Ransomware, malware, phishing e spear phishing: tutti i pericoli chiari e presenti per le reti dei clienti, le aziende e le informazioni di identificazione personale (PII). E ora, questi attacchi stanno predando la paura, l’incertezza e il dubbio delle persone che circondano l’ascesa di COVID-19.

Come proteggete queste reti di fronte a un ambiente in continua evoluzione? Forse la tua migliore difesa è quella con cui potresti non avere troppa familiarità: Endpoint Detection and Response (EDR). Anton Chauvin di Gartner ha originato il termine, usandolo per descrivere “questa famiglia di nuovi strumenti incentrata sulla visibilità e dalla prevenzione alla rilevazione per l’endpoint”. 

Allora, cos’è EDR? È una soluzione poliedrica che fa tutto ciò che i moderni antivirus gestiti (AV) possono fare, ma fa un ulteriore passo avanti, offrendo maggiore sicurezza e (soprattutto) tranquillità. Questi includono, ma non sono limitati a:

  • Monitoraggio
  • Rilevazione delle minacce
  • Whitelist / blacklist
  • Risposta alle minacce
  • Integrazione con altre soluzioni di sicurezza informatica

Diamo un’occhiata più da vicino a questa nuova arma creata per il tuo arsenale di sicurezza informatica.

Il posto di EDR nell’universo della sicurezza informatica

EDR si concentra sulla protezione degli endpoint. Dato il numero di minacce che si generano quotidianamente, antivirus e altre soluzioni puntuali possono rendere difficile la gestione di un gran numero di endpoint. Quando parliamo di antivirus gestito tradizionale (MAV), è in genere da un punto di vista passivo. MAV è in grado di rilevare e mettere in quarantena solo le minacce note, quelle precedentemente identificate. Qui sta il problema: MAV richiede aggiornamenti regolari della firma. Ciò significa che c’è spesso un divario nella copertura tra quando viene scoperto un virus e quando i tuoi clienti vengono protetti. Inoltre, le minacce che non sono state ancora scoperte possono operare in natura prima ancora che tu possa ottenere un aggiornamento. È un approccio reattivo con intento proattivo. 

Al contrario, EDR è proattivo. Composte da software di monitoraggio e agenti endpoint, le soluzioni EDR utilizzano l’apprendimento automatico integrato e l’intelligenza artificiale avanzata (AI) per identificare comportamenti sospetti e affrontarli indipendentemente dal fatto che esista o meno una firma. Ad esempio, se diversi file cambiano contemporaneamente, è probabile che sia più probabilmente il risultato di un attacco endpoint piuttosto che un errore dell’utente.

L’unica costante è il cambiamento

Pensaci: il mondo è in costante stato di flusso e la tecnologia non è diversa. Il cloud ha cambiato tutto, dall’aumento dell’e-commerce alle soluzioni basate sulle imprese su cui miliardi di persone si affidano quotidianamente. Ma con il progresso arrivano inevitabili blocchi stradali e, per il cloud, dobbiamo concentrarci sull’intenzione, in particolare quelli che cercano di trarne profitto in modi dannosi. I dati sono probabilmente la risorsa più preziosa per i tuoi clienti, quindi come puoi contribuire a salvaguardare quella risorsa?

AI in soccorso

Per il momento, concentriamoci sugli aspetti positivi che si sono verificati con l’ascesa dell’apprendimento automatico. Se consideriamo i vantaggi dell’IA per EDR, il vantaggio principale è la tecnologia avanzata, che consente di riconoscere e gestire le minacce avanzate. È qui che eccelle EDR, ponendo domande come:

  • Questo endpoint ha già svolto questa attività?
  • Questo file o comportamento presenta modelli insoliti?
  • Perché i file protetti vengono esaminati o colpiti?

I virus polimorfici avanzati (quelli che possono generare versioni modificate di se stessi per contrastare il rilevamento) e le minacce zero-day (che prendono di mira e sfruttano una vulnerabilità precedentemente sconosciuta) rientrano nella linea di interrogazione di cui sopra. EDR non solo pone queste domande, ma fornisce anche le risposte di cui abbiamo bisogno per affrontare le minacce, con opzioni per uccidere, mettere in quarantena, rimediare e ripristinare.

