EPP + EDR: il futuro della cybersicurezza per endpoint

Attacchi complessi. Attacchi non malware. Attacchi fileless e impianto di malware con accesso fisico all’infrastruttura. Exploit zero-day che si avvalgono di nuovi tool e tecniche sempre più snelle. Nel panorama odierno delle minacce, le tecnologie di prevenzione da sole non possono proteggere le aziende dalle minacce avanzate. Inoltre, i cybercriminali sono in grado di compiere un attacco mirato a costi minimi ed è normale, quindi, che cresca ogni giorno di più il numero di attacchi portati a termine con successo.

Secondo quanto emerge dal report New Threats, New Mindset: Being Risk Ready in a World of Complex Attacks condotto da B2B International e commissionato da Kaspersky Lab, nel 2017 gli attacchi mirati sono stati la tipologia di minaccia con maggiore crescita, con un aumento del 6% rispetto al 2016 per le PMI e dell’11% per le grandi aziende.

Oltre un quarto delle aziende intervistate (il 27%) ha ammesso di aver avuto esperienza con attacchi mirati all’interno della propria infrastruttura, il 21% dei quali nello stesso anno; inoltre, il 33% delle aziende ha avuto l’impressione di essere state un obiettivo specifico dei cybercriminali. Tra le compagnie intervistate, il 57% si aspettava di vivere prima o poi una fuga di dati e il 42% non sa ancora per certo quali siano le strategie più efficaci per rispondere a tali minacce.

Un approccio tradizionale non basta più

Le piattaforme di protezione per endpoint (EPP), normalmente presenti all’interno dell’infrastruttura aziendale, monitorano le minacce conosciute come i malware tradizionali. Gestiscono anche i virus sconosciuti, i quali possono utilizzare,  ad esempio, una nuova forma  di un malware già conosciuto diretto agli endpoint. Si tratta di sistemi che proteggono in maniera eccellente da minacce conosciute e alcune sconosciute. In ogni caso, le tecniche del cybercrimine si sono evolute negli ultimi anni e i cybercriminali sono diventati più aggressivi nelle loro procedure di attacco. La combinazione di minacce comuni, caratteristiche uniche di certi malware e attività basate su tecniche di infiltrazione complesse da parte dei cybercriminali, fanno sì che le minacce avanzate e gli attacchi mirati siano estremamente pericolosi per un’azienda che  si affida unicamente alle tecniche tradizionali di cybersicurezza.

Le aziende sono a rischio di furto o di attacco da ogni punto di vista: dati, denaro, proprietà intellettuale, dati commerciali sensibili, dati sensibili personali, processi di produzione, vantaggi con la competenza etc.

E gli incidenti dovuti alle minacce avanzate hanno un impatto significativo sul business: costi di risposta e ripresa dell’attività, investimento in nuovi processi e sistemi, conseguenze sulla disponibilità, danni di reputazione e del brand, perdite economiche e così via. Le aziende non solo devono tenere in considerazione il numero crescente di programmi dannosi in costante diffusione, ma anche l’aumento di minacce avanzate complesse e attacchi mirati.

Ciò implica la necessità di estendere la protezione non solo alla rete, alla posta elettronica e al traffico web, ma anche agli endpoint, comprese, postazioni di lavoro, computer portatili, server e smartphone. In un attacco mirato, gli endpoint sono utilizzati solitamente come punti di accesso all’infrastruttura aziendale, il che rende la visibilità degli endpoint estremamente importante nel panorama odierno delle minacce.

In base a quanto emerge dal report di SANS 2017 Threat Landscape Survey, il 74% dei partecipanti alla ricerca ha affermato che le vie principali attraverso le quali si insinuano le minacce in un’azienda sono i link o gli allegati dannosi di un’email, mentre il 48% ha indicato come principale minaccia i download o i drive-by nel web. Ben l’81% delle aziende interpellate ritiene che gli strumenti di sicurezza per endpoint costituiscano il miglior mezzo di identificazione delle minacce.

Perché sono necessari dei tool EDR specifici  

Ovviamente non è sufficiente bloccare le minacce più semplici rivolte agli endpoint; al giorno d’oggi, le aziende hanno bisogno di strumenti in grado di individuare le minacce più recenti e complesse e di contrastarle.

Sono necessari dei tool rivolti specificamente agli endpoint. Perché?

Innanzitutto, per via delle caratteristiche particolari degli attacchi mirati:

• Bypass dei sistemi di sicurezza: i cybercriminali effettuano indagini approfondite delle infrastruttre in uso, sistemi di sicurezza per endpoint compresi;
• Vulnerabilità zero-days, account compromessi;
• Software dannosi o software creati ad hoc;
• Oggetti infetti ma all’apparenza normali e quindi di fiducia;
• Approccio multivettoriale con l’obietTivo di colpire più endpoint possibili: computer fissi, portatili, server etc;
• Ingegneria sociale e dati ottenuti da infiltrati.

In secondo luogo, per via delle limitazioni tecnologiche dei tradizionali prodotti di sicurezza per endpoint che:

• Hanno lo scopo di identificare e bloccare le minacce comuni (non complicate), vulnerabilità già conosciute e minacce sconosciute create con metodi già noti;
• Si concentrano sulla visibilità di ogni endpoint e non sono progettati per visualizzare e monitorare vari endpoint simultaneamente e in real time in un’unica interfaccia centralizzata;
• Non forniscono agli amministratori IT le necessarie informazioni sulle minacce ,che potrebbero offrire un panorama più completo della situazione. Inoltre, non hanno una visione completa dell’attività di ogni endpoint, dei processi, delle timeline e delle potenziali relazioni tra endpoint dell’azienda;
• Non offrono una mappatura integrata o una correlazione tra diversirisultati provenienti da veri meccanismi di identificazione per creare un’immagine completa dell’incidente avvenuto;
• Non supportano funzionalità per l’identificazione di attività che si discostano dalla norma, né possono analizzare il lavoro di programmi legittimi;
• Non possono analizzare movimenti laterali retroattivi dei malware;
• Hanno capacità limitate di identificazione di attcchi fileless, iniezioni di memoria o minacce malwareless.

Come abbiamo già affermato, le tecnologie di protezione per endpoint funzionano bene per le minacce semplici, ovvero il 90% delle minacce. Il costo degli incidenti associati a queste minacce (10 mila dollari circa) sono nulla in confronto al costo derivante da un attacco APT (Advanced Persistent Threat), ovvero sui 296 mila dollari. Maggiore è la velocità con cui si individua un attacco, minori saranno le perdite economiche da affrontare. Quando si ha a che fare con minacce avanzate, la qualità e l’efficacia nell’identificare le minacce e la risposta a esse sono di fondamentale importanza. E per proteggersi da attacchi mirati e APT, le aziende dovrebbero utilizzare soluzioni specifiche in grado di contrastare questo genere di attacchi anche a livello endpoint.

Il costo medio degli incidenti e i gap funzionali nelle soluzioni EPP tradizionali, che non sono state progettate para contrastare minacce complesse, dimostrano chiaramente la necessità di investimenti aggiuntivi in prodotti specializzati per l’identificazione e la risposta alla minacce avanzate. I prodotti EPP hanno bisogno di una maggiore flessibilità e devono includere funzionalità EDR (Endpoint Detection and Response) o avere la possibilità di integrarsi con soluzioni EDR standalone complete, il tutto a seconda delle necessità dell’azienda e della sua grandezza.

Effettiva visibilità end-to-end e identificazione proattiva delle minacce

La tecnologia EDR viene impiegata per il monitoraggio in tempo reale delle minacce, e si concentra sull’analisi dei dati e sulla risposta agli incidenti che riguardano gli endpoint aziendali. Offre una visibilità end-to-end dell’attività di ogni endpoint dell’infrastruttura aziendale, il tutto da un’unica console e con strumenti di security intelligence che gli esperti in sicurezza IT possono utilizzare per ulteriori indagini e per rispondere agli incidenti.

La maggior parte delle piattaforme di protezione per endpoint si affida a modelli e firme immagazzinati per contrastare le minacce conosciute. Le piattaforme di protezione per endpoint di nuova generazione, che si avvalgono del machine learning e di meccanismi di identificazione a livelli più profondi per la caccia e la scoperta delle minacce, si occupano anche di fornire una protezione antimalware.

Lo scopo principale di una soluzione EDR è di identificare in modo proattivo le minacce conosciute e sconosciute, infezioni non identificate in precedenza che si insinuano in azienda direttamente attraverso gli endpoint e i server. Ciò è possibile analizzando gli eventi che si trovano nella zona grigia, ovvero eventi che non sembrano essere innocui ma che non sono neanche completamente dannosi.

Senza una funzionalità EDR, le soluzioni EPP classiche non sostengono una totale visibilità degli endpoint a livello tecnico, non garantiscono un’analisi retroattiva di un attacco e su vari endpoint, né una correlazione tra eventi o la possibilità di scegliere tra diversi metodi di identificazione di eventi multipli(rilevanti negli attacchi complessi), per stabilire una risposta appropriata. Non tutte le soluzioni EPP del mercato supportano l’accesso alla threat intelligence, necessario per stabilire tattiche, procedure e tecniche da applicare alle minacce riscontrate.

Tutte queste funzionalità sono necessarie per difendersi dalle minacce moderne e dagli attacchi mirati. Le aziende devono comprendere che la sicurezza degli endpoint non può essere garantita da un’unica soluzione EPP. Una soluzione EDR ha maggiori possibilità di identificare le stringhe di malware sconosciuti in attacchi zero-day e APT, in quanto impiega tecnologie di identificazione avanzate come regole YARA, sandbox, analisi di IoC (Indicators of Compromise), scoperta e validazione di attività sospette, analisi retroattiva con correlazione di eventi basato sull’apprendimento automatico dinamico, indagini sull’incidente e suo contenimento, automatizzazione della risposta, capacità di recupero etc.

Per una protezione affidabile ed efficace dalle minacce avanzate, è necessaria una collaborazione tra EPP ed EDR: la soluzione EPP gestisce le minacce conosciute e la soluzione EDR si occupa delle minacce sconosciute e più complesse. Le potenti piattaforme EDR possono aiutare gli analisti a effettuare le dovute indagini e a migliorare le le difese, invece di reagire quando il danno è già stato provocato da una minaccia avanzata e che le soluzioni tradizionali per endpoint probabilmente si sono fatte sfuggire.

Inoltre, una soluzione EPP non solo conferisce protezione ma anche controlli su applicazioni, dispositivi e web, fornisce una revisione delle vulnerabilità e permette la gestione delle patch, filtro di URL, cifratura di dati, firewall e tanto altro.

Un approccio integrato nella lotta alle minacce avanzate

Ognuno dei sistemi descritti ha qualcosa che manca negli altri e viceversa (o anche solo in parte), il che vuol dire che bisogna integrarle e fare in modo che interagiscano l’una con l’altra. Le soluzioni EPP ed EDR hanno l’obiettivo comune di contrastare le minacce, ma sono significativamente diverse tra loro, perché l’approccio alla protezione è differente, così come gli strumenti di cui si avvalgono.

Secondo il report di Gartner “Strategic Planning Assumption 2017 for Endpoint Detection and Response Solutions”, entro il 2021 l’80% delle grandi aziende, il 25% delle aziende di medie dimensioni e il 10% delle piccole imprese investirà in risorse EDR.

La presenza di tecnologie di prevenzione (EPP) per l’identificazione e il blocco automatico di minacce diffuse e oggetti dannosi, aiuta a evitare l’analisi di un gran volume di piccoli incidenti irrilevanti per gli attacchi complessi, aumentando l’efficienza delle piattaforme EDR specializzate che si occupano di individuare le minacce APT. Dall’altro lato, una soluzione EDR (dopo aver individuato le minacce complesse) può inviare le proprie considerazioni alla piattaforma di protezione degli endpoint. In questo modo, le due soluzioni collaborano e conferiscono un approccio davvero integrato per contrastare le minacce avanzate.

Come ottenere il meglio da una soluzione EDR

 C’è un altro aspetto da tenere in considerazione. La maggior parte delle aziende hanno bisogno di funzionalità EDR ma è anche vero che una grande percentuale di queste aziende non ha le capacità o le risorse necessarie per impiegare adeguatamente queste funzionalità.

Bisognerebbe passare dal semplice monitoraggio della tecnologia EPP da parte dei tecnici IT all’uso di un team di sicurezza IT adeguato in grado di utilizzare la tecnologia EDR, con la possibilità di offrire una protezione che va ben oltre quella standard. Per sfruttare questa protezione al massimo, le aziende devono avvalersi di ingegneri della sicurezza e analisti delle minacce con le conoscenze e l’esperienza adeguate. Tali professionisti devono capire come ottenere il meglio dalla piattaforma EDR e organizzare una procedura efficiente di risposta agli incidenti.

A seconda della maturità e dell’esperienza dell’azienda in sicurezza IT, e in base alla disponibilità delle risorse necessarie, alcune aziende potrebbero pensare di utilizzare il proprio team per garantire la sicurezza degli endpoint, rivolgendosii all’esterno solo per aspetti più complessi. Al contempo, possono formare il personale interno mediante l’acceso a un portale di threat intelligence e di reporting di APT intelligence, o anche mediante i dati raccolti sulle minacce. Oppure un’altra soluzione (allettante per équipe oberati di lavoro e con poco personale) potrebbe essere adottare servizi professionali di terze parti che comprendano:

• Servizi di valutazione del livello di sicurezza;
• Threat hunting;
• Risposta agli incidenti;
• Servizi di scienza digitale forense;
• Analisi di malware e ingegneria inversa;
• Assistenza premium 24 ore su 24, 7 giorni su 7.

La soluzione Kaspersky Lab 

L’approccio di Kaspersky Lab alla protezione per endpoint passa per le seguenti componenti:  Kaspersky Endpoint Security, Kaspersky Endpoint Detection and Response e Kaspersky Cybersecurity Services. Per quelle aziende che, per motivi di regolamenti interni, non possono trasferire i dati aziendali al di fuori della propria infrastruttura (o che hanno bisogno di un isolamento completo dell’infrastruttura), Kaspersky Private Security Network offre la maggior parte dei vantaggi della threat intelligence su cloud di Kaspersky Security Network, ma nessun dato abbandonerà il perimetro controllato.

Tali componenti si adattano alla natura specifica di ogni azienda e alle procedure in uso, conferendo:

• Una combinazione unica di tecnologie rinomate e all’avanguardia per bloccare gli attacchi più comuni;
• Una serie di tecniche e meccanismi avanzati per identificare e rispondere tempestivamente alle minacce uniche e avanzate;
• La possibilità di prevedere minacce future e definire una protezione proattiva mediante servizi professionali;
• La possibilità di approfittare dei servizi di threat intelligence su cloud senza trasferire alcun dato al di fuori del perimetro controllato.

Kaspersky Endpoint Security è una piattaforma multilivello per endpoint basata su tecnologie di nuova generazione potenziate con HuMachine Intelligence: offre una difesa flessibile e automatizzata contro un ampio spettro di minacce tra cui ransomware, malware, botnet e altre minacce avanzate e parzialmente sconosciute.

Kaspersky Endpoint Detection and Response utilizza lo stesso agente di Kaspersky Endpoint Security, fornendo un approccio multisfaccettato per l’identificazione e il riconoscimento di minacce complesse mediante l’uso di tecnologie avanzate (tra cui apprendimento automatico, sandbox, analisi IoC e threat intelligence). Aiuta a evitare future azioni dannose mediante la scoperta per tempo delle minacce avanzate, inviando i risultati a Kaspersky Endpoint Security per il follow-up del blocco.

Kaspersky Cybersecurity Services offre assistenza rapida e professionale in caso di incidente (e nel momenti immediatamente successivi), aiutando a ridurre i rischi derivanti dai dati compromessi e minimizzando i danni economici e di reputazione. Il portfolio di Kaspersky Cybersecurity Services comprende il nostro ampio curriculum di formazione, threat intelligence all’avanguardia, rapida risposta agli incidenti, valutazione proattiva della sicurezza, servizi di threat hunting completamente esternalizzati e assistenza premium 24 ore su 24, 7 giorni su 7.

Per contrastare le minacce avanzate bisogna avvalersi di strumenti adeguati

Per opporsi alle minacce avanzate e agli attacchi mirati, le aziende hanno bisogno di tool e servizi automatizzati che si integrino tra loro e che aiutino le équipe di sicurezza e i SOC (Security Operations Centers) a prevenire la maggior parte degli attacchi, a individuare velocemente le nuove minacce uniche, a gestire attacchi in diretta o nei tempi adeguati e a prevenire future minacce.

Grazie alla giusta combinazione di tecnologie e servizi, le aziende possono creare e seguire una strategia di sicurezza a tutto tondo, in grado di adattarsi a qualsiasi cambiamento nel panorama delle minacce informatiche, migliorando costantemente la protezione a disposizione e mitigando i rischi di attacchi futuri.