Abbiamo già anticipato l’innovativa soluzione Active EDR di SentinelOne nell'articolo:
In questo articolo approfondiremo la tematica cercando di capire come mai questa soluzione è cosi importante per le aziende.
Active EDR è in grado di identificare azioni malevole in tempo reale, automatizzando le risposte e consentendo un facile rilevamento delle minacce eseguendo la ricerca su un singolo IOC (Indicators of Compromise).
Background
Nella breve storia della sicurezza informatica, abbiamo visto come le tecnologie diventano obsolete abbastanza rapidamente in conseguenza al fatto che il panorama delle minacce cambia continuamente.
Quando iniziarono ad emergere le prime minacce negli anni ’90, molte aziende iniziarono a implementare soluzioni antivirus. Questi prodotti sono stati in grado di combattere una quantità relativamente esigua di virus noti, ma non erano in grado di far fronte a minacce sconosciute.
Abbiamo visto anche l’esplosione del Dark Web in cui i criminali informatici possono condividere e vendere strumenti senza essere rintracciati.
Il solo commercio di strumenti ransomware ha creato una microeconomia di criminali online. Con la nascita della criptovaluta si è risolto un grosso problema per i criminali informatici, in quanto finalmente potevano attaccare individui e/o organizzazioni senza lasciare tracce finanziarie.
Rendere l’Intelligenza Artificiale Accessibile a Tutti
Per far fronte a questi attacchi sempre più sofisticati le aziende necessitavano di soluzioni più efficaci. Quando la tecnologia AI è apparsa sul mercato, non ci è voluto molto perché i nuovi prodotti sostituissero gli strumenti legacy basati sul rilevamento delle firme.
Le nuove soluzioni EPP (Endpoint Protection Platform) hanno sviluppato un modello su un grande numero di campioni, quindi hanno sfruttato un agente sul dispositivo per far fronte al malware basato su file.
Poiché il malware basato su file non è altro che il riutilizzo di un malware esistente, le tecniche di intelligenza artificiale erano utilizzate per rilevare tali somiglianze senza la necessità di fornire un agente locale con aggiornamenti costanti.
Questa tipologia di soluzione ha fatto tirare un sospiro di sollievo alle aziende, anche se per poco tempo; infatti, i criminali informatici hanno scoperto rapidamente che le soluzioni EPP non rilevavano malware memory-based e attacchi malware fileless.
A peggiorare ulteriormente la situazione, strumenti di hacking sempre più sofisticati si sono fatti strada tra un pubblico sempre più ampio. Le aziende necessitavano di una soluzione con funzionalità più avanzate.
Per questi motivi, sono state sviluppate le soluzioni EDR (Endpoint Detection and Response), che consentono alle aziende una piena visibilità di ciò che accade sulla rete aziendale.
Ma, anche le soluzioni EDR hanno delle problematiche; infatti, richiedono personale qualificato in grado di raccogliere ingenti quantità di dati, contestualizzarli e utilizzarli per mitigare le minacce informatiche. Una maggiore richiesta di personale qualificato in ambito security analysis ha creato un’enorme carenza di risorse nel settore della sicurezza aziendale.
Un altro problema riguarda le soluzioni basate su cloud; in particolare, facciamo riferimento al lasso di tempo che intercorre tra infezione del dispositivo e rilevamento.
Active EDR è la soluzione che fa fronte a tutte queste problematiche.
Cos’è Active EDR?
Con la grande quantità di attività che avvengono sui dispositivi, l’invio di informazioni al cloud offre visibilità, ma è ancora lontano dal risolvere il problema principale: l’enorme quantità di alert che riceve il team di sicurezza, difficile da gestire soprattutto se in carenza di personale.
E se fosse sufficiente l’equivalente di un’analista SOC qualificato su ciascuno dei tuoi dispositivi? E un solo agente che può contestualizzare le attività del dispositivo e identificare e mitigare i tentativi di minacce in tempo reale?
Active EDR ha delle somiglianze con le altre soluzioni EDR, ma la differenza sostanziale sta nel fatto che non è basata su cloud per quanto riguarda il rilevamento. Questo comporta un vantaggio fondamentale: l’eliminazione del lasso di tempo tra infezione e rilevamento.
L’agente sfrutta tecniche di intelligenza artificiale per rispondere senza dipendere dal cloud.
Facciamo un esempio per capire meglio come agisce Active EDR.
Consideriamo il seguente scenario: un utente apre Google Chrome e scarica un file che crede essere sicuro. A quel punto, lo esegue. Il file in realtà è dannoso, avvia PowerShell per eliminare i backup locali e avvia la crittografia di tutti i dati sul disco.
Active EDR conosce l’iter di svolgimento e agisce in fase di esecuzione, prima che inizi la crittografia dei dati. Quando la situazione è mitigata, analizza tutti gli step compiuti dall'utente fino all'apertura iniziale di Google Chrome.
La soluzione assegna a ciascuno degli elementi della storia lo stesso ID TrueContext. I risultati sono inviati alla console di gestione, in modo da garantire una visibilità completa e una facile ricerca di minacce per gli analisti della sicurezza e gli IT administrator.
Una Nuova Esperienza per gli Analisti della Sicurezza
Il lavoro di un’analista della sicurezza che utilizza soluzioni EDR passive può essere molto complicato.
Una volta ricevuti diversi alert, l’analista deve aggregare i dati e unificarli in una storia che abbia un significato. Con Active EDR, questo lavoro viene eseguito sull'agente presente sul dispositivo.
In questo modo, l’analista può analizzare la situazione completa e contestualizzata, basata su una singola ricerca IOC. Ciò consente ai team di sicurezza di analizzare rapidamente ciò che è successo e le cause alla base della minaccia.
Conclusione
Antivirus, soluzioni EPP ed EDR come le conosciamo non sono in grado di far fronte a tutti i problemi legati alla sicurezza di rete e dispositivi aziendali. Per compensare, alcuni si affidano a servizi aggiuntivi per colmare il divario. Ma fare affidamento sul cloud aumenta l’intervallo di tempo di risposta.
E questo può essere fatale, in quanto occorrono solo pochi secondi per infettare dispositivi, compromettere il sistema e rimuovere qualsiasi traccia. Ciò che rende gli strumenti EDR di oggi passivi è proprio questo, poiché si basano su operatori e servizi per rispondere quando ormai potrebbe essere già troppo tardi.
La tecnologia TrueContext trasforma la soluzione EDR in attiva, rispondendo in tempo reale ed eliminando il pericoloso intervallo di tempo.
La soluzione Active EDR consente al team di sicurezza e agli amministratori IT di concentrarsi sugli avvisi più importanti, riducendo tempi e costi.
L’introduzione di una soluzione così innovativa è simile ad altre tecnologie che hanno consentito all'uomo di essere più efficiente nello svolgimento di determinate attività, risparmiando tempo e denaro.
Come l’auto ha sostituito il cavallo come mezzo di trasporto, così la soluzione EDR trasformerà la modalità in cui le aziende proteggono i propri dispositivi.
Per avere maggiori informazioni su SentinelOne invia una mail a cio@florence-consulting.it oppure chiama lo (055) 538-3250.
Visita la pagina del nostro sito dedicata a SentinelOne per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
Leggi anche ⏩ Soluzioni AntiVirus: Sono Ancora Utili nel 2019?
In alternativa, compila il form sottostante con la tua domanda.
