SolarWinds ® Endpoint Detection and Response (EDR), alimentato da SentinelOne, offre molteplici funzionalità per aiutare a migliorare la sicurezza dei tuoi clienti a livello di endpoint e darti un controllo senza precedenti nella lotta contro la criminalità informatica.
Oggi, volevamo mettere in evidenza una caratteristica specifica: ActiveEDR.
ActiveEDR tiene traccia e contestualizza tutto su un dispositivo, aiuta a identificare azioni dannose in tempo reale e consente di automatizzare le risposte richieste. Continua a leggere per scoprire perché la funzione è stata sviluppata e come rappresenta un balzo in avanti nel rilevamento basato su endpoint.
Sfondo
Nella breve storia della sicurezza informatica, abbiamo visto come le tecnologie diventano obsolete abbastanza rapidamente poiché il panorama delle minacce cambia continuamente. Quando le minacce hanno iniziato a emergere negli anni ’90, molte aziende si sono trasferite per installare la protezione antivirus. Questi nuovi prodotti sono stati in grado di combattere una quantità relativamente piccola di virus noti, sebbene non siano stati in grado di combattere nuovi attacchi.
Gli autori di malware si sono adattati rapidamente con trojan e worm che inseguivano il nuovo oro.
A ciò si è aggiunta l’esplosione del Dark Web e la capacità dei cybercriminali di condividere e vendere strumenti e tattiche senza essere rintracciati. Il solo commercio di strumenti ransomware ha creato una microeconomia tra i criminali online. Quando è nata la criptovaluta, ha risolto un enorme problema per questi gruppi dannosi, poiché ora potevano sfruttare individui e aziende traendo potenza di elaborazione dalle loro macchine per generare nuova criptovaluta senza lasciare tracce finanziarie. Il ransomware rimane un problema, soprattutto perché i prezzi delle criptovalute sono diminuiti.
Rendere l’Intelligenza Artificial (AI) accessibile a tutti
Per affrontare queste sfide, le aziende avevano bisogno di soluzioni migliori. Quando la tecnologia AI è diventata disponibile, non ci è voluto molto perché nuovi prodotti innovativi sostituissero gli strumenti legacy basati sul rilevamento delle firme.
Questi nuovi strumenti della piattaforma di protezione degli endpoint (EPP) hanno addestrato un modello di intelligenza artificiale su un gran numero di campioni, quindi hanno utilizzato un agente sull’endpoint per affrontare il malware basato su file. Poiché gran parte del malware basato su file riutilizza il malware esistente, l’AI potrebbe rilevare somiglianze nel comportamento dei file senza bisogno di un agente locale con hash delle firme costantemente aggiornati. In altre parole, potrebbero esaminare il comportamento dei file per integrare la protezione basata sulla firma.
Questi nuovi strumenti hanno fornito un certo sollievo all’azienda, ma i gruppi di malware hanno scoperto rapidamente che i prodotti EPP erano completamente ciechi al malware basato sulla memoria, al movimento laterale e agli attacchi di malware senza file. A peggiorare le cose, sofisticati strumenti di hacking si sono fatti strada verso un pubblico più ampio. Attraverso le fughe di notizie, gli strumenti e le tecniche del malware degli stati nazionali sono diventati disponibili per i criminali informatici. L’impresa aveva bisogno di una nuova soluzione.
Per colmare questa lacuna, è nata una nuova linea di prodotti chiamati strumenti di rilevamento e risposta degli endpoint (EDR). EDR ha risposto all’esigenza dell’azienda di essere in grado di vedere almeno cosa stava succedendo sulla rete aziendale. La visibilità era la soluzione e la sua nuova casa era il cloud.
Ma queste soluzioni EDR hanno creato una nuova serie di problemi. Molte soluzioni EDR, così come sono oggi, forniscono visibilità, ma richiedono personale qualificato che possa prendere la grande quantità di dati generati dalle soluzioni, contestualizzarli e quindi utilizzarli per mitigare le minacce informatiche. La maggiore domanda di cyberanalisti di talento ha creato una massiccia carenza di manodopera nel settore della sicurezza. Allo stesso tempo, le soluzioni basate su cloud soffrono del problema dell’aumento del tempo di permanenza: il ritardo tra l’infezione e il rilevamento. Risolvere questi problemi è dove entra in gioco ActiveEDR.
Con così tante attività in corso su ogni dispositivo, l’invio di tutte queste informazioni al cloud per l’analisi potrebbe offrire visibilità, ma è ancora lontano dal risolvere il problema principale: il flusso di avvisi che devono affrontare i team di sicurezza a corto di personale. E se potessi mettere l’equivalente di un analista SOC esperto su ciascuno dei tuoi dispositivi? Un agente in grado di contestualizzare tutte le attività del dispositivo e identificare e mitigare i tentativi di minaccia in tempo reale?
SolarWinds Endpoint Detection and Response presenta alcune somiglianze con altre soluzioni EDR, ma a differenza di queste, non si basa sulla connettività cloud per rilevare una minaccia.
Questo aiuta efficacemente a ridurre il tempo di sosta per il tempo di esecuzione. L’agente utilizza l’AI per prendere una decisione senza dipendere dalla connettività cloud. La funzione ActiveEDR disegna costantemente storie di ciò che sta accadendo sull’endpoint. Una volta rilevato il danno, è in grado di mitigare non solo i file e le operazioni dannose, ma l’intera “trama”.
Considera questo scenario tipico: un utente apre una scheda in Google Chrome e scarica un file che ritiene sia sicuro. Esegue il file senza rendersi conto che è dannoso. Il programma avvia PowerShell per eliminare i backup locali e quindi crittografa tutti i dati sul disco. ActiveEDR conosce l’intera storia, quindi lo mitigherà in fase di esecuzione, prima che inizi la crittografia. Quando l’attacco viene mitigato, tutti gli elementi di quella storia verranno presi in considerazione, fino alla scheda Chrome che l’utente ha aperto nel browser. Active EDR funziona assegnando a ciascuno degli elementi della storia lo stesso ID, quindi inviando queste storie alla console di gestione, consentendo visibilità e chiarezza agli analisti della sicurezza e agli amministratori IT.
Una nuova esperienza per analisti della sicurezza e tecnici IT
Il lavoro di un analista della sicurezza o di un tecnico MSP che utilizza EDR passivo può essere difficile.
Inondato di avvisi, l’analista deve assemblare i dati in una storia significativa. Con ActiveEDR, questo lavoro di assemblaggio viene invece svolto dall’agente sull’endpoint. La soluzione ha già raccolto le storie in modo che l’analista della sicurezza possa risparmiare tempo e concentrarsi su ciò che conta. Invece di assemblare storie, l’analista può rivedere storie complete e contestualizzate, sulla base di un singolo indicatore di ricerca di compromesso. Ciò consente ai team di sicurezza di comprendere rapidamente la storia e la causa principale di una minaccia. La tecnologia può attribuire autonomamente ogni evento sull’endpoint alla sua causa principale senza fare affidamento sulle risorse cloud.
Conclusione
La maggior parte delle attuali soluzioni antivirus, EPP ed EDR non risolvono il problema della sicurezza informatica per l’azienda. Per compensare, alcuni si affidano a servizi cloud aggiuntivi per colmare il divario. Ma affidarsi al cloud aumenta il tempo di permanenza. A seconda della connettività, potresti essere troppo in ritardo nel gioco per affrontare la minaccia, poiché bastano pochi secondi perché un’attività dannosa infetti un endpoint, danneggi e rimuova le tracce di se stessa. Questa dipendenza dalla connettività al cloud rende passivi molti degli strumenti EDR odierni poiché si affidano a operatori e servizi per rispondere dopo che è già troppo tardi.
SolarWinds EDR trasforma l’EDR in modo che sia attivo, permettendogli di rispondere in tempo reale, trasformando il tempo di permanenza in nessun tempo.
ActiveEDR consente ai team di sicurezza e agli amministratori IT di concentrarsi sugli avvisi che contano, aiutando a ridurre i tempi e i costi necessari per contestualizzare la complessa e schiacciante quantità di dati necessari con altre soluzioni EDR passive.
L’introduzione di ActiveEDR è una tecnologie che aiuta gli esseri umani a diventare più efficienti e a risparmiare tempo e denaro. Come il modo in cui l’auto ha sostituito il cavallo e il veicolo autonomo sostituirà i veicoli come li conosciamo oggi, ActiveEDR sta trasformando il modo in cui le aziende intendono la sicurezza degli endpoint.
Scopri come adottare un approccio più attivo alla sicurezza degli endpoint imparando di più su SolarWinds EDR oggi oppure contattaci: commerciale@n4b.it
FONTE: Solarwinds MSP BLOG
Traduzione: N4B SRL – Distributore Autorizzato Solarwinds MSP