Il termine ” EDR”  (Endpoint Detection and Response) è entrato nel vocabolario della sicurezza informatica solo pochi anni fa e continua a creare confusione tra gli MSP che entrano nel campo affollato delle soluzioni di sicurezza aziendale. Cos’è esattamente EDR? In che cosa differisce dall’antivirus legacy (AV) e dalle piattaforme di protezione endpoint (EPP)? EDR ha davvero risolto i problemi per i quali è stato progettato? In questo post, spieghiamo il passato, il presente e il futuro di EDR.

Da dove viene il termine “EDR”?

Il termine EDR è stato coniato da  Anton Chuvakin  della Gartner Blog Network nel 2013 come mezzo per classificare un nuovo gruppo di strumenti o capacità incentrato sul rilevamento di attività sospette sugli endpoint. Questi strumenti erano diversi dalle precedenti soluzioni di sicurezza in quanto non si concentravano necessariamente sull’identificazione di malware specifici. Invece, hanno cercato attività anomale. Le soluzioni EDR erano uniche: anziché semplicemente identificare e mettere in quarantena un file sospettato di malware, sono state progettate per fornire avvisi su termini di sicurezza che potrebbero innescare ulteriori indagini.

Perché sono state create le soluzioni EDR?

Prima dell’avvento delle soluzioni EDR, la maggior parte delle aziende faceva affidamento sulla protezione AV tradizionale. Tuttavia, il problema delle soluzioni AV è che non sono sempre state efficaci nel combattere la vasta gamma di minacce che potrebbero verificarsi a livello di endpoint. Le soluzioni AV legacy precedenti erano basate sul rilevamento di file malware attraverso le firme, in genere un hash del file, ma in seguito attraverso l’identificazione di stringhe rivelatrici contenute nel binario attraverso metodologie di ricerca come le regole YARA.

Questo approccio ha dimostrato di avere  diversi punti deboli . In primo luogo, gli autori di malware hanno iniziato a eludere il rilevamento basato sulla firma semplicemente riempiendo i file con byte aggiuntivi per modificare l’hash del malware o utilizzando diversi modi per crittografare stringhe che la scansione binaria non è in grado di leggere facilmente. In secondo luogo, gli avversari intenzionati a rubare i dati dell’azienda o la proprietà intellettuale hanno iniziato a utilizzare altri mezzi, oltre a rilevare file dannosi, per raggiungere i propri obiettivi. Le tattiche degli hackers si sono evolute per includere attacchi “senza file” in memoria, sfruttando applicazioni e processi integrati (chiamati “vivere fuori terra”) e compromettendo le reti di phishing degli utenti per ottenere credenziali o rubare risorse con cryptomining. Le soluzioni AV legacy semplicemente non avevano le risorse per affrontare la nuova ondata di tattiche, tecniche e procedure.

Legacy AV tenta di evolversi con End Point Protection (EPP)

Data questa minaccia alla loro esistenza, le soluzioni AV legacy hanno iniziato a offrire ulteriori servizi come il controllo del firewall, la crittografia dei dati, la prevenzione della perdita di dati attraverso il blocco dei dispositivi e una suite di altri strumenti interessanti per la gestione IT in generale, ma non necessariamente incentrati sulla sicurezza stessa. Queste soluzioni AV avanzate ricadono sotto l’ombrello della piattaforma di protezione endpoint (EPP). Indipendentemente da ciò, il PPE era ancora fondamentalmente basato sulla firma e non risolveva veramente i problemi inerenti all’AV legacy.

Questo non vuol dire che le soluzioni antivirus non abbiano un posto. Per molte aziende che affrontano livelli di rischio più bassi o per i clienti MSP attenti al budget, le soluzioni AV sono ancora meglio di niente. E possono prevenire diverse minacce quando si lavora in concerto con altri livelli di sicurezza. Tuttavia, il solo numero di violazioni su vasta scala mostra che le aziende stanno davvero facendo un upgrade a una soluzione più versatile come EDR.

Inserisci EDR: scruta nel buio

Oltre ad essere basati sulla firma, ciò che distingue principalmente EPP e AV legacy dall’EDR più moderno è che si basano sulla prevenzione. Al contrario, EDR consiste nel fornire visibilità su ciò che sta accadendo sull’endpoint e sulla rete.

