Los ciberataques evolucionan con rapidez y son cada vez más dañinos, por lo que los MSP buscan activamente nuevas formas de mejorar su oferta de seguridad más allá de los antivirus (AV) tradicionales. Para muchos, las herramientas de detección y respuesta en endpoints (EDR) representan el siguiente paso natural. Pero, ¿cuántos MSP han adoptado realmente las EDR? ¿Qué aspectos de estas herramientas EDR funcionan -y cuáles no- para los MSP? ¿Y cómo se compara esto con la tracción que están obteniendo las soluciones EDR en el mundo de la TI interna?
Hemos preguntado a 160 MSP, MSSP y profesionales de TI para averiguarlo. Pero antes de ver lo que dijeron, hagamos un rápido repaso.
¿Qué es la EDR?
A un alto nivel, la detección y respuesta en endpoints (EDR) es un software diseñado para ayudar a las organizaciones a identificar, detener y reaccionar ante las amenazas que han eludido sus otras defensas.
Para ser aún más concisos, no impide que entre algo malo. Te avisa cuando está ahí para que puedas responder más rápidamente.
Para una respuesta más detallada, consulta nuestra entrada de blog «¿Qué es EDR? Una definición clara de la palabra de moda en seguridad».
Tipos de herramientas EDR
Las herramientas EDR, que antes se limitaban estrictamente a las grandes organizaciones que podían permitirse contratar analistas de seguridad, han ido bajando de categoría. Los proveedores se han esforzado por hacerlas más accesibles y combinarlas con otras soluciones de seguridad para endpoints con el fin de crear plataformas «todo en uno» más atractivas.
Esta convergencia de soluciones orientadas a la prevención de riesgos (AV y NGAV) y soluciones orientadas a la detección y respuesta a los riesgos (EDR) ha convertido la seguridad de los endpoints en un espacio increíblemente concurrido, competitivo y turbio.
Sin embargo, en general, la mayoría de los proveedores de seguridad para endpoints ofrecen ahora EDR de una de estas tres formas:
Una vez aclarado este contexto, pasemos a analizar los resultados de la encuesta.
Resultados de la encuesta sobre EDR
Preguntas que hicimos:
- Tasa de adopción: ¿Cuántos MSP y profesionales de TI internos utilizan herramientas EDR?
- ¿Cómo se añaden las EDR a las pilas de seguridad existentes?
- ¿Cuántas herramientas de seguridad para endpoints gestionan actualmente los encuestados?
- ¿Por qué invierten los encuestados en herramientas EDR?
- ¿Cuáles son las principales prioridades de seguridad de los encuestados y cómo se relacionan con las EDR?
- ¿Cuánto tiempo dedican los encuestados a gestionar EDR?
- ¿Qué retos se interponen en el camino de la adopción de la EDR?
¿Cuántos MSP y profesionales de TI internos utilizan herramientas EDR?
La mitad de los MSP encuestados indicaron que ya utilizaban EDR. De ellos, un tercio dijo que utilizaba un proveedor de detección y respuesta gestionadas (MDR) para ayudar a gestionarlo. Un 11% adicional de los MSP tiene previsto invertir en EDR en los próximos 12 meses, lo que significa que la adopción de EDR podría alcanzar a casi dos tercios de los MSP en 2020.
¿Cómo se añaden las EDR a las pilas de seguridad existentes?
He aquí una estadística que debería preocupar a los proveedores tradicionales de seguridad para endpoints:
El 55% de los MSP que disponen de EDR han decidido sustituir su solución de seguridad para endpoints por ésta.
Es un indicio de lo enorme que es la competencia en este sector. En una pila de seguridad, a menudo no hay espacio para quedar en segundo lugar.
Pero, ¿qué ocurre con los profesionales de TI internos? Resulta que se dividen más equitativamente entre sustituir por completo, añadir EDR como herramienta complementaria y buscar formas de añadir la funcionalidad EDR a su solución actual. Así que los proveedores de antivirus pueden respirar tranquilos, ¿no? Bueno… no del todo.
Cuando preguntamos a los MSP y a los profesionales de TI internos que aún no han dado el paso cuál sería su escenario ideal, la mayoría dijo que se inclinaba por un enfoque de sustitución total.
Parece que muchos MSP quieren adoptar un enfoque de «lo que sale por lo que entra» para gestionar su pila. Eso nos lleva a nuestra siguiente pregunta…
¿Cuántas herramientas de seguridad para endpoints gestionan actualmente los encuestados?
