malicious activities and provide remediation suggestions for affected systems. The work presents the current state of those systems that can be similar to an EDR type solution in the open-source field, and the practical implementation of a spectrum of these ones through a Proof of Concept (PoC), to observe the operation and capabilities against a victim system infected with a recent Emotet malware. A measurement scale and an evaluation of the capabilities of these EDRs are proposed in relation to the characteristics of an EDR mentioned by Gartner, in order to provide a conclusion of the maturity status of these free solutions as part of possible implementations in the company, provides a framework to get these systems measured and evaluated, in addition to the research opportunities that may create through the development of this research.

La tendència any a any d'amenaces cibernètiques que han impactat grans companyies amb perdudes econòmiques considerables, han permès l'aparició de noves solucions que juguen un paper indispensable a l'hora de detectar, mitigar i erradicar incidents com a part d'una estratègia i una postura robusta de defensa cibernètica; els Endpoint Detection and Response (EDR). Gartner, una entitat reconeguda en assessorament de tipus estratègic, esmenta que un EDR és una solució de seguretat que registra i emmagatzema el comportament d'un Endpoint (Com una estació de treball o servidors), utilitzant diverses tècniques d'anàlisis de dades per a detectar comportaments sospitosos, subministrar informació contextual, bloquejar activitats malicioses i proporcionar suggeriments de remediación en sistemes afectats. El treball presenta l'estat de l'art d'aquells sistemes que poden assimilar-se a una solució de tipus EDR de tipus open-source, i la implementació pràctica d'un espectre d'aquests (Proof of Concept - PoC), per a observar el funcionament i capacitats enfront d'un sistema víctima infectat amb malware recent tipus Emotet. Es proposa una escala de mesurament i una avaluació de les capacitats d'aquests EDR en relació amb les característiques d'un EDR esmentades per Gartner, amb la finalitat de proporcionar una conclusió de l'estat de maduresa d'aquestes solucions lliures com a part d'implementacions reals en l'empresa, proporcionant un marc de treball amb el qual es puguin mesurar i avaluar aquests sistemes, a més de les oportunitats de recerca que poden sorgir a través del desenvolupament d'aquesta recerca.