Ci sono stati precedenti tentativi “fatti in casa” per farlo prima che i venditori di sicurezza si avvicinassero al piatto. Ad esempio, c’erano centinaia di repository GitHub che offrivano strumenti open source per la visibilità, alcuni addirittura multipiattaforma, come l’ OSQUERY di Facebook  . Tuttavia, l’utilizzo di tali soluzioni richiedeva personale qualificato in grado di codificare, integrare, eseguire alcune DevOps e elaborare un processo fattibile per rendere l’impresa consapevole delle violazioni attive il più presto possibile.

Allo stesso tempo, l’innovazione è finalmente arrivata al settore AV e una nuova linea di prodotti ha iniziato ad apparire concentrandosi sul rilevamento di attività insolite e sull’emissione di una risposta, avvisi per un analista della sicurezza da indagare.

In sostanza, queste soluzioni EDR tentano di fornire visibilità su ciò che sta accadendo sull’endpoint e sulla rete. Alcuni sostengono che questo sia un dado più facile da decifrare della protezione, poiché sposta il lavoro su un agente umano e richiede solo una generazione di allerta dal software. Per le soluzioni EDR basate su un’euristica debole e una modellizzazione dei dati insufficiente, il risultato per il team di sicurezza può essere un flusso infinito di avvisi o un numero elevato di falsi positivi (o entrambi). Il mercato EDR mancava di un mezzo per contestualizzare la complessa quantità di streaming di dati dagli endpoint forniti da questa visibilità.

Problemi con EDR come lo conosciamo

Una maggiore visibilità significa una maggiore quantità di dati e di conseguenza una maggiore quantità di analisi. Per questo motivo, la maggior parte delle soluzioni EDR disponibili oggi non è scalabile. Richiedono troppe risorse che scarseggiano, vale a dire tempo, denaro, larghezza di banda e forza lavoro qualificata.

Inoltre, EDR, in molti casi, richiede la connettività cloud e come tale sarà in ritardo con la protezione degli endpoint. Se la soluzione non è sul dispositivo, ci sarà inevitabilmente del tempo di permanenza. Un attacco riuscito può compromettere una macchina, esfiltrare o crittografare i dati e rimuovere le tracce di se stesso in frazioni di secondo. Aspettare una risposta dal cloud o che un analista agisca in modo tempestivo non è semplicemente possibile nel moderno scenario di minaccia.

Il futuro: rilevamento e risposta degli endpoint di SolarWinds

SolarWinds ® Endpoint Detection and Response (EDR), basato su SentinelOne, è stato creato per correlare la storia sul dispositivo stesso.

SolarWinds EDR offre una risposta automatizzata che si basa sull’intelligenza artificiale per sgravare il team MSP. Consente ai team di comprendere rapidamente la storia e la causa alla base di una minaccia. La tecnologia può attribuire autonomamente ogni evento sull’endpoint alla sua causa principale senza fare affidamento sulle risorse cloud.

Questo può rivoluzionare la sicurezza. Può essere utilizzato dagli MSP quasi indipendentemente dalle risorse, da coloro che sono avanzati nella sicurezza a professionisti della sicurezza più alle prime armi, fornendo loro la possibilità di riparare automaticamente le minacce e difendersi dagli attacchi avanzati.

Conclusione

La sicurezza informatica è un gioco senza fine di gatto e topo. Mentre gli attaccanti aumentano l’ante, sviluppando nuove abilità e implementando nuove tattiche e tecniche, i difensori rispondono cercando di giocare. Le soluzioni di sicurezza degli endpoint sono rimaste indietro rispetto ai cattivi attori da un po ‘di tempo, ma con l’avvento di SolarWinds EDR, alimentato da SentinelOne, una tecnologia in grado di prevenire, rilevare e rispondere agli attacchi avanzati indipendentemente dai vettori di consegna, se l’endpoint è collegato a il cloud o no: i difensori possono finalmente avere un vantaggio vincente.

Vuoi scoprire come SolarWinds EDR può aiutare la tua azienda? Ulteriori informazioni qui . 

FONTE: Solarwinds MSP – by Sentinel One

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP