L’ultima cosa che un Direttore IT, un IT Manager o un Security & Risk Manager vorrebbe mai è che si verificasse è una violazione. L’ultima cosa che una di queste figure vorrebbe fare è dover spiegare al board perché gli attaccanti sono stati in grado di superare le difese in atto e perché non si è stati in grado di rilevarli in tempo. La sfortunata realtà è che gli attacchi agli endpoint aziendali sono in costante aumento, compresi gli attacchi ai dispositivi intelligenti. La maggior parte delle organizzazioni semplicemente non ha il personale di sicurezza informatica necessario per affrontare queste minacce.
Molte organizzazioni stanno riconoscendo ora la necessità di dotarsi di soluzioni di Endpoint Detection & Response (EDR) – il mercato globale dell’EDR dovrebbe raggiungere i 3.443,64 milioni di dollari entro il 2024 – ma come scegliere il fornitore EDR?
A volte per scegliere la soluzione giusta basta semplicemente sapere quali domande porre. Quando parli con i fornitori di soluzioni EDR ricorda di fare queste cinque domande.
LE DOMANDE PER VALUTARE VENDOR EDR
In che modo il prodotto di quel vendor EDR rileva effettivamente le minacce?
Quando si tratta di valutare diversi fornitori di soluzioni EDR, il campo è molto meno disordinato rispetto all’antivirus tradizionale. Lo standard di riferimento in questo tipo di valutazioni è un programma sviluppato dall’organizzazione no profit MITRE con sede negli Stati Uniti. Valuta le soluzioni EDR rispetto al “framework ATT&CK” di MITRE, un insieme continuamente aggiornato di tattiche, tecniche e procedure utilizzate dai cyber criminali. Questo framework fornisce alle aziende risultati imparziali per confrontare le prestazioni dei diversi fornitori EDR, insieme ad approfondimenti sui tipi di telemetria, alert, interfaccia e output che ci si può aspettare da ciascuno. Le valutazioni di MITRE sono ampiamente utilizzate da diverse autorità del settore, come Gartner e Forrester.
Ogni soluzione EDR ha il suo approccio per rilevare le minacce e l’approccio può determinare per quali tipi di attacco quella soluzione sarà più efficace nel rilevamento. Dovresti chiedere al tuo fornitore un resoconto dettagliato delle tecniche di rilevamento utilizzate dalla sua soluzione EDR e come queste lavorano insieme per fornire un contesto per qualsiasi rilevamento. La sua soluzione è in grado di rilevare attacchi che usano file popolari come Word e PDF? Può rilevare l’uso improprio di PowerShell e di altre applicazioni legittime? Può rilevare comportamenti sospetti da parte di applicazioni o utenti? Può rilevare minacce interne, intenzionali o non intenzionali? Può valutare il livello di rischio di un rilevamento, l’importanza dell’host interessato e la posizione del rilevamento nel panorama delle minacce?
La capacità di una soluzione EDR di rilevare le minacce sarà sempre il fattore più importante. Sebbene questa sia stata una domanda difficile da affrontare fino a questo punto, i risultati dei test dell’organizzazione MITRE sono lo standard che puoi usare per valutare il rendimento delle diverse tecnologie EDR. Chiedi al tuo fornitore come la loro soluzione EDR rileva le minacce e confronta i suoi risultati con altre soluzioni nei test MITRE.
Quanto è difficile e quanto tempo richiede eseguire la sua soluzione EDR?
La valutazione MITRE è un ottimo punto di partenza, ma è necessario considerare anche altri fattori oltre alle prestazioni di rilevamento. Una soluzione EDR non può offrire da sola alla tua organizzazione una capacità EDR completa, tuttavia lo sviluppo di tale capacità può comportare una serie di sfide. La tua soluzione EDR dovrà essere integrata con gli altri tuoi sistemi di sicurezza, gestita dal tuo team IT, analizzata da esperti in risposta agli incidenti e completata dalla ricerca sulla sicurezza e dalla ricerca delle minacce.
