Il termine EDR – Endpoint Detection and Response – è entrato nel vocabolario di sicurezza informatica solo un paio di anni fa e ancora crea confusione tra i clienti che devono scegliere tra le molteplici soluzioni per la sicurezza aziendale.
Ma cos’è, esattamente, una soluzione EDR? Che differenza c’è tra un antivirus legacy e una piattaforma per la protezione dei dispositivi (EPP)?
Come e perché è nata questa nuova soluzione? Le soluzioni EDR hanno davvero risolto i problemi per i quali sono state progettate?
In questo articolo, parleremo del passato, presente e futuro delle soluzioni EDR.
Da Dove Deriva il Termine EDR?
Il termine è stato coniato nel 2013 da Anton Chuvakin all’interno del Gartner Blog Network, e sta ad indicare una nuova tipologia di strumenti e funzionalità che hanno come obiettivo primario il rilevamento di attività sospette sui dispositivi.
Le funzionalità sono differenti rispetto a quelle delle prime soluzioni di sicurezza perché non si concentrano necessariamente sul rilevamento di malware, ma rilevano qualsiasi attività anomala.
Perché Sono State Sviluppate Soluzioni EDR?
Prima dello sviluppo di soluzioni EDR, molte aziende si affidavano a soluzioni antivirus tradizionali per la protezione di dispositivi. Quando Chuvakin ha coniato il termine EDR, si riscontravano già delle vulnerabilità nelle soluzioni tradizionali.
Nel 2014, un dirigente di Symantec ha dichiarato al New York Times che le soluzioni antivirus erano inefficienti al 49%. Infatti, molte aziende avevano già adottato le prime soluzioni EDR, ma per tanti altri è stata una dichiarazione sorprendente; questo perché proveniva dalla società di soluzioni antivirus che deteneva ben il 25% della quota di mercato in quel momento.
Perché le Soluzioni Antivirus non Sono più Sufficienti?
Il problema principale che rende le soluzioni antivirus tradizionali non più sicure è la modalità di rilevamento del malware solo attraverso le firme – tipicamente un hash del file ma, in seguito, attraverso l’identificazione di stringhe di descrizione contenute nel binario secondo metodologie di ricerca come le regole YARA.
Questo approccio stava dimostrando di avere diversi punti deboli. In primo luogo, gli autori di malware hanno iniziato ad eludere il rilevamento basato sulle firme; secondo, i criminali informatici non avevano più il solo obiettivo di impossessarsi di dati aziendali o di compromettere la rete attraverso ransomware.
Si sono evoluti sviluppando attacchi malware fileless e attacchi di phishing per impossessarsi di credenziali degli utenti, oppure sottrarre altri tipi di risorse con attacchi cryptomining.
Le soluzioni antivirus tradizionali semplicemente non hanno le funzionalità adeguate per poter far fronte a queste nuove tipologie di attacchi.
EPP (Endpoint Protection Platform) – Soluzioni AV Legacy Tentano di Evolvere
Dato l’incremento di queste nuove forme di attacco, le soluzioni AV tradizionali hanno iniziato ad offrire ulteriori servizi come: controllo dei firewall, crittografia dei dati, prevenzione della perdita di dati attraverso il blocco dei dispositivi e una suite di altri strumenti relativi alla gestione IT ma non necessariamente incentrati sulla sicurezza stessa.
Indipendentemente da ciò, l’EPP era ancora una soluzione basata su firme e non riusciva a far fronte ai problemi legati alle soluzioni AV legacy.
Il fallimento delle soluzioni tradizionali AV è iniziato con WannaCry, EternalBlue, NotPetya e altri attacchi informatici che hanno causato enormi perdite di dati e ingenti danni.
In seguito, ci sono stati attacchi ad aziende come Target, Equifax e la catena di alberghiera Marriott, nei quali i criminali informatici sono riusciti ad accedere ad una grande quantità di dati personali della popolazione statunitense.
Con l’emergere di minacce come attori nazionali di stato, guerre informatiche e commercio di tecnologie di hacking sul dark web, le aziende hanno realizzato che avevano la necessità di soluzioni più complete che garantissero una visibilità totale.
L’Avvento di Soluzioni EDR – Una Luce nell’Oscurità
Le soluzioni EDR consentono di avere visibilità su tutto ciò che accade in rete. All’inizio, ci sono stati tentativi di sviluppare soluzioni del genere come repository GitHub che offrivano strumenti opensource per la visibilità, alcuni persino multipiattaforma, come OSQUERY di Facebook.
Tuttavia, l’utilizzo di tali soluzioni richiedeva personale qualificato che fosse in grado di codificare, integrare, effettuare devops e sviluppare un processo che consentisse di rilevare eventuali violazioni il prima possibile.
Contemporaneamente, ci sono state innovazioni anche nelle soluzioni antivirus che hanno iniziato a concentrarsi anche su funzionalità di rilevamento di attività insolite con conseguente risposta in modo che un analista della sicurezza potesse indagare.
L’obiettivo primario delle soluzioni EDR è quello di fornire alle aziende completa visibilità su ciò che accade all’interno della rete. Alcuni sostengono che si tratti di una funzionalità molto difficile da ottenere.
La funzionalità che mancava alle soluzioni EDR era una modalità per gestire la complessa quantità di dati proveniente dai dispositivi.
Problematiche di Soluzioni EDR Come le Conosciamo Oggi
Maggiore visibilità significa maggiore quantità di dati e, di conseguenza, maggiore quantità di analisi. Per questo motivo, la maggior parte di soluzioni EDR disponibili oggi non sono scalabili. Richiedono troppe risorse – tempo, denaro, larghezza di banda, personale qualificato – che scarseggiano.
Inoltre, le soluzioni EDR come sono conosciute oggi, sono in cloud e, come tale, comporteranno sempre un ritardo nella protezione dei dispositivi rispetto ad una soluzione on-premises. Un attacco riuscito può compromettere una macchina, estrarre o crittografare dati e rimuovere qualsiasi traccia in poche frazioni di secondo.
Aspettare una risposta dal cloud o dal security analyst non è ammissibile nel panorama delle minacce moderne.
ActiveEDR – Il Futuro
SentinelOne, viste le problematiche appena citate, ha sviluppato ActivEDR, una tecnologia in grado di correlare la storia sul dispositivo stesso.
ActiveEDR è una soluzione che si basa su intelligenza artificiale che garantisce una risposta automatica. Consente ai team di sicurezza di analizzare rapidamente storia e cause alla base di una minaccia. La soluzione può attribuire autonomamente ogni evento alla causa principale senza fare affidamento alle risorse in cloud.
Questo rivoluziona completamente la sicurezza aziendale. Può essere implementata nelle aziende indipendentemente dalle risorse presenti perché fornisce loro la capacità di intervenire automaticamente sulle minacce.
Per scoprire di più sulla nuova soluzione Active EDR di SentinelOne o per richiedere una demo gratuita invia una mail a cio@florence-consulting.it oppure chiama lo (055) 538-3250.
Leggi anche ⏩ Soluzioni AntiVirus: Sono Ancora Utili nel 2019?
In alternativa, puoi compilare il form sottostante con la tua domanda.