Per le aziende, la cybersecurity è una delle maggiori aree d’interesse e di preoccupazione. Ogni giorno nascono nuovi malware che mettono a repentaglio la loro sicurezza chiamandole ad adottare strategie sempre più avanzate a protezione delle proprie infrastrutture e dei propri dati. Il rilevamento e la risposta a tali minacce sono attività strategiche da prevedere.
Cos’e’ un EDR?
EDR (acronimo di Endpoint Detection and Response) è una tecnologia che consente di analizzare il comportamento di: processi, file eseguibili ed azioni degli utenti. La logica di detection basata su firme note ed analisi euristica (dinamica o statica) utilizzata dagli antimalware tradizionali viene affiancata da una logica basata sul comportamento che permette di determinare le anomalie correlando varie informazioni e fornendo i diversi contesti. La conseguenza è un’attività di risposta automatica e veloce.
Come funziona?
I prodotti EDR analizzano il comportamento e le informazioni relative a:
- attività dei processi
- file aperti
- connessioni di rete
- azioni potenzialmente sospette
- attività dell’utente
L’obiettivo è identificare e tenere monitorate eventuali anomalie o condotte che trovino corrispondenza all’interno della classificazione delle tecniche ATT&CK categorizzate dal MITRE (se vuoi saperne di più clicca qui).
Vantaggi dell’EDR
Riduzione del rischio
Velocità di risposta
Reportistisca migliorata
Caratteristiche EDR:
PROATTIVITA’: come ogni antimalware, identifica i rischi già noti ma, in più, riconosce le attività inconsuete che potrebbero derivare da nuove minacce o attacchi sconosciuti.
RISPOSTE AUTOMATIZZATE: è possibile impostare, secondo le esigenze aziendali e secondo la gravità dell’attacco, una risposta automatica (ad esempio, l’isolamento della macchina compromessa dalla rete consentendo l’analisi forense in completa sicurezza).
ANALISI FORENSE: svolta al termine dell’eventuale incidente migliora la gestione degli scenari post-violazione raccogliendo dati ed informazioni indietro nel tempo in modo da stabilire da dove abbia avuto origine l’attacco e come questo si sia propagato.
Ho già un antivirus perché dovrei cambiarlo?
Rispetto ad un antimalware tradizionale che protegge le macchine basandosi su un database di firme di minacce note, l’EDR è in grado di aggregare i dati raccolti con delle analisi comportamentali al fine di mitigare le minacce e gli attacchi non ancora noti (malware sconosciuti, exploit, emerging threat, ransomware, minacce persistenti avanzate (APT), ecc…).
Questo si traduce in un risparmio sia economico (nessun fermo macchina) che di tempo.
Cosa fa la differenza?
La tecnologia in sé non è sufficiente, sono le persone che la gestiscono a fare la differenza attraverso l’insieme delle conoscenze e competenze.
In caso di incidente informatico, avere il supporto di una struttura in grado di governare tutto il processo (dall’identificazione della minaccia al rispristino completo dei sistemi) è un plus strategico.
In Mead abbiamo 4 Operation Center (System O.C., Network O.C., Security O.C. e Voice O.C.) specifici ed abilitanti per la remediation; in caso incidente vengono attivati i reparti operativi verticali di supporto, che collaborano sinergicamente, in modo da offrire un servizio completo e tempestivo sull’intera infrastruttura.