Tal vez una de las razones por las que los MSP, en particular, dudan en aplicar simplemente una capa de EDR es el hecho de que tres de cada cuatro ya gestionan más de una solución de seguridad para endpoints. Eso… y, ya sabes, los márgenes.
Los profesionales de TI internos no se quedan atrás: casi 6 de cada 10 afirman utilizar más de una solución.
Pocos MSP o profesionales de TI utilizan más de cuatro soluciones, y un porcentaje relativamente pequeño espera que el número total de herramientas que gestionan aumente.
¿Por qué invierten los encuestados en herramientas EDR?
Tanto para los MSP como para los profesionales de TI, la razón principal para invertir en EDR no podría ser más sencilla: les interesa añadir capacidades de detección y respuesta. Pero lo realmente interesante es que, para los MSP, el segundo factor más importante eran las amenazas que eludían sus defensas.
Para el 45% de los MSP que disponen de EDR, uno de los principales motivos para adoptarlo fue que ciertos elementos pasaran a través de su antivirus.
A primera vista, eso también tiene sentido. Cuando sufras unas cuantas infecciones estarás de acuerdo con el argumento de venta del EDR: «la brecha es inevitable». Pero recuerda que la mayoría de los MSP que han invertido en EDR no se limitaron a añadirlo a su pila, sino que eliminaron su protección existente y la sustituyeron por EDR.
Esto plantea otra pregunta: ¿se sienten atraídos los MSP por las herramientas EDR por su funcionalidad principal -investigación y análisis de amenazas, flujos de corrección automatizados, etc.- o porque los proveedores de seguridad están haciendo de la funcionalidad NGAV una parte clave del paquete?
En otras palabras, ¿buscan realmente los MSP nuevas capacidades, o en realidad solo buscan una trampa mejor?
Si nos guiamos por los siguientes gráficos -prioridades y tiempo dedicado a las herramientas EDR-, hay indicios de que a menudo puede ser esto último.
¿Cuáles son las principales prioridades de los encuestados en materia de seguridad?
Es evidente que la adopción de EDR va en aumento, pero por ahora la prioridad sigue siendo prevenir los riesgos (tarea de AV/NGAV), no analizarlos (una de las principales funciones de EDR).
Es interesante observar que, además de ser la prioridad más baja (en términos relativos), el análisis de los compromisos es también la capacidad más práctica y que más recursos consume de esta lista, ya que requiere bastante tiempo y experiencia para llevarse a cabo.
Hablando de tiempo…
¿Cuánto tiempo dedican los encuestados a gestionar la EDR?
En términos muy generales, cuantos más conocimientos de seguridad tenga un usuario de EDR, o cuanto más especializada sea su función, más tiempo dedicará a utilizarla plenamente. Por ejemplo: un tercio de los proveedores de servicios de seguridad móvil dedican entre 5 y 8 horas al día a la gestión de EDR. Ningún MSP o TI interno encuestado afirmó dedicar más de 4 horas. La mitad de los MSP encuestados declararon que dedican menos de una hora al día a su EDR.
Tal vez no sorprenda entonces que solo el 5% de los MSP afirmen contar con una persona dedicada a la gestión de EDR. Quizás un poco más sorprendente: el 30% de los MSP informaron de que no tenían cobertura de gestión de EDR por las noches o los fines de semana.
Un tercio de los TI internos encuestados afirman que cuentan con una persona dedicada exclusivamente a la gestión de EDR. El 27% afirma que no hay cobertura por las noches ni los fines de semana.
¿Qué retos se interponen en el camino de la adopción de las EDR?
No es de extrañar que la falta de presupuesto y de personal encabece la lista de obstáculos en el camino hacia la adopción de la EDR. Estos aspectos pueden ser difíciles de abordar, pero para un tercio de los MSP un obstáculo importante es simplemente lo saturado y confuso que se ha vuelto el mercado de la seguridad de los endpoints.
En eso sí que podemos simpatizar. De hecho, hemos elaborado una guía gratuita para ayudar a aclarar las cosas.
¿Quieres más datos sobre EDR y consejos para evaluar soluciones?
Descarga gratis las 26 páginas de nuestra Guía práctica de EDR para MSP. Responde a todas las preguntas que deberías plantearte sobre EDR, para que cuando tus clientes, tu jefe o tus posibles clientes te pregunten al respecto, tengas respuestas.
