La sicurezza a più livelli è senza dubbio la migliore difesa di fronte alle minacce attuali e future per le reti dei clienti e gli utenti finali. All’interno di quel modello, sentirai due soluzioni discusse frequentemente come soluzioni per proteggere l’utente finale : antivirus gestito ( MAV ) e rilevazione e risposta degli endpoint ( EDR ). Entrambi offrono vantaggi ai gestori di servizi gestiti (MSP), ma poiché le linee tra i due si confondono, è difficile conoscere la differenza tra i due. La domanda più frequente è: “EDR sostituirà il MAV?” Continuate a leggere per saperne di più.

Entrambi, non entrambi

Si discute se è possibile utilizzare MAV ed EDR contemporaneamente, ma competono dal punto di vista delle risorse, quindi non è consigliato. Nel post di oggi, discuteremo i vantaggi di entrambi e quando distribuire ciascuna soluzione per soddisfare le esigenze dei tuoi clienti.

Né è una soluzione unica per tutti. Entrambi affrontano problemi diversi. Quando si decide tra i due, è importante considerare diversi fattori, tra cui il tipo di attività che necessita di protezione, gli utenti finali, i costi, ecc. Poiché alcuni clienti potrebbero aver bisogno di MAV su EDR e viceversa, SolarWinds offre entrambe le soluzioni per aiutarti a fornire il miglior livello di servizio ai tuoi clienti.

MAV: solida protezione ad un ottimo prezzo

Secondo Liberman Technologies , l’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

Tuttavia, MAV richiede aggiornamenti regolari di definizione (firma del virus), e qui sta il problema. La protezione offerta dal programma è valida solo come gli aggiornamenti del fornitore. Nuove minacce sorgono quotidianamente e garantire che gli aggiornamenti vengano espulsi in modo tempestivo è davvero uno scenario di massimo impegno. Spesso, le minacce vengono scoperte dopo che il danno è stato fatto.

Dato questo problema critico, perché scegliere MAV? Bene, ci sono diverse ragioni. Chiaramente, la facilità d’uso è in cima alla lista. L’intervento zero da parte del cliente è una cosa in meno di cui preoccuparsi. È una proposta di buon valore a un prezzo accessibile, come vedremo. Alcuni vantaggi aggiuntivi includono:

  • Un’unica fonte di gestione: il cliente può considerare MSP come unica fonte per l’implementazione, la gestione, gli aggiornamenti delle definizioni e il debriefing sulle minacce. Ciò mette la PSM in una posizione di grande fiducia che può portare a entrate supplementari in altre aree.
  • Sicurezza “bloccata”: la politica del programma MAV consente l’intervento zero dell’utente finale. Non possono forzare un aggiornamento o disinstallare il programma senza le autorizzazioni appropriate.
  • Monitoraggio 24 ore su 24, 7 giorni su 7: consente di impostare la pianificazione della scansione, aggiornare il software e inviare gli aggiornamenti delle definizioni. Ancora una volta, non richiede alcun intervento da parte dei vostri clienti o utenti finali.
  • Soluzione rapida : sei in grado di valutare le minacce in tempo reale.
  • Costo: MAV costa meno rispetto ad EDR. Questo è il secondo più grande punto di forza per MAV dietro l’aspetto di protezione efficace. Ma come segnaleremo, i margini stanno diventando più sottili. E dato l’ambiente di minaccia che affrontiamo oggi, i tuoi clienti potrebbero trovarsi in una posizione in cui non possono permettersi di non pagare per EDR.

EDR: Ora siamo nei grandi campionati 

Passiamo al battitore pesante: EDR. Se ti sei perso il post del mese scorso , ecco un breve riepilogo: EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità.

Questi includono, ma non sono limitati a:

  • Monitoraggio
  • Rilevazione delle minacce
  • Whitelisting / Blacklisting
  • Risposta alle minacce
  • Integrazione con altre soluzioni di sicurezza informatica

Oltre il rilevamento delle minacce e la quarantena

EDR è incentrato sulla protezione degli endpoint . E come MAV, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo. Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consentono ad EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds ® Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Raccontami una storia

Non è sufficiente accettare che una minaccia abbia arrecato danno: vuoi chiederti come e perché siamo arrivati ​​a questo punto. È qui che EDR brilla davvero con l’analisi delle cause alla radice attiva. Solarwinds EDR fornisce un contesto reale tramite una “trama visiva”. Puoi vedere quale processo ha generato l’attacco e come si è replicato e diffuso. Troverai anche le risposte a come viene costruita la minaccia. Ciò guiderà informazioni fruibili per aiutare l’utente finale a comprendere la propria parte nel consentire alla minaccia di passare, se applicabile.

La trama si svolge in tempo reale quando si verifica un attacco, ma con EDR sei tutt’altro che indifeso. Le opzioni di recupero includono l’uccisione, la quarantena e la correzione (rollback) dell’attacco, a seconda di come è stato impostato l’agente per ciascun utente finale. Pensa all’agente EDR come al tuo analista personale SOC (centro operativo di sicurezza). Puoi letteralmente annullare il danno fatto, rendendo inutile il ransomware.

MAV & EDR – Quale scegliere?

Dopo aver visto le differenze tra MAV ed EDR, potrebbe sorprenderti apprendere che c’è spazio per entrambi nel mondo di oggi. SolarWinds ® offre entrambe le soluzioni perché una semplice domanda determina la necessità di entrambi: che tipo di utenti finali servono i fornitori di servizi gestiti (MSP)?

Per il contesto, considera queste persone:

  • Responsabile delle risorse umane: questa persona probabilmente ha informazioni di identificazione personale (PII) sulla propria macchina, che sono riservate. Se un criminale informatico accedesse alle informazioni personali durante una violazione, gli individui e le aziende potrebbero subire danni catastrofici. Ecco perché dobbiamo bloccare gli attacchi in tempo reale, prima che si verifichino. EDR è la scelta ovvia per questo tipo di utente finale. Il rischio e il costo potenziale giustificano la spesa aggiuntiva.
  • Responsabile marketing: questa persona probabilmente ha file importanti, ma probabilmente non ha PII sulla propria macchina. Per questo motivo, una combinazione di MAV, backup e crittografia del disco fornisce una difesa solida e stratificata. Scegli MAV per questo utente finale e usufruisci del costo inferiore poiché la maggior parte degli utenti rientra in questa categoria.
  • C-suite o altro dirigente: questa persona presenta il rischio maggiore quando contempla una violazione perché sia ​​le PII che i dati di grande valore per l’azienda sono probabilmente memorizzati sul proprio computer. Non solo devi proteggere quei dati, ma devi anche essere in grado di recuperarli con una funzione di rollback. Solo EDR può aiutare con entrambi.

Costo: è la linea di fondo?

Naturalmente, per essere obiettivi, dobbiamo affrontare la questione dei costi. L’EDR costa di più per licenza rispetto al MAV tradizionale, ma non in modo proibitivo. Molti clienti si opporranno a spese aggiuntive, ma potrebbero trovarsi in una posizione in cui non possono permettersi di non utilizzare EDR. Se desideri leggere un esempio dei potenziali costi aziendali per un cliente che sceglie di andare senza EDR, dai un’occhiata a un caso di studio recente .

Se il cliente non dispone di alcuna protezione endpoint, consigliamo vivamente di consigliarli per trarre vantaggio dalla proposta di valore EDR. Il cliente non dovrà sostenere costi di upgrade passando da MAV a EDR lungo la linea e la maggiore tranquillità più che giustifica la scelta. E per i tuoi server, trattali allo stesso modo delle risorse di valore elevato che ospitano: EDR è la scelta migliore.

Se incontri resistenza all’EDR in base ai costi, considera di non concentrarti su ciò che il cliente sta perdendo passando a EDR, ma piuttosto su ciò che sta guadagnando: il tempo. Ci vuole meno di un minuto per eseguire il rollback rispetto alle 4-6 ore per reinventare ogni dispositivo, e si ottiene una visione di ciò che è successo. Infine, se si verifica una violazione, esiste una possibilità molto reale di perdere quel cliente.

L’ultima parola

Per rispondere alla nostra domanda originale, data la costante innovazione offerta da EDR, c’è spazio per i bot, ma non stupitevi di vedere presto EDR sostituire MAV. C’è troppo da offrire per non farlo, date le piccole differenze nei costi di licenza per posto.

C’è un ultimo punto da notare: EDR non è un sostituto del backup. Inutile dire che il backup dei dati e la loro memorizzazione fuori sede rimane una buona pratica di cyberhygiene. Ma insieme, sono un pugno uno-due incredibilmente efficace.

Hai opzioni: non solo cosa distribuire, ma anche chi scegli come fornitore. Considera i punti di forza, i limiti e tieni d’occhio il futuro. I costi di oggi potrebbero benissimo essere i risparmi di domani.

Spero che questo confronto sia stato utile. Il prossimo mese approfondiremo la funzione di rollback di EDR. È un punto di svolta, per non dire altro.

Vieni a conoscere i vantaggi della campagna EDR STANDARDIZATION PROGRAM e scopri l’offerta cliccando sul link (clicca qui)

FONTE: Solarwinds MSP BLOG – By Michael Tschirret, responsabile marketing prodotti senior, EDR

Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP