EDR per rispondere al nuovo panorama della security
La “lotta al malware” è stata costretta ad evolversi, nel corso degli ultimi anni, a causa dei grandi cambiamenti che hanno interessato il mondo del lavoro. L’adozione su larga scala di sistemi basati su piattaforma cloud e la diffusione del lavoro flessibile hanno modificato l’ecosistema IT, allargando i confini della rete e facendo evaporare il concetto di perimetro su cui si basavano le tradizionali strategie di cyber security. Ad aumentare la complessità del quadro contribuisce poi l’evoluzione delle strategie dei pirati informatici, che si sono progressivamente professionalizzati e che oggi adottano tecniche di intrusione sempre più difficili da individuare. Il classico schema basato sull’attacco “dall’esterno”, in particolare, è stato ampiamente superato in favore di tecniche più insidiose, come il phishing, che sfruttano tecniche di ingegneria sociale per garantirsi un accesso alla rete aziendale. In questa nuova dimensione, il tradizionale approccio che punta a impermeabilizzare la rete dagli attacchi cyber non è più adeguato a rispondere alle minacce.
Un differente e più evoluto approccio al rilevamento
La logica EDR, basata sulla detection and response, mira a individuare un attacco in corso e applicare immediatamente tutte le operazioni necessarie per bloccare o mitigare l’attività malevola. Se i classici antivirus utilizzavano, prima, un sistema di rilevamento basato sulla comparazione delle firme, cioè sul confronto tra i file o i processi attivi sul computer e un database contenente le minacce conosciute, oggi gli EDR adottano una strategia più evoluta. Il controllo dei file e dei processi è infatti basato su strumenti di analisi comportamentale e, attraverso il machine learning, l’analisi statica del codice in esecuzione. Piuttosto che rilevare le “impronte digitali” dei malware gli EDR di nuova generazione puntano a individuare gli schemi comportamentali che possono indicare la presenza di codice malevolo. Un vantaggio sostanziale, soprattutto nel contrasto di nuove minacce e di malware che sfruttano vulnerabilità zero-day.
Tutto sotto controllo con reportistica in tempo reale
Oltre a rilevare i malware in senso stretto, gli agent installati sugli endpoint sono in grado di individuare anche attività sospette che possono indicare la presenza di un attacco in corso. In altre parole, il ruolo degli EDR non è solo quello di intercettare il malware al momento della sua attivazione, ma anche quello di rilevare gli indicatori di compromissione (IoC) o di attacco (IoA) che avviano le procedure di remediation. Questo tipo di attività genera una reportistica in tempo reale che viene controllata attraverso un sistema centralizzato, in cloud o su sistemi on premise. I dati raccolti sono condivisi tramite dashboard con i responsabili della sicurezza che possono tenere sotto controllo la situazione a livello dell’intero ecosistema IT. Questa impostazione potenzia la capacità di intervento del SOC (Security Operation Center) e permette di intervenire tempestivamente per contrastare eventuali intrusioni, ma non solo: la possibilità di avere una visione di insieme consente anche di individuare tutte le potenziali vulnerabilità negli altri endpoint, consentendo un intervento preventivo per evitare che l’attacco si diffonda.
La risposta automatizzata negli EDR
Se nella gestione di qualsiasi incidente informatico il fattore umano rimane fondamentale, gli EDR di nuova generazione consentono di automatizzare, almeno in parte, l’attività di response. Si tratta, in pratica, sia di schemi predefiniti che avviano processi automatizzati, come l’eliminazione dei file malevoli, sia di strategie più evolute come l’isolamento dalla rete dell’endpoint compromesso. Un’accurata messa a punto dei sistemi automatizzati, in pratica, può ridurre (fino quasi a eliminare) la necessità di un intervento “umano” in fase di response.
