In un precedente post sul blog , ho parlato delle differenze tra Managed Antivirus (MAV) e Endpoint Detection and Response (EDR). EDR è una soluzione più completa ed è particolarmente adatta per le aziende con informazioni personali identificabili (PII) o altri dati sensibili a rischio.

Tuttavia, la funzionalità di rollback è ciò che distingue davvero EDR dal MAV.

È un’incredibile tecnologia in grado di proteggere i tuoi clienti e la tua attività. Diamo un’occhiata più da vicino a questo aspetto rivoluzionario di SolarWinds ® EDR, basato su SentinelOne.

Il percorso di rollback

SolarWinds EDR offre cinque diverse opzioni quando segnala una minaccia. Tre possono essere classificati come preventivi, nel senso che mettono fine ai danni causati dalla minaccia. Le altre due opzioni possono essere classificate come risposta, il che significa che è possibile riportare un endpoint al suo stato prima dell’attacco.

OPZIONI PREVENTIVE

  • Uccidi: questa opzione interrompe immediatamente l’attacco: pensalo come il grande pulsante rosso che viene premuto per impedire l’autodistruzione. L’attività dannosa viene catturata e terminata, indipendentemente dal fatto che agisca in una o più posizioni.
  • Quarantena: l’opzione Quarantena prende in carico e gestisce tutti i file eseguibili che rappresentano una minaccia e li sposta in un percorso protetto. Questi file possono essere esaminati per ulteriori analisi in un ambiente sandbox.
  • Disconnessione dalla rete: questa opzione consente di disconnettere un endpoint dalla rete. Per gli amministratori di rete, ciò è particolarmente utile perché limita l’accesso alla rete in uscita alla console di gestione, impedendo così qualsiasi diffusione di malware sulle reti a cui è collegato un endpoint. È quindi possibile indagare su ciò che è accaduto utilizzando la serie completa di strumenti forensi disponibili nella piattaforma.

OPZIONI DI RISPOSTA

  • Remediation: questa è la penultima opzione. Rimuove il danno causato dalla minaccia, ma non dovrebbe essere considerato un rollback completo, che, come vediamo di seguito, “riavvolge” il nastro riportando il device alla situazione esistente in un determinato momento precedente all’attacco.
  • Rollback: durante un rollback, il dispositivo interessato viene ripristinato su un’istantanea del servizio Copia Shadow del volume (VSS) salvata, che annulla qualsiasi danno. È una funzione particolarmente utile in un attacco di ransomware. In tal caso, il rollback dei file infetti rimuove la crittografia, annullando la necessità di considerare anche il pagamento del riscatto.

Puoi vedere come queste cinque opzioni sono presentate nella Figura 1 di seguito:

 

Se si sceglie di implementare una delle precedenti azioni come prima azione (ovvero, si mette in quarantena una minaccia), EDR implementerà anche tutte le azioni disponibili prima di questo, in questo caso applicherà anche “kill”.

Meglio di una DeLorean

La tecnologia chiave alla base del rollback è VSS (Volume Shadow Copy Service). Questa è una funzionalità dei sistemi operativi Microsoft Windows. VSS è in grado di conservare più copie di volumi o file di computer, anche mentre sono in uso.

Come funziona? È quasi simile a scattare una foto digitale, che ha un timbro di data e ora: VSS non è diverso. Crea un’immagine digitale dell’intero sistema in un intervallo e tempo specifici e la memorizza in modo che possa essere utilizzata per sovrascrivere un endpoint danneggiato. VSS fornisce all’utente finale un’immagine speculare del loro pre-attacco al sistema. È una tecnologia potente utilizzata ancora di più nel rollback.

Sembra fantastico, pensi, ma forse implica l’uso di un’alta intensità di risorse. Buone notizie, non è così. VSS è altamente efficiente. Quando sposta i file nella posizione temporanea, lo fa in modo incrementale. Sposta solo i file che sono stati modificati dall’ultima istantanea.

Per coloro che sono curiosi, VSS è stato introdotto in Microsoft Windows XP / Server 2003 ed è disponibile da allora in tutte le versioni di Windows. Il rollback è incluso negli agenti per Windows Vista/Windows Server 2008 R2 e versioni successive. Al momento, non è supportato su Mac OS e Linux.

Perché rollback

Semplice: un clic può infettare l’intera rete. La nostra infografica di Ransomware Rescue è molto dettagliata su questo flagello e su come aiutarlo a prevenirlo, ma considera le seguenti statistiche trovate nel documento:

  • 16,2 giorni è la quantità media di tempi di inattività che le aziende hanno sperimentato alla fine del 2019 a causa di attacchi ransomware
  • 1 impresa ogni 11 secondi è la frequenza prevista che le imprese cadranno vittima di un attacco di ransomware entro il 2021
  • $ 20 miliardi sono il costo previsto per i danni dovuti al ransomware nel 2021

Rollback: analisi costi-benefici

A questo punto, probabilmente stai pensando: “Soluzione venduta. Quanto costa questa funzione? ” Mentre l’EDR costa un po ‘di più rispetto al MAV tradizionale, è importante considerare ciò che guadagni in termini di funzionalità rispetto al costo incrementale.

L’abbiamo detto prima e vale la pena ripeterlo: nelle organizzazioni esiste un posto sia per MAV che per EDR, a seconda dei casi d’uso. Ma se cadi in quest’ultimo campo per i motivi delineati all’inizio di questo articolo, considera cosa costa di più: un po ‘di più per device per l’EDR o da quattro a sei ore per ricreare un endpoint infetto. Il costo aumenta di ordini di grandezza se si supporta un’organizzazione di grandi dimensioni. E non dimenticare che i tempi di fermo sono il costo più critico di tutti. Quando i dipendenti non lavorano, produttività e profitti seguono un percorso parallelo. Bisogna tenere conto di tutti i costi ed i danni correlati che EDR evita e così ci rendiamo conto che la differenza di prezzo diventa facilmente gestibile.

Rollback in azione

Un attacco ransomware è semplice nelle sue intenzioni, ma straordinariamente complesso nella sua esecuzione. A tal fine, abbiamo creato un VIDEO DIMOSTRATIVO sul funzionamento di EDR che simula un attacco di ransomware e mostra come funziona la funzione di rollback. Osserva come si svolge un attacco e come Rollback gestisce il problema in modo automatizzato, annullando il danno.

Alcune cose sono troppo belle per essere vere. La funzione di rollback non è una di queste. Essere in grado di fornire ai tuoi clienti un’incredibile tranquillità e rafforzare la loro sicurezza, specialmente quando gli attacchi predatori alle aziende sono in aumento, è enorme. Scopri di più su SolarWinds EDR  o contattaci per saperne di più: commerciale@n4b.it

Michael Tschirret, responsabile marketing prodotti senior, EDR

FONTE: Solarwinds MSP BLOG

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP