EDR & MDR: tutto ciò che occorre sapere - Definizioni, funzionalità e vantaggi - Kaspersky
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
EDR & MDR: tutto ciò che occorre sapere Definizioni, funzionalità e vantaggi
EDR: cosa e come
Si discute molto a livello di mercato di come le soluzioni Endpoint Detection and Response (EDR)
siano la grande novità del momento. Secondo Gartner1, per esempio, “gli strumenti EDR offrono ai
tecnici che si occupano di gestione della sicurezza e del rischio un metodo per rispondere a due
domande di base sulla sicurezza dell’ambiente:
Che cos’è successo?
Cosa sta succedendo in questo momento?”
Ma cosa significa in pratica e perché è così importante per le imprese integrare le proprie Endpoint
Protection Platform (EPP) con strumenti EDR e/o MDR (Managed Detection and Response)?
Cosa
Piuttosto che sulle minacce comuni relativamente facili da rilevare e prevenire per i sistemi EPP, negli
ultimi anni la tendenza dei criminali informatici è quella di concentrarsi sempre di più sulle minacce
“elusive”, specificamente progettate per aggirare le misure di protezione degli endpoint.
Uno dei motivi è che sta diventando molto più facile (ed economico) per i criminali informatici trovare,
assemblare e testare strumenti e metodi già pronti (comprese campagne di “noleggio malware”
con supporto 24 ore su 24, 7 giorni su 7) e gli attacchi di questo tipo hanno possibilità di successo
notevolmente superiori rispetto agli scenari tradizionali.
Aggiungete l’aumento del lavoro a distanza, che sta facendo dissolvere il perimetro aziendale di
molte imprese, ed è facile capire perché nel prossimo futuro gli endpoint rimarranno in prima linea
nella battaglia contro i criminali informatici.
Cosa succede quando una soluzione EPP deve confrontarsi con una minaccia elusiva? Queste
minacce non solo sono difficili da rilevare, grazie alle varie tecniche di elusione che impiegano, in
particolare l’uso di strumenti legittimi e nativi del sistema. Passando a lungo inosservate, hanno
anche il tempo necessario per esplorare e infiltrarsi nell’infrastruttura di un’azienda causando danni
maggiori, che si tratti di un data breach, di un attacco ransomware, spyware o dell’override diretto.
Il risultato? L’impatto finanziario medio di un data breach2 è di 101.000 dollari per le PMI e di 1,09
milioni di dollari per le grandi aziende. Inoltre, più lenta è la risposta, maggiore è l’impatto medio, che
sale rispettivamente a 118.000 dollari e a 1,34 milioni di dollari nel caso le risposte richiedano più di
una settimana. Con impatti di questo tipo, invece di chiedersi “perché dovremmo investire in una
soluzione EDR?”, molte aziende dovrebbero domandarsi “perché non abbiamo già investito?”
1. Gartner - Solution Comparison for Endpoint Detection and Response Technologies and Solutions - gennaio 2020
2. Kaspersky - IT Security Economics 2020
2Come
Cosa può fare per voi una soluzione EDR se (e quando) deciderete di effettuare questo
investimento? In termini semplici, ogni volta che riceverete un alert, la soluzione EDR vi aiuterà a
capire da dove proviene la minaccia, come si è sviluppata, qual è la sua root cause, se ha interessato
altri host e quindi qual è la sua portata.
Dovrebbe anche guidarvi in un semplice processo di gestione degli incidenti, inclusi passaggi come
l’identificazione, il contenimento, l’eliminazione, il ripristino e l’analisi degli insegnamenti appresi per
prepararvi ad attacchi futuri. Per esempio:
Identificazione. Che cosa ha rilevato lo strumento EDR? In base al contesto e ai dettagli sulla
minaccia e sull’incidente che ha creato, si tratta di una minaccia comune o grave, è necessaria
una risposta?
Contenimento. Che cosa occorre fare per contrastare la minaccia, ad esempio isolare l’host,
impedirne l’esecuzione o mettere in quarantena file sospetti?
Eliminazione. Mediante una scansione degli Indicator of Compromise (IoC) si possono trovare e
cancellare i file correlati, insieme a qualsiasi altro processo necessario per eliminare la minaccia.
Ripristino. Riportare la rete alla normalità: ad esempio, se un host infetto è stato isolato per
prevenire la diffusione dell’infezione, l’isolamento può essere rimosso.
Analisi degli insegnamenti appresi. Ad esempio, l’integrazione dei dati IoC con gli strumenti di
sicurezza esistenti, la revisione del controllo degli accessi e del Web, il blocco dell’accesso a
particolari indirizzi IP o account e-mail o l’avvio di corsi di formazione sulla security awareness
per aiutare i dipendenti a comprendere meglio come individuare le moderne minacce per la
sicurezza.
3Fai da te, MDR o entrambi?
È umano voler prendere il controllo delle situazioni difficili, specialmente quando sono
particolarmente minacciose. In una situazione di stress del tipo “combatti o fuggi”, se la vostra
unica opzione è combattere, è probabile che vogliate prendere in mano la situazione, anziché
restarvene con le mani in mano e lasciare che qualcun altro si batta per voi.
Cosa c’entra questo con la cybersecurity?