Realtà ransomware

Senza dubbio hai sentito parlare di ransomware. Qualcuno apre un allegato o un’email o visita una pagina Web con script dannosi e viene accolto con una notifica che tutti i suoi file sono crittografati. I criminali informatici restituiranno i loro file solo dopo aver pagato una somma principesca in Bitcoin, tranne che non vi è alcuna garanzia che recupereranno i loro dati. Molte società non sono disposte a rischiare di pagare un riscatto a causa della mancanza di una garanzia.

Può succedere a chiunque, e i fatti sono sconcertanti:

  • Le aziende hanno sperimentato in media 16,2 giorni di downtime alla fine del 2019 a causa del ransomware
  • Un’impresa verrà colpita ogni 11 secondi da un attacco di ransomware entro il 2021, secondo alcune previsioni
  • Il costo previsto per i danni causati dal ransomware nel 2021 è di $ 20 miliardi

La soluzione di cui abbiamo bisogno, prima di sapere che ne abbiamo bisogno

Quando un agente endpoint scopre una minaccia, EDR entra in azione tramite il sistema di monitoraggio centrale. Il sistema di monitoraggio centrale analizza e correla le minacce. A seconda di quale soluzione si utilizza EDR, si può anche visivamente ripercorrere la genesi della minaccia e il suo percorso fino al punto finale come SolarWinds ® EDR fa. Mentre il MAV e la crittografia del disco sono modi validi per proteggere i tuoi endpoint, EDR offre funzionalità che aiutano a proteggere le macchine degli utenti in futuro. Questi includono analisi e avvisi di file quasi in tempo reale, analisi forensi dettagliate, protezione offline, la possibilità di disconnettersi dalla rete per impedire un’ulteriore diffusione e la funzionalità killer: rollback dei file infetti.

Come se non fosse mai successo

Il rollback è il luogo in cui un MSP può offrire il massimo valore ai propri clienti. Questa funzione utilizza la tecnologia avanzata per eseguire “istantanee” dell’endpoint a intervalli regolari (impostati a discrezione dell’amministratore). Se il ransomware arriva, bastano pochi clic per ripristinare l’immagine del disco dell’endpoint a un punto nel tempo precedente, risparmiando tempo e denaro significativi all’azienda. Puoi davvero dare un prezzo a quel tipo di tranquillità?

Considerazioni sulla distribuzione 

Prima di distribuire EDR, è necessario considerare le proprie capacità. Questa funzionalità avanzata porta un po ‘più di complessità, quindi le PMI e i professionisti IT dovrebbero considerare le loro risorse prima di implementarle.

Come accennato in precedenza, EDR non è l’unico modo per proteggere un endpoint. Guarda i tuoi dati e il caso d’uso per ciascun dipendente. Sebbene EDR sia perfetto per chi gestisce i dati sensibili delle risorse umane (come buste paga e PII), potrebbe non essere necessario per chi memorizza semplicemente file personali nel cloud o ha un solido client di backup combinato con crittografia del disco e MAV. Una taglia non va bene per tutti.

L’ultima parola

Hai opzioni: non solo per distribuire EDR o attenersi a sistemi più tradizionali, ma tra potenziali fornitori. Dovresti considerare attentamente i punti di forza e di debolezza di ogni angolo.

In definitiva, SolarWinds ® EDR richiede l’esecuzione di un agente su ciascun endpoint. SolarWinds MSP offre opzioni per Windows, Mac e Linux, nonché l’integrazione con la nostra piattaforma di monitoraggio SolarWinds N-central ® esistente, mentre quella con la dashboard di RMM è molto vicina. Non dimenticare, si consiglia un solido approccio a più livelli alla sicurezza della rete, quindi assicurati di eseguire patch e backup regolarmente.

Spero che questa introduzione a EDR ti sia stata utile. Unisciti a me il mese prossimo per un approfondimento delle differenze tra MAV ed EDR.

Michael Tschirret è Senior Product Marketing Manager, EDR, presso SolarWinds MSP

FONTE: Solarwinds MSP Blog –

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP