EDR
Quando parliamo di strategie per la sicurezza IT, le aziende sono interessate alla risposta a una sola domanda: quali misure sono strettamente necessarie? Per molto tempo si è ritenuto che bastasse semplicemente una strategia passiva, che consisteva nel proteggere il perimetro della rete e le postazioni di lavoro. Tuttavia, al giorno d’oggi le aziende sono vittime di attacchi mirati e avanzati, e si rendono necessari nuovi metodi di protezione quali gli strumenti EDR (Endpoint Detection and Response).
Perché una strategia passiva non è sufficiente
Una strategia tradizionale funziona con le minacce più diffuse: mail contenenti Trojan, phishing, vulnerabilità conosciute e così via. In altre parole, tali strategie sono efficaci quando i cybercriminali puntano a un vasto numero di persone, sperando che abbocchino. Si tratta di un business illegale ma che si attiene comunque alle regole del business, ovvero trovare un equilibro tra la complessità dell’attacco (e i relativi costi) e i profitti attesi.
Tuttavia, se la vostra azienda inizia a diventare un obiettivo interessante (e se si tratta di una grande compagnia, è più probabile che lo sia), vuol dire che potrebbe essere un obiettivo specifico. I cybercriminali potrebbero essere interessati a vari aspetti della vostra azienda, ad esempio transazioni economiche, segreti industriali o dati dei consumatori; oppure potrebbero sabotare la vostra attività affinché i concorrenti possano trarne vantaggio. Pensate un momento, quindi, se attaccare un’azienda del vostro settore possa essere d’interesse per qualcuno.
Per questo motivo i cybercriminali studiano ed elaborano attacchi mirati complessi. Indagano sui software impiegati dalla vostra azienda, vanno alla ricerca di vulnerabilità ancora sconosciute al mercato e sviluppano exploit su misura. Si infiltrano nelle reti di partner e fornitori, corrompono ex dipendenti o approfittano di dipendenti scontenti per organizzare un attacco dall’interno. Nell’ultimo caso, i criminali possono anche fare a meno dei malware, affidandosi completamente a strumenti legittimi che una soluzione di sicurezza non considera come una minaccia.
Perché è pericoloso aspettare
È possibile che i sistemi di sicurezza passivi riescano a individuare un attacco mirato o una qualche attività relazionata. In ogni caso, anche se ciò dovesse accadere, il sistema può segnalare che è accaduto qualcosa ma non vi aiuterà a determinare in poco tempo cosa sia successo esattamente, quali informazioni sono state coinvolte nell’incidente e cosa fare affinché non accada di nuovo.
Se la vostra azienda impiega solo strumenti tradizionali per la sicurezza degli endpoint, coloro che si occupando della sicurezza IT nella vostra azienda non saranno sempre in grado di reagire in tempo agli attacchi. Finché non avviene un incidente hanno le mani legate e possono solo avviare un’indagine. Inoltre, potrebbero perdersi un incidente di grande portata, impegnati come sono a gestire centinaia di piccoli incidenti come attività all’ordine del giorno.
Gli analisti di solito ottengono i dati molto tempo più tardi e dopo un’attenta indagine, che di solito implica un lavoro manuale accurato, per poi inviare ciò che si è scoperto agli esperti di Response and Recovery. Anche in grandi aziende con importanti centri di response, i tre ruoli di specialista della sicurezza, analista ed esperto di response sono spesso racchiusi in un’unica persona.
In base a quanto emerso dalle nostre statistiche, intercorrono in media 214 giorni tra la penetrazione iniziale del sistema e il momento in cui una grande azienda individua la minaccia complessa. Nel migliore dei casi, gli specialisti in sicurezza IT riescono a trovare qualche traccia dell’attacco verso la sua conclusione ma spesso non rimane altro da fare che calcolare a quanto ammontano i danni e cercare di ripristinare i sistemi.
Come minimizzare i rischi e ottimizzare la sicurezza IT
È quindi necessario adottare un nuovo approccio che si adatti costantemente, in modo da proteggere la proprietà intellettuale delle aziende, la loro reputazione e altri aspetti importanti. Le strategie di protezione del perimetro della rete e delle postazioni di lavoro devono essere riviste e rinforzate, impiegando strumenti per una ricerca attiva e unificata, in modo da rispondere adeguatamente alle minacce alla sicurezza IT.
La strategia True Cybersecurity implica l’uso di un tipo di ricerca attiva, conosciuta como threat hunting. Si tratta di un compito piuttosto difficile ma che può essere facilitato di molto dall’uso di strumenti specifici. L’EDR o Endpoint Detection and Response, è uno di questi strumenti. Consente allo staff che si dedica alla sicurezza IT di identificare velocemente le minacce nelle postazioni di lavoro utilizzando un’interfaccia unica, per poi raccogliere le informazioni automaticamente e neutralizzare l’attacco. I sistemi EDR impiegano le informazioni di threat intelligence, che molte aziende acquisiscono da diverse fonti affinché si possano controllare i processi all’interno delle reti aziendali.
In teoria la threat hunting potrebbe essere effettuata senza EDR; tuttavia, un’operazione manuale di questo tipo è molto più cara e meno efficace. Anzi, in certi casi potrebbe avere effetti negativi sul business in quanto gli analisti devono interferire in operazioni ad ampio spettro nelle postazioni di lavoro.
In sostanta, i sistemi EDR conferiscono agli esperti la capacità di raccogliere velocemente tutte le informazioni di cui hanno bisogno, di analizzarle (manualmente o con sistemi automatizzati) e prendere le decisioni opportune. Possono anche cancellare in remoto qualsiasi file o malware mediante l’interfaccia di controllo unificata, spostare un oggetto in quarantena o eseguire operazioni per il ripristino, il tutto senza farsi notare in quanto non è richiesto l’accesso fisico alla postazioni. Così non ci sono interruzioni nel flusso di lavoro.
Dopo averci lavorato per qualche tempo, vi presentiamo la versione pilota della nostra soluzione EDR: qui potrete avere maggiori informazioni su Kaspersky Endpoint Detection and Response.
