La sicurezza a più livelli è senza dubbio la migliore difesa di fronte alle minacce attuali e future per le reti dei clienti e gli utenti finali. All’interno di quel modello, sentirai due soluzioni discusse frequentemente come soluzioni per proteggere l’utente finale : antivirus gestito ( MAV ) e rilevazione e risposta degli endpoint ( EDR ). Entrambi offrono vantaggi ai gestori di servizi gestiti (MSP), ma poiché le linee tra i due si confondono, è difficile conoscere la differenza tra i due. La domanda più frequente è: “EDR sostituirà il MAV?” Continuate a leggere per saperne di più.

Entrambi, non entrambi

Si discute se è possibile utilizzare MAV ed EDR contemporaneamente, ma competono dal punto di vista delle risorse, quindi non è consigliato. Nel post di oggi, discuteremo i vantaggi di entrambi e quando distribuire ciascuna soluzione per soddisfare le esigenze dei tuoi clienti.

Né è una soluzione unica per tutti. Entrambi affrontano problemi diversi. Quando si decide tra i due, è importante considerare diversi fattori, tra cui il tipo di attività che necessita di protezione, gli utenti finali, i costi, ecc. Poiché alcuni clienti potrebbero aver bisogno di MAV su EDR e viceversa, SolarWinds offre entrambe le soluzioni per aiutarti a fornire il miglior livello di servizio ai tuoi clienti.

MAV: solida protezione ad un ottimo prezzo

Secondo Liberman Technologies , l’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

Tuttavia, MAV richiede aggiornamenti regolari di definizione (firma del virus), e qui sta il problema. La protezione offerta dal programma è valida solo come gli aggiornamenti del fornitore. Nuove minacce sorgono quotidianamente e garantire che gli aggiornamenti vengano espulsi in modo tempestivo è davvero uno scenario di massimo impegno. Spesso, le minacce vengono scoperte dopo che il danno è stato fatto.

Dato questo problema critico, perché scegliere MAV? Bene, ci sono diverse ragioni. Chiaramente, la facilità d’uso è in cima alla lista. L’intervento zero da parte del cliente è una cosa in meno di cui preoccuparsi. È una proposta di buon valore a un prezzo accessibile, come vedremo. Alcuni vantaggi aggiuntivi includono:

  • Un’unica fonte di gestione: il cliente può considerare MSP come unica fonte per l’implementazione, la gestione, gli aggiornamenti delle definizioni e il debriefing sulle minacce. Ciò mette la PSM in una posizione di grande fiducia che può portare a entrate supplementari in altre aree.
  • Sicurezza “bloccata”: la politica del programma MAV consente l’intervento zero dell’utente finale. Non possono forzare un aggiornamento o disinstallare il programma senza le autorizzazioni appropriate.
  • Monitoraggio 24 ore su 24, 7 giorni su 7: consente di impostare la pianificazione della scansione, aggiornare il software e inviare gli aggiornamenti delle definizioni. Ancora una volta, non richiede alcun intervento da parte dei vostri clienti o utenti finali.
  • Soluzione rapida : sei in grado di valutare le minacce in tempo reale.
  • Costo: MAV costa meno rispetto ad EDR. Questo è il secondo più grande punto di forza per MAV dietro l’aspetto di protezione efficace. Ma come segnaleremo, i margini stanno diventando più sottili. E dato l’ambiente di minaccia che affrontiamo oggi, i tuoi clienti potrebbero trovarsi in una posizione in cui non possono permettersi di non pagare per EDR.

EDR: Ora siamo nei grandi campionati 

Passiamo al battitore pesante: EDR. Se ti sei perso il post del mese scorso , ecco un breve riepilogo: EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità.

Questi includono, ma non sono limitati a:

  • Monitoraggio
  • Rilevazione delle minacce
  • Whitelisting / Blacklisting
  • Risposta alle minacce
  • Integrazione con altre soluzioni di sicurezza informatica

Oltre il rilevamento delle minacce e la quarantena

EDR è incentrato sulla protezione degli endpoint . E come MAV, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo. Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consentono ad EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds ® Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Raccontami una storia

Non è sufficiente accettare che una minaccia abbia arrecato danno: vuoi chiederti come e perché siamo arrivati ​​a questo punto. È qui che EDR brilla davvero con l’analisi delle cause alla radice attiva. Solarwinds EDR fornisce un contesto reale tramite una “trama visiva”. Puoi vedere quale processo ha generato l’attacco e come si è replicato e diffuso. Troverai anche le risposte a come viene costruita la minaccia. Ciò guiderà informazioni fruibili per aiutare l’utente finale a comprendere la propria parte nel consentire alla minaccia di passare, se applicabile.

La trama si svolge in tempo reale quando si verifica un attacco, ma con EDR sei tutt’altro che indifeso. Le opzioni di recupero includono l’uccisione, la quarantena e la correzione (rollback) dell’attacco, a seconda di come è stato impostato l’agente per ciascun utente finale. Pensa all’agente EDR come al tuo analista personale SOC (centro operativo di sicurezza). Puoi letteralmente annullare il danno fatto, rendendo inutile il ransomware.

Nel mio prossimo blog, affronterò la questione se scegliere MAV o EDR.

 

FONTE: Solarwinds MSP BLOG – By Michael Tschirret, responsabile marketing prodotti senior, EDR

Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP