L’importanza di una soluzione EDR in azienda

21 apr 2023 | Undefined

Uno strumento EDR (Endpoint Detection and Response) raggruppa strumenti avanzati che hanno il compito di rilevare minacce su endpoint ed eseguire attività di indagine e risposta. Ecco perché una soluzione EDR in azienda può aiutare a prevenire attacchi informatici e protegge da potenziali minacce, in particolare nelle prime fasi di un attacco.

Peculiarità

I sistemi di Endpoint Detection and Response risolvono i limiti degli antivirus permettendo di avere un quadro completo ed una visibilità il più possibile dettagliata e accurata dei client presenti in azienda. Un normale antivirus basa la sua protezione sulle cosiddette firme ovvero confronta l’impronta del file da verificare con il database di firme in suo possesso. Tali database pur venendo aggiornati quotidianamente comportano comunque dei tempi di latenza dovuti alla necessità del vendor, una volta identificato un nuovo file malevolo, di categorizzare la minaccia, inserirla nel database, rendere il database disponibile per il download e attendere che il client locale aggiorni le proprie firme. Tutti fattori che possono portare ad una situazione in cui una minaccia reale non ancora inserita nei database degli antivirus non venga rilevata come tale dallo strumento di protezione. A questo bisogna aggiungere un ulteriore limite legato al polimorfismo: se un file o un eseguibile subisce una modifica anche solo parziale, risulterà come entità nuova che per essere eventualmente categorizzata come malevola dovrà attraversare tutto il ciclo di analisi, prima di aggiungersi nell’aggiornamento delle firme. 

Questi problemi legati al modello basato su firme, vengono superati dall’EDR passando da un semplice confronto di firme di file, all’analisi attiva del comportamento e delle attività di processi e applicazioni, correlandole tra loro e applicando algoritmi avanzati per identificare eventuali attività anomale/malevole. Per meglio interpretare i risultati quando vengono rilevati gli attacchi, le soluzioni EDR integrano algoritmi di apprendimento automatico e di intelligenza artificiale (AI) per automatizzare i processi di identificazione delle minacce e di alert. Le soluzioni EDR avanzate possono essere anche in grado di correggere automaticamente le attività, ad esempio, arrestando o disconnettendo automaticamente i processi compromessi, avvisando le parti interessate e isolando/disabilitando gli endpoint e gli account sospetti.

I sistemi EDR, funzioni principali

Un sistema di sicurezza EDR risulta capace di rilevare e analizzare attività sospette sugli endpoint grazie all’impiego di un certo livello di automazione che informa i team di sicurezza e permette di rispondere celermente. Ecco le funzioni principali:

• Monitoraggio attivo endpoint e raccolta dei dati attività;
• analisi dei dati raccolti per identificare eventuali modelli di minacce noti;
• risposta automatica a tutte le minacce identificate per rimuoverle o contenerle;
• notifiche automatiche al personale di sicurezza sull’avvenuto rilevamento di una minaccia;
• analisi e impiego strumenti forensi per eseguire ricerche sulle minacce identificate che potrebbero portare ad altre attività sospette. 

I vantaggi in pratica

Il monitoraggio online/offline e continuo di tutti gli endpoint tramite EDR semplificando l’analisi e la risposta agli incidenti consente anche di effettuare analisi dettagliate per la comprensione delle anomalie e delle vulnerabilità della rete aziendale e preparare meglio una eventuale controffensiva futura. La capacità dell’EDR di fornire una risposta in tempo reale ad un vasto campionario di minacce consente infatti ai team di sicurezza di monitorare gli attacchi anche durante l’evolversi degli stessi, combinando dati storici e attuali per creare un quadro completo durante un incidente. La risposta in tempo reale consente inoltre all’organizzazione di scoprire comportamenti sospetti o non autorizzati sulla rete, individuando la causa primaria di una minaccia prima che possano verificarsi perdite e compromissioni gravi. Un ulteriore vantaggio dei sistemi EDR, è rappresentato dalla possibilità di integrarli con altri strumenti di sicurezza, consentendo la correlazione dei dati rilevati da endpoint, rete e sistemi di gestione delle informazioni e eventi di sicurezza già presenti in azienda, aumentando la capacità di identificare pericolosi attacchi come quelli zero-day e ransomware.