Come molte aziende, quasi sicuramente dovrete affrontare una battaglia quotidiana contro una
valanga di minacce nuove, sconosciute ed elusive. E se il vostro team IT ha solo uno o due esperti
di sicurezza, o magari nemmeno uno, potrebbe semplicemente essere impossibile gestire in modo
appropriato gli alert di bassa priorità.
Questo non contribuisce affatto a migliorare le difese contro le minacce (o i vostri livelli di stress).
Inoltre, è particolarmente preoccupante in una situazione in cui le PMI e le aziende enterprise di
medie dimensioni sono esposte ad attacchi elusivi più dirompenti, che possono aggirare le barriere
di sicurezza automatizzate, per esempio sfruttando strumenti molto simili a quelli utilizzati dagli
amministratori di sistema legittimi, e che richiedono un risposta più rapida ed efficace.
Oggi gli autori degli attacchi prendono di mira imprese di qualsiasi dimensione, sfera di attività
e livello di preparazione, con minacce che vanno dal malware sconosciuto agli attacchi fileless
e al ransomware. Per i criminali informatici la preparazione di un attacco sta anche diventando
meno impegnativa dal punto di vista economico, fattore che espone al rischio più aziende. Il
risultato: ogni azienda ora dev’essere in grado di fermare le minacce elusive, un problema reso
ancora più difficile dalla continua carenza globale di personale di sicurezza IT, in particolare con le
competenze necessarie per affrontare questo tipo di attacchi.
Cosa si può fare?
Contrastare le più recenti minacce elusive significa integrare la vostra Endpoint Protection
Platform (EPP) con l’ultima generazione di Endpoint Detection and Response (EDR) che, oltre
a fornire la visibilità necessaria per identificare gli attacchi che bypassano la soluzione EPP,
dovrebbe essere facile da usare e includere livelli adeguati di automazione e/o opzioni di
outsourcing, come le soluzioni Managed Detection and Response (MDR), che forniscono le
funzionalità appropriate per voi.
Se preferite un approccio più pratico e fai-da-te, una soluzione EDR può aiutare a prevenire
interruzioni delle attività e danni per l’azienda, eliminando i rischi rappresentati dalle minacce nuove,
sconosciute ed elusive. Ciò deriva da funzionalità quali visibilità e visualizzazione delle minacce
avanzate, analisi semplificata delle root cause, risposta rapida automatizzata e automazione delle
attività di routine.
4Se, d’altra parte, desiderate espandere la vostra copertura interna di sicurezza IT esternalizzando
attività particolarmente gravose come la detection, il threat hunting e l’investigation sugli incidenti,
con scenari di risposta guidati, una soluzione MDR offre una protezione avanzata 24 ore su 24 da
minacce che potrebbero altrimenti aggirare le tradizionali barriere protettive.
Questo può aiutarvi a rendere più efficiente il lavoro, rimediando alla mancanza di professionisti
della cybersecurity e fornendo tutti i principali vantaggi di un monitoraggio della sicurezza
disponibile 24 ore su 24, 7 giorni su 7, supportato da esperti di sicurezza informatica, senza costi
proibitivi.
MDR favorisce anche l’efficienza dei costi, lasciando che il personale in-house si concentri sulle
attività critiche che richiedono davvero il suo coinvolgimento, nonché massimizzando il lavoro
grazie all’impiego di modelli avanzati che aumentano significativamente il livello di produttività
degli analisti e riducono al minimo il tempo medio di risposta. Inoltre, riduce lo stress fornendo una
protezione continua contro le minacce nuove e sconosciute da parte di personale esperto.
In alternativa, perché non combinare EDR e MDR per ottenere tutte queste funzionalità, senza la
necessità di ulteriori competenze interne?
Qualunque cosa scegliate, una soluzione EDR e/o MDR dovrebbe farvi passare da una
situazione in cui siete esposti a un rischio significativo di attacco elusivo a una in cui avrete
sviluppato una nuova dimestichezza con la sicurezza degli endpoint. Anziché non avere
certezze su ciò che sta accadendo nel vostro ambiente, avrete visibilità e controllo su tutti
gli endpoint. E anziché essere riluttanti a eseguire upgrade di sicurezza a causa della loro
complessità, avrete una soluzione semplificata e consolidata che vi aiuterà a ottimizzare le
risorse.
Che vogliate rafforzare le difese interne o combattere le minacce più recenti con l’aiuto di
specialisti esterni, Kaspersky può aiutarvi. La soluzione Kaspersky Optimum Security cloud-
enabled vi consente di aggiornare la protezione contro minacce nuove, sconosciute ed elusive,
attraverso una detection and response efficace e un monitoraggio della sicurezza 24 ore su 24, 7
giorni su 7, senza complessità o costi proibitivi.
Ulteriori informazioni sono disponibili sul sito Web: go.kaspersky.com/it_optimum.
5News sui cyber threats: www.securelist.it
Notizie sulla sicurezza IT: www.kaspersky.it/blog/category/business/
Sicurezza IT per le PMI: www.kaspersky.it/small-to-medium-business-security
Sicurezza IT per le aziende Enterprise: kaspersky.it/enterprise-security
Threat Intelligence Portal: opentip.kaspersky.com
www.kaspersky.it
© 2021 AO Kaspersky Lab. I marchi registrati e i marchi di servizio appartengono ai rispettivi proprietari.Puoi anche leggere
