EDR, o Endpoint Detection and Response, è un moderno sostituto delle suite di sicurezza antivirus. Per decenni, organizzazioni e aziende hanno investito in suite antivirus nella speranza di risolvere le sfide della sicurezza aziendale.
Ma poiché le minacce sono sempre più diffuse e sofisticate, le carenze di quello che oggi viene definito antivirus "legacy" sono diventate fin troppo evidenti.
In risposta, alcuni fornitori hanno ripensato alle sfide della sicurezza aziendale e hanno proposto nuove soluzioni in sostituzione dei tradizionali antivirus. In che modo EDR differisce dall'Antivirus?
Come e perché l'EDR è più efficace dell'AV? E cosa comporta sostituire il tuo AV con un EDR avanzato? Troverai le risposte a tutte queste domande e molto altro in questo post.
Cosa Rende una Soluzione EDR Diversa da un Antivirus?
Per proteggere adeguatamente la tua azienda dalle minacce, è importante comprendere la differenza tra EDR e Antivirus tradizionali o "legacy". Questi due approcci alla sicurezza sono fondamentalmente diversi e solo uno è appropriato per affrontare le minacce moderne.
Caratteristiche dell'Antivirus
Ai tempi in cui il numero di nuove minacce malware al giorno poteva essere comodamente contato in un foglio di calcolo, un Antivirus offriva alle aziende un mezzo per bloccare il malware noto esaminando (o scansionando) i file mentre venivano scritti sul disco di un dispositivo informatico. Se il file era "noto" al database di file dannosi dello scanner AV, il software avrebbe impedito l'esecuzione del file malware.
Il database antivirus tradizionale è costituito da un insieme di firme. Queste firme possono contenere hash di un file malware e/o regole che contengono una serie di caratteristiche.
Tali caratteristiche in genere includono stringhe leggibili o sequenze di byte che si trovano all'interno del malware, tipo di file, dimensione del file e altri tipi di metadati del file.
Alcune soluzioni antivirus possono anche eseguire analisi euristiche primitive sui processi in esecuzione e controllare l'integrità di file di sistema importanti. Questi controlli "a posteriori" o post-infezione sono stati aggiunti a molti prodotti AV dopo che l'ondata di nuovi campioni di malware su base giornaliera ha iniziato a superare la capacità dei fornitori di antivirus di mantenere aggiornati i propri database.
Alla luce delle crescenti minacce e della diminuzione dell'efficacia dell'approccio antivirus, alcuni fornitori legacy hanno cercato di integrare Antivirus con altri servizi come il controllo del firewall, la crittografia dei dati, gli elenchi di autorizzazioni e blocchi dei processi e altri strumenti "suite" AV.
Generalmente note come "EPP" o piattaforme di protezione degli endpoint, tali soluzioni rimangono basate su un approccio esclusivo.
Caratteristiche di EDR
Mentre l'attenzione di tutte le soluzioni AV è sui file (potenzialmente dannosi) che vengono introdotti nel sistema, una soluzione EDR, al contrario, si concentra sulla raccolta di dati dall'endpoint e sull'esame degli stessi alla ricerca di modelli dannosi o anomali in tempo reale.
Come suggerisce il nome, una soluzione EDR rileva un'infezione e avvia una risposta. Più velocemente un EDR può farlo senza l'intervento umano, più efficace sarà.
Una buona soluzione EDR include anche funzionalità per bloccare i file dannosi, ma è importante sottolineare che gli EDR riconoscono anche che gli attacchi moderni non sono basati su file.
Inoltre, gli EDR proattivi offrono ai team di sicurezza funzionalità critiche non presenti nell'antivirus, tra cui risposta automatizzata e visibilità approfondita sulle modifiche ai file, sulla creazione di processi e connessioni di rete che si sono verificate sull'endpoint: vitali per il threat hunting, la risposta agli incidenti e l'analisi forense digitale.
Le Insidie dell'Antivirus
Ci sono molte ragioni per cui le soluzioni antivirus non possono tenere il passo con le minacce che le aziende devono affrontare oggi. Innanzitutto, come indicato in precedenza, il numero di nuovi campioni di malware rilevati su base giornaliera è maggiore del numero con cui qualsiasi team umano di autori di firme può tenere il passo.
In secondo luogo, il rilevamento tramite le firme antivirus può spesso essere facilmente aggirato dai criminali informatici anche senza riscrivere il loro malware.
Poiché le firme si concentrano solo su alcune caratteristiche dei file, gli autori di malware hanno imparato a creare malware con caratteristiche mutevoli, noto anche come malware polimorfico.
Gli hash dei file, ad esempio, sono tra le caratteristiche di un file più facili da modificare, ma le stringhe interne possono anche essere randomizzate, offuscate e crittografate in modo diverso con ogni build del malware.
In terzo luogo, hacker motivati finanziariamente come gli operatori di ransomware sono andati oltre i semplici attacchi di malware basati su file.
Gli attacchi in-memory o fileless sono diventati comuni e gli attacchi ransomware operati dall'uomo come Hive, insieme ad attacchi di "doppia estorsione" come Maze, Ryuk e altri, possono iniziare con credenziali compromesse o forzate o sfruttamento di RCE (esecuzione di codice remoto), possono portare a una compromissione e alla perdita della proprietà intellettuale attraverso la perdita di dati senza mai attivare un rilevamento basato sulla firma dell'antivirus.
Benefici dell’EDR
Con la sua attenzione nel fornire visibilità ai team di sicurezza aziendale, insieme alle risposte di rilevamento automatizzato, EDR è molto meglio attrezzato per far fronte alle tecniche e alle sfide che la sicurezza informatica presenta.
Concentrandosi sul rilevamento di attività insolite e fornendo una risposta, EDR non si limita a rilevare solo minacce note basate su file. Al contrario, il valore principale della proposta EDR è che la minaccia non ha bisogno di essere definita con precisione come avviene per le soluzioni antivirus.
Una soluzione EDR può cercare modelli di attività imprevisti, insoliti e indesiderati e inviare un alert affinché un analista della sicurezza possa indagare.
Inoltre, poiché le soluzioni EDR raccolgono una vasta gamma di dati da tutti gli endpoint protetti, offrono ai team di sicurezza l'opportunità di visualizzare tali dati in un'unica comoda interfaccia centralizzata.
I team IT possono prendere quei dati e integrarli con altri strumenti per un'analisi più approfondita, contribuendo a informare lo stato di sicurezza generale dell'organizzazione mentre si muove per definire la natura di potenziali attacchi futuri. I dati completi di una soluzione EDR possono anche consentire la ricerca e l'analisi retrospettiva delle minacce.
Forse uno dei maggiori vantaggi di una soluzione EDR avanzata è la capacità di prendere questi dati, contestualizzarli sul dispositivo e mitigare la minaccia senza l'intervento umano. Tuttavia, non tutte le soluzioni EDR sono in grado di farlo, poiché molti si affidano alla trasmissione di dati EDR al cloud per l'analisi remota (e, quindi, ritardata).
Complementarità tra EDR e Soluzioni AntiVirus
Nonostante le limitazioni quando implementati da soli o come parte di una soluzione EPP, i motori antivirus possono essere complementi utili alle soluzioni EDR e la maggior parte delle EDR conterrà alcuni elementi di firma e blocco basato su hash come parte di una strategia di "difesa in profondità".
Incorporando i motori antivirus in una soluzione EDR più efficace, i team di sicurezza aziendale possono sfruttare i vantaggi del semplice blocco del malware noto e combinarlo con le funzionalità avanzate delle soluzioni EDR.
Active EDR: Evitare Troppi Alert di Sicurezza
Come abbiamo notato in precedenza, le soluzioni EDR offrono ai team IT e di sicurezza aziendale una visibilità approfondita su tutti gli endpoint presenti sulla rete e questo a sua volta porta ad una serie di vantaggi.
Tuttavia, nonostante questi vantaggi, molte soluzioni EDR non riescono ad avere l'impatto sperato dai team di sicurezza aziendale perché richiedono una grande quantità di risorse umane da gestire: risorse che spesso non sono disponibili a causa di personale o restrizioni di budget o non ottenibili a causa carenza di competenze in ambito sicurezza informatica.
Invece di avere maggiore sicurezza e meno lavoro per i propri team IT e di sicurezza, molte organizzazioni che hanno investito in soluzioni EDR si sono semplicemente trovate a riallocare le risorse da un'attività di sicurezza a un'altra: dalla valutazione dei dispositivi infetti alla valutazione di una montagna di alert EDR.
Eppure non è necessario che sia così. Forse il potenziale più prezioso dell'EDR è la sua capacità di mitigare autonomamente le minacce senza la necessità dell'intervento umano.
Sfruttando la potenza dell'apprendimento automatico e dell'intelligenza artificiale, Active EDR alleggerisce il team SOC ed è in grado di mitigare autonomamente gli eventi sull'endpoint senza fare affidamento sulle risorse cloud.
Cosa Significa Active EDR per il tuo Team?
Considera il seguente scenario tipico: un utente apre una scheda in Google Chrome, scarica un file che ritiene sicuro e lo esegue. Il programma sfrutta PowerShell per eliminare i backup locali e quindi inizia a crittografare tutti i dati sul disco.
Il lavoro di un analista della sicurezza che utilizza soluzioni EDR passive può essere difficile. Sommerso di alert, l'analista deve assemblare i dati per ottenere informazioni adeguate.
Con Active EDR, questo lavoro viene invece svolto dall'agente sull'endpoint. Active EDR conosce tutte le informazioni, quindi ridurrà questa minaccia in fase di esecuzione, prima che inizi la crittografia.
Quando la situazione viene mitigata, sono presi in considerazione tutti gli elementi, fino alla scheda Chrome che l'utente ha aperto nel browser. A ciascuno degli elementi della storia viene assegnato lo stesso ID trama.
Queste storie sono quindi inviate alla console di gestione, consentendo visibilità e una facile ricerca delle minacce per gli analisti della sicurezza e gli amministratori IT.
Aggiorna la Tua Sicurezza con EDR
Una volta visti i chiari vantaggi di un sistema EDR rispetto all'Antivirus, qual è il prossimo passo? La scelta della giusta soluzione EDR richiede la comprensione delle esigenze della propria organizzazione e delle capacità del prodotto offerto.
In che modo questo prodotto sarà utilizzato dal tuo team nelle operazioni quotidiane? Quanto è facile imparare? Sarà in grado di proteggere la tua azienda quando i servizi cloud su cui si basa sono offline o irraggiungibili?
È importante considerare anche la distribuzione e l'implementazione. Puoi automatizzare la distribuzione? E la compatibilità della piattaforma? Il fornitore che hai scelto dà uguale importanza a Windows, Linux e macOS? Ogni endpoint deve essere protetto per non rischiare di avere backdoor all’interno della rete.
Quindi, pensa all'integrazione. La maggior parte delle organizzazioni dispone di uno stack software complesso. Il tuo fornitore offre un'integrazione potente ma semplice per altri servizi su cui fai affidamento?
Oltre l'EDR | XDR per la Massima Visibilità e Integrazione
Mentre Active EDR è il prossimo passo per le organizzazioni che devono ancora superare l'Antivirus, le aziende che necessitano della massima visibilità e integrazione dovrebbero pensare a Extended Detection and Response, o XDR.
XDR porta l'EDR al livello successivo integrando tutti i controlli di visibilità e sicurezza in una visione olistica completa di ciò che accade nel tuo ambiente. Con un unico pool di dati grezzi che comprende informazioni provenienti dall'intero ecosistema, XDR consente un rilevamento e una risposta alle minacce più rapidi, approfonditi ed efficaci rispetto a EDR, raccogliendo e confrontando dati da una gamma più ampia di fonti.
In Conclusione
I criminali informatici sono da tempo andati oltre l'Antivirus e l'EPP e le organizzazioni devono considerare che tali prodotti non possono competere con le minacce attive di oggi.
Anche uno sguardo superficiale alle testate giornalistiche mostra come le organizzazioni grandi e impreparate siano colte da attacchi moderni come il ransomware, anche se hanno investito nei controlli di sicurezza.
Se desideri saperne di più su come SentinelOne può fornire una protezione avanzata per la tua organizzazione inviaci una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Se invece hai una domanda o un dubbio, puoi scrivere direttamente nel form sottostante.