Il ciclo di funzionamento tipico di un processo EDR

Le soluzioni EDR acquisiscono continuamente dati dagli endpoint, tra cui registri eventi, applicazioni in esecuzione e tentativi di autenticazione. Ecco il ciclo di funzionamento tipico di un processo EDR:

1. Il processo raccoglie i dati di telemetria dagli endpoint installando agenti software su ciascun endpoint (Acquisizione della telemetria dagli endpoint);
2. Il processo invia i dati da tutti gli agenti endpoint a una posizione centrale, generalmente una piattaforma che può essere in cloud, locale o ibrida (Invio dei dati di telemetria acquisiti alla piattaforma EDR).
3. Il processo utilizza l’apprendimento automatico per correlare e analizzare i dati. Alcune soluzioni EDR includono feed di informazioni sulle minacce per introdurre reali contesti di attacchi informatici e confrontarli con l’attività della rete e degli endpoint per rilevare gli attacchi (Correlare e analizzare i dati);
4. Il processo contrassegna le attività sospette, invia avvisi per informare gli analisti e il personale interessato anche tramite risposte automatiche predeterminate, provvedendo ad esempio all’isolamento temporaneo di un endpoint per bloccare una ulteriore diffusione malware attraverso la rete (Segnalazione e risposta ad attività sospette);
5. Il processo conserva i dati per consentire indagini future e una ricerca proattiva delle minacce. Questi dati possono essere impiegati successivamente per consolidare gli eventi, indagare sugli attacchi esistenti o attacchi non rilevati in precedenza, cercare attivamente attività dannose (Conservazione dei dati per uso futuro).

EDR, rilevamento proattivo di un ransomware

Anche gli attacchi ransomware possono essere rilevati tramite la comprensione delle attività tipiche di una kill chain. Infatti una piattaforma EDR potrebbe aiutare a rilevare minacce correlate anche a varianti ransomware ancora sconosciute.

Un sistema EDR potrebbe fermare sul nascere l’attività di un ransomware tramite:

• Una funzionalità di rilevamento comportamentale: guidato dall’intelligenza artificiale, l’EDR può essere in grado di rilevare e bloccare minacce sconosciute identificando applicazioni non attendibili e comportamenti anomali, anche nel caso di nuove varianti ransomware;
• un rilevamento delle minacce dormienti: una piattaforma EDR può consentire di automatizzare la ricerca delle minacce e di eventi premonitori di un attacco ransomware per identificare e bloccare i potenziali rischi;
• una protezione offline: Una soluzione EDR può aiutare a proteggere gli utenti anche in modalità offline bloccando l’apertura accidentale di un documento infetto e possibile vettore ransomware.

Considerazioni finali

Il panorama delle minacce è in continua evoluzione, con nuovi malware e altre minacce informatiche che compaiono quotidianamente. Per gestire questa situazione diventa sempre più importante essere in grado di raccogliere e rilevare possibili anomalie in tempo reale. Il problema si acuisce soprattutto con l’estensione del cosiddetto perimetro aziendale non più localizzato ma esteso su di una superfice esposta rappresentata dai vari dispositivi che interagiscono con le risorse esterne a quelle aziendali e che possono sfuggire al controllo delle policy di sicurezza (dispostivi aziendali utilizzati anche per attività personali o dispositivi personali usati per accedere a informazioni e applicazioni aziendali). In uno scenario in cui il perimetro aziendale diviene sempre più virtuale e mutevole, la protezione dalle cyber minacce non può più prescindere dalla messa in sicurezza degli endpoint. Il singolo dispositivo che sia in azienda o ubicato in remoto rappresenta dunque sia il primo baluardo di difesa da proteggere con adeguate tecnologie. Una soluzione EDR, adeguatamente dimensionata, permette quindi di ottenere una risorsa verso la quale convergono tutte le informazioni raccolte dai singoli endpoint che, in questo modo, cooperano loro stessi come una entità di controllo distribuita.