Un prodotto che può essere utilizzato in modo efficace solo da un esperto di risposta agli incidenti completamente certificato sarà utile solo quando si dispone di un tale esperto. La maggior parte delle aziende non ha accesso costante ai propri esperti di risposta agli incidenti, quindi è necessaria una soluzione EDR che possa essere gestita anche da una risorsa IT junior. Un’interfaccia utente e una dashboard chiare sono indispensabili ed è inoltre utile disporre di una soluzione che visualizzi tutte le attività in corso sugli endpoint. Ciò renderà molto più facile per il tuo team IT capire quando e come sta avvenendo un attacco. Le azioni di risposta automatizzate e la guida integrata possono consentirti di reagire agli attacchi senza dover essere tu stesso un esperto. La soluzione EDR di F-Secure, ad esempio, offre chiari consigli su come affrontare i potenziali incidenti che compaiono sulla tua dashboard. Se si verifica una situazione che è al di sopra del livello di abilità del tuo team, ti dà anche accesso agli esperti F-Secure di risposta agli incidenti direttamente dall’interfaccia del prodotto.
La soluzione del vendor EDR può essere integrata con altri prodotti di sicurezza?
L’EDR si distingue dalla protezione tradizionale degli endpoint, sebbene entrambi siano necessari per una sicurezza completa. Le piattaforme di protezione degli endpoint includono soluzioni antivirus e antimalware progettate per riconoscere e bloccare le minacce note. EDR si concentra sul rilevamento di minacce avanzate e mirate progettate per eludere la protezione degli endpoint, comprese campagne sofisticate che possono coinvolgere una serie di endpoint diversi. Se la soluzione EDR non è integrata con la piattaforma di protezione degli endpoint, non sarà possibile esaminare le informazioni da entrambe le fonti contemporaneamente. La situazione ideale è quella in cui non solo è possibile prevenire, rilevare e rispondere a tutte le minacce in modo efficace, ma è anche possibile gestire entrambe le soluzioni all’interno dello stesso portale utenti. Per questo motivo, potrebbe essere utile esaminare i vendor EDR che dispongono anche di un solido prodotto per la protezione degli endpoint nel proprio portafoglio.
Qual è l’impatto delle prestazioni della soluzione sui tuoi endpoint?
Una soluzione EDR che rallenta il traffico di rete e influisce sulle prestazioni degli endpoint può frustrare gli utenti e ridurre l’efficienza di tutto ciò che accade all’interno dell’organizzazione. La scelta migliore è un fornitore EDR la cui soluzione abbia sensori endpoint leggeri e discreti, praticamente invisibili all’utente finale. Questo dovrebbe essere l’obiettivo di ogni soluzione di sicurezza informatica, quindi è importante sapere se un potenziale fornitore condivide questa priorità.
Che tipo di supporto offre quel vendor EDR?
Il supporto può – e dovrebbe – assumere molte forme ed essere quello che ti serve. Ecco perché questa domanda è più complessa di quanto possa sembrare inizialmente e generalmente si divide in diverse sotto-domande.
Se la tua azienda subisce un attacco o un rilevamento di minacce complesse, il vendor sarà lì per aiutarti ad affrontare la minaccia? La soluzione EDR del vendor include l’accesso a esperti addestrati nella risposta agli incidenti con esperienza pratica nella gestione di una vasta gamma di attacchi informatici? Il tuo vendor offre la possibilità di acquistare un servizio gestito, permettendoti di concentrarti sulle tue attività IT principali mentre la tua sicurezza è gestita da esperti? Se la tua organizzazione è grande è particolarmente probabile che venga presa di mira, il tuo fornitore può fornire accesso a un servizio di gestione delle minacce completamente gestito in grado di rilevare e rispondere anche agli attacchi più impegnativi in pochi minuti? Il tuo fornitore fornisce supporto 24 ore su 24, 7 giorni su 7, con investigatori di minacce ed esperti in risposta agli incidenti?
Se desideri conoscere le risposte di F-Secure alle domande poste in questo articolo o a qualsiasi altra domanda che potresti avere, scrivi a F-Secure o richiedi una demo gratuita della soluzione EDR di F-Secure qui.
Ti è ancora poco chiaro cosa sia effettivamente una soluzione EDR e come funziona? Scarica l’eBook gratuito “Perché hai bisogno di una soluzione EDR” per una panoramica rapida e completa su Endpoint Detection & Response.
Categorie