Sebbene le tecnologie di sicurezza degli endpoint stiano convergendo, possono ancora essere suddivise approssimativamente in due categorie: piattaforme di protezione degli endpoint (EPP) e soluzioni di rilevamento e risposta degli endpoint (EDR).
La delimitazione tra i due è abbastanza chiara per la maggior parte dei professionisti della sicurezza IT. In poche parole, EPP è sicurezza preventiva, EDR offre funzionalità di rilevamento e risposta. Nel complesso, è una buona idea per la maggior parte delle aziende utilizzare sia EPP che EDR per assicurarsi che siano preparate per gli attacchi di oggi.
Tuttavia, c’è spesso confusione riguardo ai ruoli specifici di queste soluzioni nella costruzione di moderne strategie di sicurezza informatica. Dovresti dare la priorità all’EPP rispetto all’EDR o viceversa? Quali funzionalità dovresti cercare in ogni soluzione? Qual è il modo migliore per fermare gli attacchi avanzati? Che tipo di strumenti sono necessari per la risposta agli incidenti?
Esaminiamo alcune nozioni di base nel tentativo di far luce su queste domande.
L’EPP impedisce i più comuni attacchi informatici
Fondamentalmente, l’EPP è incentrato sulla prevenzione degli attacchi, soprattutto quando si tratta delle cosiddette minacce “commodity”: malware massivo, phishing non mirato e truffe online di base.
Questo è il rumore bianco che permea il panorama delle minacce. La maggior parte dei team di sicurezza IT è in grado di affrontare queste minacce in modo sufficientemente efficace, purché abbiano accesso a strumenti solidi.
Sebbene siano abbastanza ben comprese, le minacce “commodity” sono ancora una priorità per molte aziende. Ciò è dovuto ai loro volumi elevati e alla capacità di interrompere le operazioni. Infezioni diffuse da ransomware, ad esempio, possono arrestare la tua attività. Allo stesso modo, non vuoi impantanare il tuo reparto IT con continue richieste di rimozione malware o riparazione completa del dispositivo per laptop di lavoro.
Oltre a bloccare le minacce tradizionali, l’EPP può anche proteggerti da attacchi più avanzati. Una buona sicurezza preventiva obbliga gli hacker a lavorare di più, il che tende ad aumentare le strutture dei costi. Ciò molto probabilmente farà sì che gli aggressori opportunisti ti abbandonino come bersaglio e passino a prede più facili. L’EPP può anche semplificare i processi di rilevamento e risposta riducendo gli avvisi, e diminuendo così il carico di lavoro del team di sicurezza IT.
Anche se qui stiamo parlando della protezione degli endpoint, è importante notare che l’endpoint stesso non copre tutto. Per massimizzare la tua capacità sia di prevenire le minacce sia di raccogliere dati a fini forensi, probabilmente hai bisogno di una buona suite di protezione della rete che si integri con l’EPP. Gli incidenti di sicurezza diventano molto più difficili da gestire quando non si dispone di dati – o non è possibile correlarli – da queste due fonti in modo efficace.
Tenendo presente tutto ciò, ecco alcune funzionalità di base che dovresti cercare nella tua soluzione EPP quando si tratta di prevenzione e risposta agli incidenti:
- Comprovate percentuali di rilevamento di malware da parte di valutatori di terze parti come AV-TEST
- Prevenzione di exploit comuni, incluso ransomware
- Rilevazione e prevenzione dell’iniezione di codice
- Integrazione con un firewall basato su host
- Ispezione del contenuto dei dati del browser
- Whitelist applicazioni con configurazione regolabile
Basato sul suo buon rapporto costi-benefici, l’EPP è spesso prioritario in molte aziende rispetto ad altre soluzioni di sicurezza. E non c’è nulla di sbagliato in questo, purché si tratti di una decisione consapevole basata sulla modellizzazione delle minacce e sulla valutazione dei rischi. Ma se ti affidi all’EPP semplicemente perché ha funzionato in passato, è tempo di dare un’occhiata più da vicino alla tua strategia di sicurezza.
L’EDR rileva gli attacchi che hanno bypassato l’EPP
Le piattaforme di protezione degli endpoint sono preziose in termini di prevenzione delle minacce, ma non sono progettate per la sicurezza post-compromissione. In sostanza, se un attacco ignora il firewall e l’EPP, non sarai in grado di rilevarlo senza strumenti aggiuntivi.
È qui che entra in gioco l’endpoint detection and response. L’idea alla base dell’EDR è quella di consentire ai team di sicurezza IT di identificare le attività malevole tra il normale comportamento degli utenti. Ciò si ottiene raccogliendo dati comportamentali e inviandoli a un database centrale per l’analisi. Utilizzando strumenti di analisi basati sull’intelligenza artificiale, le soluzioni EDR sono in grado di identificare modelli e rilevare anomalie. Questi possono quindi essere inviati per ulteriori indagini o correzioni.
L’EDR è sempre più prezioso nel panorama delle minacce moderne, poiché le aziende stanno affrontando attacchi sempre più mirati che non possono essere fermati con le tradizionali misure di sicurezza. Il gioco è cambiato per sempre. Non si tratta più di costruire muri attorno alle risorse, ma è necessario installare sensori in grado di rilevare gli intrusi quando trovano inevitabilmente il modo di aggirare la tua sicurezza.
Ecco alcune funzionalità di base da cercare in una soluzione EDR, che combina il rilevamento delle minacce e la risposta agli incidenti:
- Rilevare i comportamenti potenzialmente dannosi, come la modifica delle chiavi di registro e l’avvio dei processi
- Posizionare i rilevamenti in un contesto e presentazione visiva dell’attacco con tutti gli host interessati
- Includere l’intelligence sulle minacce relativa al panorama delle minacce prevalenti
- Fornire indicazioni su come rispondere, invece di mostrare semplicemente informazioni sugli eventi di basso livello
- Consentire l’arresto remoto degli attacchi isolando tutti gli host interessati dalla rete
EDR è un modo solido per migliorare la tua sicurezza in termini di rilevamento e risposta. Non è una bacchetta magica, tuttavia: hai ancora bisogno di qualcuno che lo esegua correttamente e agisca sugli avvisi che produce.
Gli operatori che comprendono il contesto delle diverse minacce, conoscono le metodologie di attacco di base e possiedono la capacità di rispondere alle minacce non sono facili da trovare. In effetti, molti analisti del settore prevedono una grande carenza di talenti capaci nel prossimo futuro.
Ciò richiede di effettuare valutazioni realistiche delle tue attuali capacità. Hai un team dedicato alla sicurezza IT? In caso contrario, devi assumere più persone o cercare servizi in outsourcing? Hanno le competenze per utilizzare EDR nella misura massima? Possono rispondere agli incidenti, con le capacità fornite da EDR o altri strumenti?
L’automazione e il supporto in outsourcing possono essere enormi risorse per affrontare questi tipi di problemi di competenza. La soluzione EDR di F-Secure è stata progettata tenendo presente questo obiettivo, fornendo sia azioni di risposta automatizzate sia la capacità di inoltrare casi difficili direttamente ai nostri esperti.
La morale della favola su EPP e EDR?
In breve, la maggior parte delle organizzazioni farebbe bene a esaminare sia l’EPP sia l’EDR per costruire una posizione di sicurezza sufficiente contro i moderni attacchi informatici. A uno può essere assegnato un ordine di priorità rispetto all’altro a seconda delle esigenze specifiche dell’azienda, ma nel moderno panorama delle minacce sono necessarie sia prevenzione che risposta efficaci.
Cos’è più importante per la tua azienda: una maggiore probabilità di fermare gli attacchi all’endpoint o rilevarli rapidamente una volta superate le tue difese preventive? In definitiva, questa è una domanda per la massima leadership, e la risposta dovrebbe riflettere il tuo settore, la struttura della rete, la cultura organizzativa e le capacità del team di sicurezza.
Categorie